공안부, ‘인터넷 안전 감독검사 규정’ 발표...이달부터 정식 시행
공안기관, 인터넷서비스 제공자·이용자 전산실·영업장소 등 진입 조사 가능
법규 위반 시 행정·형사 처벌...‘사이버 보안법’에 근거해 처벌

[보안뉴스 온기홍=중국 베이징] 중국 공안부가 공안기관이 인터넷 서비스 제공자와 이용자를 대상으로 인터넷 안전 여부를 감독하고 검사할 수 있게 하는 내용 등을 담은 ‘공안기관 인터넷 안전 감독검사 규정’(이하 규정)을 발표하고 11월 1일부터 정식 시행에 들어갔다.


모두 29개 조항으로 이뤄진 새 규정은 기존 인터넷 관련 관리 법률법규와 비교해 공안기관에 더 많은 감독감찰 권한을 부여할 뿐 아니라, 법률과 법규에 부합하지 않는 상황에 대해 더욱 두드러진 법적 처벌 요구를 담고 있다.

이번 규정 시행으로 공안기관은 인터넷 안전을 둘러싼 방비 필요와 위험 요인의 구체적 상황에 따라 인터넷 서비스 제공자(업체·기관·개인)와 이용자(업체·기관·개인)의 영업장소, 전산실, 사무 공간에 들어가 조사를 할 수 있다. 이어 유관 정보를 열람·복사할 수 있고, 네트워크와 정보 보안을 위한 기술조치 상황을 조사할 수 있게 된다. 이번 규정은 중국에 진출한 외국 기업에도 해당된다.

인터넷 서비스 제공자와 이용자 쪽에서 네트워크 안전 위험 요인이 발견되면, 공안기관은 위험 요인을 없애도록 지도하게 된다. 위법 행위가 있을 경우, 경위와 상황에 따라 기한 내 시정 명령이나 행정 처벌을 하게 된다. 범죄가 성립되면, 법적 형사책임을 추궁한다.

이번 규정 시행에 따라 인터넷 서비스를 제공 및 이용하는 업체·기관 등에서 네트워크와 정보 보안을 소홀히 하고 훼손하는 행위들이 적발돼 처벌을 받을 가능성이 크게 높아질 것으로 관측되고 있다.

공안기관이 인터넷 안전 감독검사 실시...개인정보·상업기밀 등 보호해야
먼저 인터넷 안전 감독검사 업무는 인터넷서비스 제공자의 네트워크 서비스 운영 조직과 인터넷 이용 업체·기관의 네트워크 관리 조직이 소재한 곳의 공안기관이 맡게 된다. 인터넷서비스 제공자가 개인이면, 일상 거주지의 공안기관이 감독검사를 한다. 전국적으로 현(县)급 이상 지방 정부 내 공안기관의 온라인안전보위 부서가 감독검사를 실시하게 된다. 상급 공안기관은 하급 공안기관의 인터넷안전 감독검사 업무 상황을 지도·감독한다.

공안기관과 해당 실무자는 인터넷 안전 감독검사 직책 이행 중 알게 된 개인정보, 프라이버시, 상업 기밀, 국가 기밀을 엄격히 보호해야 하며 누설·판매하거나 불법으로 타인에게 제공해서는 안 된다. 또 인터넷안전 감독검사 직책 이행 과정에서 얻게 된 정보는 사이버 안전 보호에 필요할 때만 이용 가능하고 다른 용도로 이용해서는 안 된다.

공안기관은 인터넷 안전 감독검사 업무 중 국가안전, 공공안전, 사회질서를 해칠 수 있는 사이버 안전 위험을 발견할 경우, 즉시 유관 주관 부처와 기관에 통보해야 한다.

인터넷안전 감독검사의 대상과 내용
공안기관의 인터넷 안전 감독검사 대상은 △인터넷접속, 인터넷데이터센터, 콘텐츠 배포, 도메인 서비스 제공자 △인터넷정보서비스 제공자 △공공 인터넷접속 서비스 제공자 △기타 인터넷 서비스 제공자 등이다.

