• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

논란의 중국 사이버보안법, 규정 추가되면서 혼란도 깊어져 2017.09.01

‘중요 정보 기반구조’에 대한 정의와 항목 모두 모호해
규정이지만 사실상 열린 결말...정부 마음대로 규제할 수 있어

[보안뉴스 문가용 기자] 올해 6월 1일부터 시행된 중국 사이버보안법의 효과가 조금씩 분명해지고 있다. 특히 중국에서도 사업을 진행하고자 하는 대기업들 사이에서 볼멘소리들이 나오고 있다. 작년에 마련된 중국의 사이버보안법은 시작부터 큰 논란을 가져왔다. 감시 및 검열에 대한 중국 정부의 선호도가 그대로 반영되었기 때문인데, IT 기업들의 하드웨어 장비 사용과 국경을 넘나드는 정보 통신에 대한 규제가 가장 큰 논란거리가 되었다.

[이미지 = iclickart]


법이 발효되고 나서 중국 정부는 여러 가지 세부 시행 규칙을 발표해 왔는데, 가장 최근에는 7월 10일에 중요 정보 기반구조(critical information infrastructure, CII)에 관한 새로운 규정들을 공개했다. 사실상 네트워크 사업자들에 대한 더 엄중하고 빡빡한 규정이 적용된 것인데, 당사자들은 아직도 이 규정들이 모호하다는 의견이다.

먼저는 중요 정보 기반구조(이하 CII)가 무엇인지부터가 확실치 않다. 중국의 사이버보안법에 의하면 이 CII란 “데이터가 유출되거나 파괴되면 국가 안보와 대중의 안녕에 치명적인 영향을 미치게 되는 산업 혹은 기업”이라고 정의되어 있다. 정보 통신 서비스, 전기통신망, 금융서비스, 교통 등이 여기에 속한다. 이것만도 광범위한 범위인데, 이번에 발표된 새 규정은 그물을 보다 더 넓게 펼치고 있어서 문제다.

먼저 이번에 발표된 CII 규정의 18조를 보면, 다섯 개의 산업이 여기에 속한다고 나와 있는데 이 산업 하나하나의 범위가 굉장히 넓다. 그 중 눈에 띄는 건 클라우드 컴퓨팅 산업인데 여기에는 빅 데이터, 대규모 공공 정보 네트워크 서비스가 포함된다. 현대 IT 기업들의 속성을 고려하면, 여기에 속하는 국제적인 기업들이 너무나 많다.

중국은 세계에서 가장 연결성이 높은 나라 중 하나다. 인터넷 사용자가 7억 3천만 명이라고 알려져 있으며, 이들은 데이터 관련 서비스 산업의 든든한 소비자가 되고 있다. 그렇기에 중국 정부는 국산 클라우드 컴퓨팅 산업에 큰 투자를 감행하고 있으며 구이저우성을 중국 최대의 ‘빅 데이터 벨리’로 변화시키고 있다.

중국 정부가 CII라는 라벨을 기업이나 산업에 붙인다는 건, 빡빡한 사이버보안법을 지킬 수밖에 없다는 것이다. 이는 즉 데이터 권리나 운영권, 보호와 사용에 대한 모든 것을 중국식으로 해야 한다는 것이다. 이미 몇몇 대기업들은 이 ‘중국식’에 적응하려고 노력 중이다. 애플은 중국 기업과 파트너십을 맺고 구이저우성에 데이터센터를 마련한다고 발표했다. 에어비엔비는 중국에 있는 서버들의 위치를 일부 이동시켰다. 마이크로소프트도 중국 정부의 요청에 맞는 ‘커스터마이징된’ 윈도우 10을 발표했다. 중국 정부만을 위한 제품을 개발한 게 큰 영광이라는 수식까지 붙여가면서 말이다.

그 다음으로 눈에 띄는 산업군은 ‘그밖에 다른 분야’인데, 이건 중국 정부 마음대로 CII 이름표를 아무 데나 붙일 수 있다는 뜻이다. 국가 운영 전반을 아우르는 공식 규정에 나온 정의라고 믿기 힘들 정도다. 분석가들은 이를 중국 시장에 진입하려는 모든 기술 기업에 대한 사전방지 조치라고 보고 있다.

CII라고 불리는 분야의 정의도 모호하고, 제시된 목록조차 ‘열려 있는’ 상태라는 건 사이버보안에 대한 중국 정부의 개념이나 정책 방향이 아직도 제대로 정립되지 않았다는 걸 방증한다. 또한 ‘통신 기반 구조’라는 것에 대한 태도나 이해도 역시 명확하지 않은 것으로 보인다. 규정이 늘어가면서 흐릿했던 경계나 정의가 분명해져야 하는데, 오히려 혼란만 가중되고 있어 중국 시장에서 IT 기술이나 보안 기술을 가지고 사업을 하는 것이 당분간은 쉽지 않을 것으로 보인다.

또한 이번 새로운 규정에는 CII 기업들이 반드시 지켜야 하는 지침들도 명시되어 있다. 1) 내부 보안 정책 수립 및 적용, 2) 복구 및 대응 체제 마련, 3) 긴급 사건 대응 절차 확보, 4) 사이버 보안 관리 책임자 혹은 부서 지정 등이다.

이는 사이버 보안을 위한 흔한 실천 사항이라고 볼 수 있다. 하지만 국제 데이터 전송 제한이나 정부의 감시 권한 등을 보장해주는 중국의 사이버보안법이라는 큰 맥락 안에서 보면, 위 네 가지 기본 실천 사항은 무시무시한 ‘벌금 구멍’으로 변모할 가능성이 높다.

중국은 앞으로도 이런 세부 규정 사항들을 추가로 발표할 계획이다. 하지만 선례들을 봤을 때 해외 기술 기업들에게 우호적이지 않을 것이 거의 분명해 보인다. 그럼에도 중국이라는 거대 시장이 가진 매력에 진출하고 싶다면, “어느 정도 선까지 중국 정부의 통제를 허용할 것인가”를 고민해가면서 추가 규정들을 기다리는 것이 좋을 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>