중국 정부는 사이버보안에 관한 좀 더 나은 표준을 요구하기 위해 여러 가지 새로운 사이버보안 법을 통과시켰다. 이 가운데 일부는 사법집행 기관이나 정보 기관에 광범위한 권한을 부여해 중국 내 네트워크, 심지어 비 중국기업의 네트워크에서 발생하는 모든 것들을 면밀히 모니터링하고 조사한다.
최근 수년 동안 가장 주목할 만한 것은 CSL(Chinese Cybersecurity Law)였다. 이 법률은 온라인 및 네트워크 활동의 거의 모든 측면을 지배하고 사법집행 기관에게 기업을 조사하고 감시할 수 있는 권한을 부여하는데, 기업 내 직원 사찰까지 가능케 한다.
이제 MLPS 2.0으로 알려진 중국의 정보보안등급보호규정의 새로운 버전이 문제시 된다. 지난 수년동안 중국 정부는 주요 인프라로 간주하는 것에 대한 IT 보안 표준을 관리해왔다. 이 새로운 규정에서는 “주요”의 구성요소가 확대되고 정부의 사찰과 모니터링의 제한이 낮아져 잠재적으로 중국 사업체를 보유한 글로벌 기업에 영향을 줄 수 있다.
중국의 다단계 보호 체계(MLPS)란 무엇인가
미국 전략국제문제연구소(CSIS)는 최근 수년 동안 중국이 사이버보안과 관련된 약 300개의 새로운 국가 표준을 발표했다고 주장했다. 가장 최근에 변경된 사항 가운데 하나는 MLPS에 대한 업데이트였다. 2008년부터 존재했던 현재 MLPS 하에서 네트워크 운영자(데이터를 보내거나 처리하는 연결된 컴퓨터나 시스템을 포괄하는 광범위한 용어)는 네트워크와 정보 시스템을 다른 수준으로 분류하고 이에 따라 보안 보호를 구현해야 한다. 이 체계는 정보통신 기술 시스템의 민감도를 1등급이 가장 낮고, 5등급을 가장 높게 평가한다. 등급이 높을수록 해당 시스템에 대한 서드파티 인증, 소스코드 전달, 연례 리뷰뿐만 아니라 중국 공안부(Ministry of Public Security)의 모니터링이 강화된다.
법률업체인 리드 스미스에 따르면, 자체 인증이 정부 검토로 바뀌는 지점인 3등급은 네트워크 침해로 인해 중국 국민, 법인의 합법적인 권리와 이익에 특히 심각한 피해를 입힐 가능성이나 사회 질서와 공공 이익에 심각한 해를 끼치거나 국가 안보에 해를 끼칠 가능성이 있을 경우 발생한다.
MLPS 2.0, 중국에서 활동하는 외국 기업에 영향을 미치는가
싱크탱크인 뉴아메리카(NewAmerica)는 지난해 발표되어 2019년 12월 1일부터 시행되는 새로운 버전의 MLPS는 기업이 자체 보고하는 것보다 더 많은 감사로 전환하는 것이라고 밝혔다. MLPS 2.0 하에서 감시 대상인 네트워크는 본질적으로 모든 IT 시스템으로 확장된다. 주요 정보 인프라스트럭처(Critical Information Infrastructure, CII) 운영자로 간주되는 엔티티에 대해서는 불분명하게 정의해놓았기 때문에 모두 MLPS 적용대상에 속하게 된다. 특히 이는 더 많은 모니터링이 요구되는 3등급의 기준을 낮출 수 있다.
3등급 이상의 네트워크는 사이버보안 모니터링, 탐지 및 대응, 관련 기관에 대한 사고 통보 등 많은 기업이 정책을 숙지하고 절차를 마련해야 한다. 이들은 최소 1년에 한번 이상 공무원들의 검사를 받게 된다.
3등급 네트워크는 기술적으로 해외에서 원격으로 유지되는 것이 아니라 중국 내에서 유지되어야 한다. 해외에서 작업해야 하는 경우, 검사 시 반드시 기록해야 한다.
2등급 이상의 네트워크는 중국 정부의 요청이 있을 경우, 적절한 테스트를 수행해 기록해야 한다. 또한 개인정보보호 정책과 절차에 관한 요구사항과 더불어 신기술과 애플리케이션으로 인한 보안 리스크를 평가해야 한다.
홍콩의 사우스차이나모닝포스트(SCMP)에 따르면, 중국 사이버공안부(Cybersecurity Bureau)의 수석 엔지니어인 꾸오 치취안은 이번 계획의 주요 목표는 “전면 적용”이라고 밝혔다.