이런 서비스를 개시한지 만 1년이 안되고, 2년 내 사이버 보안 사건과 위법 범죄 사건이 발생했거나, 법으로 정한 보안 의무를 이행하지 않아 공안기관에 의해 행정 처벌을 받은 업체·기관은 중점 감독검사를 받게 된다.

감독검사 내용을 보면, 첫째, 네트워크 접속 업체·기관이 등록 수속을 했는지, 그리고 네트워크 접속 업체·기관과 이용자의 기본 정보 및 변경 상황을 보고하는지 여부를 감독검사 하게 된다. 둘째, 네트워크 안전 관리제도와 조작 규정을 제정해 이행하는지, 네트워크 보안 책임자를 확정했는지 여부도 포함된다. 셋째, 공안기관은 인터넷 서비스 제공자와 이용자가 법에 의거해 이용자 로그인 정보와 인터넷 접속 일지 정보를 기록하고 보존하는 기술조치를 취하는지도 감독검사 하게 된다. 넷째, 컴퓨터 바이러스와 사이버 공격, 네트워크 침입을 막기 위한 기술조치를 취하는지 여부도 살피게 된다.

다섯째, 공공 정보서비스 과정에서 법률과 행정법규가 발표나 전송을 금지한 정보에 대해 법에 따라 관련 방비 조치를 취하고 있는지 여부도 감독검사 내용에 들어있다. 여섯째, 법률 규정의 요구에 따라 공안기관의 국가안전 수호, 테러활동 방비 조사, 범죄 수사를 위해 기술 지원과 협조를 하는지도 감독검사를 하게 된다. 일곱째, 법률·행정규정에 규정된 네트워크보안 등급보호 등 의무를 이행하고 있는지 여부도 감독검사 내용에 포함된다.

이와 함께 공안기관은 인터넷 서비스를 제공하는 유형에 근거해 감독검사를 해야 한다. 첫째, 공안기관은 인터넷 접속 서비스 제공자에 대해 네트워크 주소와 분배 사용 상황을 기록하고 보존하는지 여부를 감독검사 한다. 둘째, 인터넷데이터센터서비스 제공자에 대해서는 호스팅, 서버 임대와 가상공간 임대 서비스 이용자의 정보를 기록하고 있는지 여부를 살피게 된다. 셋째, 공안기관은 인터넷 도메인 서비스 제공자가 네트워크 도메인 신청·변동 정보를 기록했는지, 위법 도메인에 대해 법에 따라 처리 조치를 취했는지도 감독검사 하게 된다.

넷째, 인터넷 정보 서비스 제공자의 경우, 법에 따라 이용자가 발표한 정보에 대한 관리 조치를 취하는지, 법률과 행정법규에서 발표 또는 전송을 금지하고 있는 정보에 대해 처리 조치를 취하고 유관 기록을 보존하고 있는지 여부를 감독검사 받게 된다. 다섯째, 인터넷 콘텐츠 배포 서비스 제공자는 콘텐츠 배포 네트워크와 해당 콘텐츠 보유 네트워크의 연결 상황을 기록하고 있는지를 검사 받게 된다. 여섯째, 인터넷 공공 접속 서비스 제공자가 국가 표준에 부합하는 네트워크와 정보 보안 보호기술 조치를 취하고 있는지 여부도 감독검사 내용에 들어간다.

또한 공안기관은 국가의 중대한 네트워크에 대한 보안 보위 임무 기간에 이와 관련한 인터넷 서비스 제공자와 이용자를 대상으로 특별 안전 감독검사를 실시한다. 이와 관련해 첫째, 중대한 네트워크에 대한 보안 보위 임무가 요구하고 있는 업무 방안을 제정했는지, 네트워크 보안 책임 분담을 명확히 하고 네트워크 보안 관리인원을 확정해 놓고 있는지를 공안기관은 특별 감독검사 하게 된다. 둘째, 네트워크 보안 위험 평가를 조직적으로 전개하고 있는지, 상응하는 위험 관리통제 조치를 취해 네트워크 보안 취약점 위험 요인을 막고 있는지 여부도 검사하게 된다.

