보안 / 프라이버시

중국의 새 사이버보안법과 CISO의 대응 방안

Dan Swinhoe | CSO 2019.03.13
지난 2016년 통과된 중국의 CSL(Cybersecurity Law)는 기업이 중국 내부에서 지켜야 할 보안과 프라이버시(개인정보보호)에 대해 광범위하게 규정하고 있는 법률이다. 온라인 활동과 관련해 엄격히 통제되는 사항들, 중국내 데이터 저장과 관련된 조항, 합작법인(조인트 벤처) 파트너 관련 내용, (일부 경우) 네트워크 자산 등록에 대한 내용이 포함되어 있다. 또한 침해 사고가 발생 시 이를 의무적으로 통보 및 고지하고, 사이버보안 책임자를 임명하고, 사고 대응 계획을 수립해 적용할 것 등 여러 요건을 부과하고 있다.
 
ⓒ Getty Images Bank 


여기에 더해, 2018년 11월에는 새로운 조항들이 추가됐다. 이른바 공공 보안 기관의 인터넷 보안 감독 및 조사에 대한 규정(Regulations on Internet Security Supervision and Inspection by Public Security Organs)이다. 이는 중국 국내의 주무 보안 기관인 공안부(Ministry of Public Security, MPS)가 CSL에서 5대 이상의 컴퓨터가 인터넷에 연결된 환경으로 규정하고 있는 컴퓨터 네트워크에 대한 현장 및 원격 조사와 그 방법을 규정하고 있다.

현장 조사에는 공안(경찰관) 2명 이상이 참여해야 하고, 인증 및 검사(조사) 증명서가 제시되어야 한다. MPS는 기업 부지, 컴퓨터실, 일하는 장소에 들어가, 인터넷 안전 감독 및 검사와 관련된 정보를 복사할 수 있다.

레코디드 퓨처(Recorded Future)가 이 법률을 분석한 결과에 따르면, 모든 사용자 정보, 네트워크에 대한 기술적 사항들, 정보 보안 보호 대책, 호스팅, 도메인 이름 관련 정보, 조직의 콘텐츠 배포 관련 정보의 사본을 입수할 수 있다.

이 법 조항은 CSL의 핵심 요구사항을 적용했는지 여부를 넘어, 검사관이 조사하게 될 사항들을 정확히 규정하고 있지 않다. 그러나 이러한 검사에서 사용하게 될 도구와 방법을 규정하고 있다. 원격 조사(검사) 또한 실시할 수 있다. 이는 "신뢰된 네트워크 보안은 기술 지원을 제공할 수 있는 적절한 기술적 역량으로 신뢰가 부여될 수 있다"고 규정한다.

MPS가 검사 과정에 데이터를 복사할 수 있지만, 새 조항은 개인 정보와 영업상 비밀, 국가 기밀 등이 발견된 경우에는 엄격히 비밀이 유지되어야 하고, 타인에게 공개, 판매, 불법적으로 제공될 수 없다고 규정한다.


중국 정부, 네트워크 검사 조항을 정보 수집에 이용할까 

중국은 이른바 만리방화벽(Great Firewall)으로 정보를 검열하고 있으며, 지난 해 조사 결과에 따르면, 5개 기업 가운데 1개가 중국이 회사의 IP(지적 재산)을 훔쳤다고 밝히고 있다. 또 중국 정부의 검사 동안 소스코드를 넘길 것을 요구받고 있는 것으로 알려지고 있다. 이런 점을 감안, 새 조항을 다국적 기업으로부터 정보를 수집하는 도구로 가정하기 쉽다. 

레코디드 퓨처의 전략적 위협 개발 책임자 프리실라 모리우치는 “중국에는 중국에서 효과적으로 비즈니스를 할 수 있는 시스템이 없다. 전세계 기업들로부터 민감한 비즈니스 정보를 입수할 수 있는 더 침해적인 도구로 사이버보안 강화라는 개념을 이용하고 있다"고 말했다.

그러나 일부 법 전문가들은 현실은 더 미묘하며, 중국 국내 기업 중에 사이버보안 상태가 미흡한 기업이 많다는 점도 고려해야 한다고 말한다. 법률업체인 오멜베니 앤 마이어스(O’Melveny & Myers LLP) 파트너 로날드 쳉은 "중국의 사이버보안과 관련된 많은 것들에서 여러 다양한 동기들이 있다. 범죄 등과 관련된 기존 데이터 보안 문제도 이런 동기 가운데 하나다. 사이버보안 태세를 향상시킬 필요성도 있다. 조항에는 수집한 정보의 비밀을 유지하고, 타인에게 제공하지 않는다고 확약하는 내용이 포함되어 있다. 이를 얼마나 믿을 수 있는지 여부는 다른 사람들의 몫이다. 또 일부가 의구심을 갖는 것 또한 충분히 이해할 수 있다"고 설명했다.

MPS는 10년 넘게 검사와 관련해 유사한 권한을 갖고 있었다. 법률업체인 모리슨 앤 포어스터(Morrison & Foerster) 파트너 폴 맥킨지는 "완전히 새로운 규정이 아니다. 2006년에도 유사한 규정이 있었다. PSB(공공 보안 부처)에 중국 내 컴퓨터 네트워크 감독에 있어 상당한 권한을 주는 규정이었다. 이번 새 조항이 중요한 이유는 보안 주무 기관에 훨씬 더 큰 권한을 부여해서가 아니라, 중국 정부가 네트워크 보안에 있어 접근법을 더 성문화하려 시도하고 있음을 보여주는 예가 되기 때문이다"고 설명했다.

