2010.04.30

중국 새로운 암호화 규정, 해외 업체들에게 골칫거리 예상

Jaikumar Vijayan | Computerworld

중국에 IT 제품을 판매하려는 IT 업체들이 조만간 새로운 장애물에 부딪히게 될 것으로 보인다.

 

5월부터 중국 정부는 몇몇 제품군에 대해 중국 공공기관에 판매하기 위해서는 제품에 사용된 암호화 기술을 상세하게 공개할 것으로 요구할 예정이다.

 

새로운 규정이 적용되는 IT 제품은 13가지로, 파이어월, 라우터, 스마트카드, 데이터베이스 보안 툴, 안티스팸 솔루션, 네트워크 침입 탐지 제품 등이다. 새로운 요구조건에 따르면, 이들 제품을 정부기관에 판매하려는 IT 업체는 우선 중국 국가인증인가감독관리국(Certification and Accreditation Administration, CNCA)로부터 테스트와 인증을 받아야 한다.

 

정보보안 테스트 및 인증에 대한 요구조건은 2008년에 중국의 상품 품질 검사 총괄 기관인 국가질량감독검험검역총국(AQSIQ, General Administration of Quality Supervision, Inspection and Quarantine)이 제안했으며, 지난 해 5월부터 발효될 예정이었던 이 규정은 중국에서 판매되는 모든 제품에 적용되는 것이었다. 하지만 미국과 유럽연합의 거센 반발로 발효 시기가 1년 연장됐으며, 적용대상은 정부기관에 판매하는 제품으로 축소된 것이다.

 

법률자문회사 킹&스팰딩의 지적재산권 그룹 파트너인 크리스토퍼 클라우티어는 공식적으로는 암호화에 대한 규정이 아니라고 설명했다. 오히려 정보보안 제품에 CNCA와 AQSIQ가 관장하는 CCC(Compulsory Certification System) 마크 인증을 적용하는 문제라는 것이 클라우티어의 설명이다.

 

이번 규정이 표면적으로 품질에 대한 것이지만, 민감한 암호화 기술을 건드린다는 것에는 다른 동기가 있다는 것. 클라우티어는 “만약 암호화 기술을 가지고 있는 해외업체라면, 중국 정부에 자사 기밀을 제공하는 것을 극히 꺼려할 것”이라며, “결국 중국 내 기술만을 구입할 명분을 갖게 된 것”이라고 지적했다.

 

 이와 함께 암호화 기술을 중국과 공유하는 것은 중국 당국의 인터넷 모니터링 및 감시 능력을 향상시켜 주는 결과를 낳을 것이란 점도 제기되고 있다.

 

시만텍과 시스코는 이에 대한 즉각적인 코멘트를 내놓지 않고 있다.

 

미국 무역대표부 대변인 하몬 켄지는 새로운 요구조건이 적용되기 전에 외국 정부와 산업단체의 우려를 전하며 중국 정부를 계속 압박하고 있다고 답했다. 하지만 클라우티어는 중국 정부의 규정 적용을 미루거나 적용 범위를 축소할 기회가 현재로서는 없을 것으로 보고 있다.

 

BT의 최고 보안책임자이자 잘 알려진 암호화 전문가인 브루스 슈나이어는 일부 미국 업체들은 이런 새로운 규칙에 따를 것으로 보고 있다. 슈나이어는 “충격봉을 외국 정부에 판매하는 미국 회사들이 있는데, 이들 제품의 감시 기능은 근거를 제시하기가 더 쉽다”고 덧붙였다.  editor@idg.co.kr    



2010.04.30

중국 새로운 암호화 규정, 해외 업체들에게 골칫거리 예상

Jaikumar Vijayan | Computerworld

중국에 IT 제품을 판매하려는 IT 업체들이 조만간 새로운 장애물에 부딪히게 될 것으로 보인다.

 

5월부터 중국 정부는 몇몇 제품군에 대해 중국 공공기관에 판매하기 위해서는 제품에 사용된 암호화 기술을 상세하게 공개할 것으로 요구할 예정이다.

 

새로운 규정이 적용되는 IT 제품은 13가지로, 파이어월, 라우터, 스마트카드, 데이터베이스 보안 툴, 안티스팸 솔루션, 네트워크 침입 탐지 제품 등이다. 새로운 요구조건에 따르면, 이들 제품을 정부기관에 판매하려는 IT 업체는 우선 중국 국가인증인가감독관리국(Certification and Accreditation Administration, CNCA)로부터 테스트와 인증을 받아야 한다.

 

정보보안 테스트 및 인증에 대한 요구조건은 2008년에 중국의 상품 품질 검사 총괄 기관인 국가질량감독검험검역총국(AQSIQ, General Administration of Quality Supervision, Inspection and Quarantine)이 제안했으며, 지난 해 5월부터 발효될 예정이었던 이 규정은 중국에서 판매되는 모든 제품에 적용되는 것이었다. 하지만 미국과 유럽연합의 거센 반발로 발효 시기가 1년 연장됐으며, 적용대상은 정부기관에 판매하는 제품으로 축소된 것이다.

 

법률자문회사 킹&스팰딩의 지적재산권 그룹 파트너인 크리스토퍼 클라우티어는 공식적으로는 암호화에 대한 규정이 아니라고 설명했다. 오히려 정보보안 제품에 CNCA와 AQSIQ가 관장하는 CCC(Compulsory Certification System) 마크 인증을 적용하는 문제라는 것이 클라우티어의 설명이다.

 

이번 규정이 표면적으로 품질에 대한 것이지만, 민감한 암호화 기술을 건드린다는 것에는 다른 동기가 있다는 것. 클라우티어는 “만약 암호화 기술을 가지고 있는 해외업체라면, 중국 정부에 자사 기밀을 제공하는 것을 극히 꺼려할 것”이라며, “결국 중국 내 기술만을 구입할 명분을 갖게 된 것”이라고 지적했다.

 

 이와 함께 암호화 기술을 중국과 공유하는 것은 중국 당국의 인터넷 모니터링 및 감시 능력을 향상시켜 주는 결과를 낳을 것이란 점도 제기되고 있다.

 

시만텍과 시스코는 이에 대한 즉각적인 코멘트를 내놓지 않고 있다.

 

미국 무역대표부 대변인 하몬 켄지는 새로운 요구조건이 적용되기 전에 외국 정부와 산업단체의 우려를 전하며 중국 정부를 계속 압박하고 있다고 답했다. 하지만 클라우티어는 중국 정부의 규정 적용을 미루거나 적용 범위를 축소할 기회가 현재로서는 없을 것으로 보고 있다.

 

BT의 최고 보안책임자이자 잘 알려진 암호화 전문가인 브루스 슈나이어는 일부 미국 업체들은 이런 새로운 규칙에 따를 것으로 보고 있다. 슈나이어는 “충격봉을 외국 정부에 판매하는 미국 회사들이 있는데, 이들 제품의 감시 기능은 근거를 제시하기가 더 쉽다”고 덧붙였다.  editor@idg.co.kr    



X