셋째, 네트워크 보안 응급 처치 예방책을 제정하고 응급 훈련을 실시하고 있는지, 응급 처치 관련 시설이 유효하게 완비돼 있는지 여부도 특별 감독검사에 포함된다. 넷째, 법에 따라 중대 네트워크 보안 보위 임무가 요구하는 기타 네트워크 보안 방비 조치를 취하고 있는지, 다섯째, 공안기관에 네트워크 보안 방비 조치 및 이행 상황을 보고 하는지 여부도 감독검사를 받게 된다.

인터넷 안전 감독검사 방식
공안기관은 인터넷 안전 감독검사를 현장 감독검사 또는 원격 모니터링 등 방식으로 진행할 수 있다. 공안기관이 현장을 방문해 감독검사를 실시할 때, 담당 경찰은 2명 이상이어야 하며 경찰증과 현(县)급 이상 지방 정부 공안기관이 발급한 감독검사 통지서를 제시해야 한다.

공안기관은 현장 감독검사 때 필요에 따라 △영업장소, 전산실, 사무공간 진입 △감독검사 대상의 책임자 또는 네트워크 보안 관리자에게 감독검사 사항에 대한 설명 요구 △인터넷안전 감독검사 사항과 관련된 정보의 열람·복사 △네트워크와 정보 보안 보호 기술조치 운영 상황 조사 등의 조치를 취할 수 있다.

또한 공안기관은 인터넷 서비스 제공자 및 (망 연결) 이용자 측에 대해 네트워크 보안 취약점이 존재하는지 여부를 살피기 위한 원격 모니터링을 실시할 수 있다. 공안기관은 원격 모니터링을 위해 사전에 감독검사 대상에게 검사 시간과 범위 등을 고지하고, 검사 사항을 공개하며, 감독검사 대상 네트워크의 정상적 운행을 방해·훼손해서는 안 된다.

공안기관은 현장 감독검사이나 원격 모니터링을 위해 상응 기술 능력을 갖춘 네트워크 보안 서비스 기구(업체 등)에 기술지원 제공을 의뢰할 수 있다. 네트워크 보안 서비스 기구와 실무자는 업무 중 알게 된 개인정보, 프라이버시, 상업 기밀, 국가 기밀을 엄격히 지켜야 하고 이를 누설·판매 또는 불법으로 타인에 제공해서는 안 된다. 공안기관은 이들이 네트워크 보안 관리와 비밀유지 책임을 이행하는지 엄격히 감독해야 한다.

공안기관은 현장 감독검사 및 원격 모니터링 때 감독검사 기록을 작성해야 하며, 감독검사 담당 경찰과 감독검사 대상의 책임자 또는 네트워크 보안 관리자가 기록에 서명해야 한다.

공안기관은 인터넷 안전 감독검사 진행 중 인터넷 서비스 제공자와 이용자 측에서 네트워크 보안 위험을 발견하면, 위험 요인 제거 조치를 취하라고 독촉·지도하고 감독검사 기록상에 명기해야 한다. 위법 행위를 발견하면, 상황과 경위가 경미하거나 (부정적) 결과가 초래되지 않았을 경우, 기한 내에 시정할 것을 명령해야 한다.

감독검사 대상은 시정 기간 만료 전에 시정을 완료했다고 판단되면 공안기관에 서면으로 조기 재검사 신청을 할 수 있다. 공안기관은 시정 기간 만료 혹은 감독검사 대상의 조기 재검사 신청을 받은 날로부터 3일(업무일 기준) 안에 시정 상황에 대해 재검사를 하고, 재검사 완료 후 3일(업무일) 안에 재검사 결과를 알려줘야 한다.

법률 규정 위반 행위 관련 처벌 내용
공안기관은 인터넷 안전 감독검사 중 인터넷 서비스 제공자와 이용자 측에서 위법 행위들을 발견할 경우 법에 따라 행정처벌을 해야 한다. 먼저 인터넷 서비스 제공자와 이용자 측이 네트워크 보안 관리제도와 조작 규정을 제정·이행하지 않고 있고, 네트워크 보안 책임자를 확정하지 않고 있을 경우, ‘중화인민공화국 사이버 보안법’(이하 사이버 보안법) 제59조 제1항의 규정에 따라 처벌을 받는다.