치치안은 “모든 지역, 모든 부처, 모든 기업, 그리고 다른 기관 등 기본적으로 전체 사회를 포괄할 것”이라고 말했다. 또한 모든 네트워크, 정보 시스템, 클라우드 플랫폼, 사물인터넷, 제어 시스템, 빅데이터 및 모바일 인터넷을 포함해 사이버 보안 보호가 필요한 모든 대상을 다룰 것”이라고 밝혔다.
또한 SCMP는 사이버공안부가 MLPS가 수집할 모든 데이터를 이해하기 위해 빅데이터 전문가를 모집했다고 보도했다.
보안 향상을 위한 데이터 수집인가, 감시의 합법적인 시도인가
CSL과 마찬가지로, 이 새로운 법률이 중국 네트워크의 보안을 높이기 위한 것인지, 중국내외 기업의 정보와 IP를 수집하기 위해 존재하는 것인지, 아니면 이 2가지 모두를 위해 존재하는 것인지에 대한 논란이 있다. CSIS 기술 정책 프로그램 책임자이자 수석 부사장인 제임스 앤드류 루이스는 이번 최신 법안은 중국 사이버공간 관리국(Cyberspace Administration of China, CAC)에서 중국의 “형편없는” 네트워크 보안을 향상시키기 위한 법적인 노력이라고 평가했다.
루이스는 중국정부의 의도는 악의적인 목적으로 사용하지 않는 것이라고 말했다. “CAC는 중국에서 전반적인 네트워크 보안이 나쁘다는 것을 알고 있으며, 이를 변화시키기 위한 규칙과 원칙을 마련하고자 한다. 확실히 MLPS는 NIST 프레임워크와 비슷하고 여기에서 영감을 얻었다. 그러나 중국인들이 유용하다고 생각하는 추가적인 조치, 즉 검사 과정은 아니다"고 설명했다.
루이스는 MLPS가 실제로 데이터를 훔치려는 목적이 아니라고 주장했다. 이미 중국 정부는 부분적으로는 국가가 후원하는 APT 그룹과 같은 방식으로 원하는 데이터를 획득할 수 있는 대체 방법이 많기 때문이다. 이 계획은 대부분 액면 그대로 받아들여야 한다.
루이스는 “매우 거슬리긴 하지만 이것이 중국이 선호하는 모델이다. 기업이 데이터와 네트워크를 보호하는 방법에 대한 통찰력과 통제력을 원한다. 더 큰 문제는 중국을 믿을 수 있냐는 것인데, 나는 믿지 않는다”면서, “눈을 크게 뜨고 지켜봐야 한다. 중국이 무언가를 원한다고 결정하면 그들은 어떤 수단을 사용해서라도 얻어낼 것이다. 중국 정보국이 데이터에 액세스하고자 한다면 그것은 부도덕적일 것이다. 중국은 기업에게 매우 강압적일 수 있다”고 말했다.
중국에서 사업을 운영하는 기업은 2020년 1월 1일부터 시행되는 외국투자법(Foreign Investment Law)이 외국인 소유 기업(wholly foreign-owned enterprises, WFOEs) 또는 기타 외국인 투자 기업에 대한 특별 지위를 없앴으며 중국 내 기업과 같은 방식으로 취급한다는 점을 상기해야 한다. 이는 비정부 승인 VPN을 사용해 중국 외부의 다른 사업부와 연결하는 방식에 영향을 미칠 수 있다.
루이스는 여러 정부 기관의 내부 정치로 인해 관련 기관의 직원 수나 전문가가 눈에 띄게 증가하지 않았기 때문에 모든 중국 정보 기관들은 중국에 진출한 가장 민감하고 높은 관심의 기업을 제외하면 중국내 기업에 초점을 맞출 것이라고 전망했다.
그러나 MLPS와 관련해 루이스는 또 다른 잠재적인 악용 방법을 제시하고 있지만, 기업은 이미 중국에서 안전하게 운영하기 위해 기존의 사이버보안 법을 준수하려고 노력해왔으며, 이 보다 너무 많은 추가적인 통제 장치를 시행할 필요가 없다고 말했다.
루이스는 “중국에 가는 일, 중국에서 하는 일에 대해 신중하게 생각해야 한다. 왜냐하면 항상 이용당할 수 있기 때문이다. 기업이 이미 사이버보안에 대해 진지하게 노력하고 있다면 중국 표준과 요구 사항에 맞도록 형식을 새로이 하고 중국 당국에 발표하기 위해 재포장하면 된다”고 말했다.
루이스는 “중국 당국으로부터 규제를 어떻게 시행하고 있는지, 또는 중국 내의 보안를 향상시키기 위해 무엇을 했는지 질문을 받는다면 직접 답변할 수 있어야 한다. 중국법을 준수하고 있다는 것을 보여주기 위해서는 최소한의 노력이 필요하다”고 말했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.