국가인터넷정보판공실 ‘네트워크 제품·서비스 보안심사 방법’ 발표
네트워크 제품과 서비스의 보안성·통제가능성 중점 심사
심사 대상, 국가안전 관련 네트워크·정보시스템에 구입되는 네트워크 제품·서비스

[보안뉴스 온기홍=중국 베이징] 중국 정부가 네트워크(인터넷) 제품과 서비스에 대한 보안심사를 다음 달부터 정식 실시한다. 중국 인터넷 관련 정책을 총괄하는 국가인터넷정보판공실은 최근 ‘네트워크 제품과 서비스 보안심사 방법(이하 방법)’을 발표하고 오는 6월 1일부터 정식 실시한다고 밝혔다.


인터넷정보판공실은 지난 2월 초 보안심사 방법 초안을 공개하고 한 달 동안 사회 각계의 의견을 받았으며, 이를 반영해 모두 16개 조항으로 이뤄진 최종안을 최근 내놓았다. 인터넷정보판공실은 “네트워크 제품·서비스의 보안과 통제가능 수준을 제고하고 네트워크 안전 위험을 방비하며 국가안전을 수호하기 위해 중화인민공화국 국가보안(안전)법과 중화인민공화국 사이버보안법 법률법규에 의거해 이번 방법을 제정했다”고 밝혔다.

국가안전 관련 네트워크·정보시스템에 구입되는 네트워크 제품·서비스, 보안심사 대상
먼저 이번 방법은 ‘국가안전과 관련된 네트워크와 정보시스템에서 구입되는 네트워크 제품과 서비스는 반드시 보안심사를 거쳐야 한다’고 명시했다. 특히 보안심사는 네트워크 제품·서비스의 보안성과 통제가능성을 중점 심사하게 된다.

이와 관련, 보안심사에서는 △제품·서비스 자체의 안전 위험, 불법 통제와 운행 간섭·운영중단의 위험 △제품과 핵심 컴포넌트 생산·테스트·인도·기술지원 과정 중의 공급사슬 보안 위험 여부를 살피게 된다.

또한 △제품·서비스 제공자가 제품과 서비스 제공의 편리 조건을 이용해 불법으로 이용자 관련 정보를 수집·저장·처리·사용하는 위험 △제품·서비스 제공자가 제품과 서비스에 대한 의존을 이용해 네트워크 안전과 이용자 이익을 손상시키는 위험 △국가 안전을 해칠 수 있는 기타 위험 여부도 보안심사에 포함된다.

공공통신·정보서비스·에너지·교통·수리·금융·공공서비스·전자정무 영역, 보안심사 통과해야
금융·통신·에너지·교통 등 중점 업종과 영역 주관 부서는 국가 네트워크보안심사업무 요구에 근거해, 해당 업종과 영역의 네트워크 제품·서비스 보안심사 작업을 조직적으로 벌여나가야 한다고 이 방법은 규정했다. 또 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정무 등 중요 업종과 영역, 기타 핵심 정보인프라 운영자의 네트워크 제품·서비스 구매는 국가안전에 영향을 끼칠 수 있으므로, 반드시 보안심사를 통과해야 한다고 명시했다. 네트워크 제품과 서비스가 국가안전에 영향을 끼치는지 여부는 핵심 정보인프라 보호업무 주관부서가 확정하게 된다.

네트워크보안심사위원회 설립...제3기구·전문가위원회 구성해 보안심사 진행
인터넷정보판공실은 이 방법 실시에 맞춰 유관 정부 부서와 함께 ‘네트워크 보안심사위원회’를 설립하게 된다. 이 위원회는 네트워크 보안심사의 중요한 정책 심의를 맡고, 보안심사 업무를 통일되게 조직하고, 보안심사와 관련된 중요 문제를 협조하는 임무를 맡는다.