둘째, 컴퓨터 바이러스와 네트워크 공격, 네트워크 침입 등 네트워크 보안을 해치는 행위를 막기 위한 기술 조치를 취하고 있지 않을 경우, 셋째, 이용자 로그인 정보와 인터넷 이용 일지 정보를 기록·보존하는 조치를 취하지 않을 경우, 모두 사이버 보안법(제59조 제1항) 규정에 근거해 처벌을 받게 된다. 넷째, 인터넷 정보 발표와 실시간 통신(SNS) 등 서비스 제공 중에 이용자에게 실명 신분정보 제공을 요구하지 않거나 실명 신분정보를 제공하지 않은 이용자에게 유관 서비스를 제공하면, 공안기관은 사이버 보안법(제61조)과 ‘중화인민공화국 반테러리즘법’(제84조 또는 86조 제1항) 규정에 따라 처벌할 수 있다.

다섯째, 공공 정보 서비스 과정에서 법률과 행정법규에서 발표 또는 전송을 금지한 정보를 법에 따르지 않거나 공안기관의 요구에 따른 전송중지, 제거 등 처리 조치, 유관 기록 보존 조치를 취하지 않을 경우에도 사이버 보안법(제68조 또는 제69조 제1항)과 반테러리즘법(제84조 또는 86조 제1항) 규정에 근거해 처벌한다. 여섯째, 공안기관의 법에 따른 국가안전 수호와 범죄수사 활동에 대해 기술 지원과 협조를 하지 않으면, 사이버 보안법(제69조 제3항)과 반테러리즘법(제84조 또는 86조 제1항) 규정에 따라 처벌하게 된다.

또한 인터넷 서비스 제공자와 이용자 측이 개인정보를 절취 또는 기타 불법 방식으로 획득하고 불법으로 판매 또는 타인에게 제공할 경우, 아직 범죄 구성이 안되면 사이버 보안법(제64조 제2항) 규정에 근거해 처벌받게 된다.

이어 공안기관은 인터넷 서비스 제공자와 이용자가 제공하고 있는 인터넷 서비스 중에 악성 프로그램을 설치한 것을 발견할 경우, 사이버 보안법(제60조 제1항) 규정에 따라 처벌할 수 있다. 인터넷 서비스 제공자와 이용자 측이 공안기관의 인터넷안전 감독검사를 거부·방해할 경우, 반테러리즘 업무에 협조하지 않을 경우에는 각각 사이버 보안법 제69조 제2항 및 제91조·92조 규정에 따라 처벌을 받게 된다.

이와 함께 공안기관으로부터 위탁을 받아 기술지원을 제공하는 네트워크 보안 서비스 기구와 실무자가 감독검사 대상의 네트워크에 불법 침입하고 네트워크의 정상 기능을 방해하며 네트워크 데이터 절취 등 네트워크 보안을 해치는 활동을 하면, 사이버 보안법(제63조)에 근거해 처벌을 받는다. 나아가 업무 중 얻게 된 개인정보를 절취하거나 기타 불법 방식으로 획득, 불법 판매 또는 타인에 불법 제공할 경우에는 사이버 보안법(제64조 제2항) 규정에 따라 처벌을 받으며, 범죄가 구성되면 형사책임을 지게 된다. 감독검사 대상의 상업 기밀을 침범했을 경우, 범죄가 성립되면 형사책임이 뒤따른다.

공안기관과 해당 실무자가 인터넷 안전 감독검사 업무 중에 직무 소홀 직권 남용, 사사로운 이익을 위해 부정을 저지를 경우, 직접 책임을 지는 주무자와 기타 직접 책임자는 법에 따라 처벌을 받게 된다. 범죄가 성립되면, 형사책임을 물게 된다.

이외에 인터넷 서비스 제공자와 이용자 측이 이번 ‘인터넷 안전 감독검사 규정’을 위반하고 치안관리 위반 행위를 저지르면, 법에 따라 치안관리 처벌을 받으며, 범죄가 성립될 경우 형사책임을 지게 된다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>