네트워크보안심사위원회는 유관 전문가들을 초빙해 ‘네트워크 보안심사 전문가위원회’도 꾸리게 된다. 위원회는 제3자의 평가를 바탕으로 네트워크 제품·서비스의 보안 위험 및 그 제공자의 보안 신뢰 상황에 대해 종합적인 평가를 진행할 계획이다.

네트워크보안심사위원회 아래 설치되는 네트워크보안심사판공실은 국가 유관 요구, 전국적 업종 협회의 건의, 이용자 의견에 근거해 심사 대상을 확정하게 된다. 판공실은 또 제3자 기구와 전문가위원회를 조직해, 네트워크 제품과 서비스에 대해 보안심사를 벌이고, 심사결과를 발표하거나 일정 범위 안에서 통보하게 된다. 판공실은 비정기적으로 네트워크 제품·서비스 보안 평가 보고를 발표할 계획이다.

인터넷정보판공실은 “보안심사를 담당하는 제3자의 기구는 객관·공정·공평 원칙을 견지하고 국가 유관 규정과 유관 기준을 참고해 제품과 서비스 및 그 공급사슬의 안전성·통제가능성·안전기제·기술투명성 등 방면에 중점을 둬 평가를 진행하고, 그 평가 결과를 책임져야 한다”고 밝혔다.

보안심사 담당 제3기구, 심사 중 획득한 정보 비밀보안유지 의무 이행해야
네트워크 제품과 서비스 제공자(업체)는 보안심사를 맡는 제3자의 기구 등 유관 단위와 인원이 객관성·공정성을 잃거나 심사 작업 중 획득한 정보에 대해 보안과 비밀유지 의무를 지지 못할 경우, 네트워크보안심사판공실이나 유관 기관에 신고할 수 있다.

이에 대해 이 방법은 제3의 기구 등 유관 단위와 인원은 보안심사 업무 중 획득한 정보에 대해 보안과 비밀유지 의무를 져야 하며, 보안심사 이외의 목적에 이용해서는 안 된다고 명시했다. 동시에 네트워크 제품·서비스 제공자(업체)는 반드시 보안심사 업무에 협력해야 하며, 제공한 자료의 진실성에 대해 책임을 져야 한다고 이 방법은 강조했다.

인터넷정보판공실은 이 방법에서 “기업과 사회의 감독을 결합하고, 제3자의 평가와 정부 감독 관리를 결합하며, 실험실 검사측정, 현장 검사, 온라인 모니터링, 배경조사를 결합해, 네트워크 제품·서비스 및 그 공급사슬에 대해 보안심사를 진행하게 된다”고 밝혔다.

한편 지난 2월 공개된 방법 초안에는 ‘당과 정부 부서 및 중점 업종은 보안심사를 통과한 네트워크 제품·서비스를 우선 구매해야 하며, 심사를 통과하지 않은 네트워크 제품·서비스를 구매해서는 안 된다’는 내용이 포함됐으나, 이번 최종안에는 들어있지 않다.

그렇더라도 이 방법이 명시한 핵심 업종·영역의 특정 네트워크 제품·서비스가 보안심사에서 국가안전에 영향을 끼칠 수 있는 것으로 평가되고 보안심사를 통과하지 못할 경우, 해당 제품·서비스를 구입할 수 없을 것이라는 데 중국 내 전문가들 사이에 이견이 없다. 핵심 업종·영역의 정부 부서와 기관, 기업들은 보안심사를 통과한 네트워크 제품·서비스를 우선적으로 구입할 것으로 보인다.

앞서 인터넷정보판공실은 지난 2월 “네트워크 보안심사는 행정 승인(심사허가)이 아니라, 핵심 네트워크 제품·서비스 구매에 대한 중간·사후 감독관리”라고 밝힌 바 있다. 아울러 인터넷정보판공실은 네트워크 보안심사는 국외 제품의 중국 시장 진입에 장애가 될 수 없고 제한하지 않을 것이라며 보안심사는 국내외 기업과 제품을 평등하게 대하고 특정 국가와 지역의 제품·서비스를 겨냥하지 않을 것이라고 덧붙였다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>