맥킨지는 이 법률이 아주 새로운 것으로 보이지 않을 수도 있지만 관심을 기울일 필요가 있다고 강조했다. 또 앞으로 일어날 일을 알려주는 신호에 불과할 수도 있다고 말했다. MPS를 비롯한 규제 기관들은 네트워크 보안에 대한 권한에 더욱 신경을 쓰고 있으며, 집행(시행) 활동 또한 강화되고 있는 추세다.

 

새 조항이 도입된 후 실제 조사가 실시된 기업에 대해 알고 있는 CSO는 전무했다. 이들은 CSL 위반에 대한 법 집행이 현재까지는 중국 국내 기업들에 초점이 맞춰져 있다고 알려줬다. 노튼 로즈 풀브라이트(Norton Rose Fulbright)의 보고서에 따르면, CSL의 첫 해 집행 사례는 15건이다. 바이두(Baidu), 티에바(Tieba), 타오바오(Taobao), 58.com, 알리바바 클라우드(Aliyun) 등이 대상이었다. 그러나 MPS의 운영이 성숙해지면서, 더 많은 규제 방문과 검사가 예상된다. 

로날드 쳉은 "지금까지는 중국 국내 기업을 대상으로 법 집행 활동이 이뤄지는 경향이 있다. 그러나 집행 활동이 더 세련되어지고, 외국 기업에도 영향이 초래되는 날이 올 것이다"고 말했다.


중국 사이버보안 법이 초래할 보안 위험

해당 법 조항 가운데 상당수가 꽤 모호하다. MPS는 대상 기업에 고지를 하고, 검사 범위를 대략적으로 설명해야 한다. 그러나 세부 사항은 주무 기관이 결정하는 것으로 보인다. 

레코디드 퓨처의 모리우치는 "이 규정은 MPS가 액세스 권한을 획득한 기업 네트워크에서 어느 정도까지 검사를 할 수 있는지 규정하지 않고 있다. 액세스 권한을 획득하는 방식에 대해서도 설명하지 않고 있다. 공개적으로 알려진 취약점만 이용할지, 당국만 알고 있는 취약점을 이용할지, 제로데이 익스플로잇을 이용할지 모른다. 또 기업에 발견한 사실 및 결과에 대해 알릴 의무도 없으며, 시간적인 제약, 범위에 대한 제약과 관련된 내용도 없다"고 설명했다.

또 '네트워크의 정상 운영을 방해하지 않는다'고 말할 뿐, 검사 시기나 영향에 대해 언급하지 않고 있다. MPS가 검사 대상 기업과 기관에 통보를 하도록 되어있는 내용도 명확하지 않다.

쳉은 “많은 의무 및 강제 사항이 있는 다른 영역, 보안 영역에서의 규제에 꽤 전형적이고 일반적인 부분이라고 생각한다. 의무 및 강제 사항 집행 방법, 정부가 하게 될 일, 정부가 하게 될 일에 대한 제약과 관련된 정의 및 명세에 있어, 다른 사법 관할권과 비교하면 세부 사항이 동등한 수준이 아니다. 현장 검사 및 감독, 원격 테스트에 대한 세부 사항을 정확히 알 수가 없다"고 말했다.

MPS에 기업 네트워크의 해외 부분을 조사할 권한을 명시적으로 부여하지 않고 있지만, 조항이 아주 모호하기 때문에 이런 가능성이 100% 배제되지 않는다. 네트워크가 연결이 되어 있다면, 중국 국경 밖까지 검사가 실시될 가능성도 있다는 이야기다.

모리트 혹 앤 하므로프(Moritt Hock & Hamroff)의 프라이버시 및 사이버보안, 기술 담당 변호사인 스테판 브레이덴바흐는 "이런 검사가 국민에 대한 감시를 강화하는 데, 국내 기업에 고객 데이터를 제공하는 데 사용될 가능성도 있다. 중국은 이미 국내에서 일어나는 일에 대해 엄청나게 많은 정보를 수집하고 있다. 그런데 이제 백엔드에서 데이터에 액세스할 수 있게 되는 것이다. 사이트의 백엔드에 액세스할 수 있게 되면, 퍼즐 조각들이 더 많이 맞춰지고, 개인 프로필을 통해 개인을 파악하고, 이들이 하는 일을 알게 될 확률이 더 높아진다"고 말했다.

또한, MPS가 데이터를 복사한 결과 보안 침해 사고가 발생할 수 있다. 예를 들어, 중국 네트워크의 데이터 중 일부가 유럽 국가 국민에 대한 데이터인 경우(또는 이런 데이터와 직접 연결된 경우), GDPR에서는 침해 사고로 간주될 수도 있다. 브레이덴바흐는 "이것이 기업에 대한 침입 테스트 같은 것이고, 기업에 관련 피드백을 제공한다면 긍정적인 혜택이 발생할 수도 있다. 보안 테스트에 대한 역량이 높은 정부가 도움을 주는 셈이기 때문이다. 이렇게 하면 기업에 혜택이 제공될 수 있을 것이다. 정부가 사전 예방적으로 취약점을 모니터링하는 것이기 때문이다. 그러나 이에 대해 통보를 하지 않으면 문제가 된다. 이 경우, 정부가 데이터를 가져갈 수 있다면 해킹이나 다름없다. 즉 정부 해킹을 합법화하는 것에 불과하다"고 설명했다. 


각국 정부의 기업 네트워크 개입, 증가 추세

중국의 프라이버시 및 보안 환경에 초점이 맞춰지는 경우가 많지만, 중국이 기업 네트워크에 더 많이 개입하려 시도하는 유일한 국가는 아니다. 예를 들어, 일본은 최근 정부 주도의 침입 테스트 계획을 발표했다. 그러나 그 범위가 IoT 장치의 기본 비밀번호, 또는 쉽게 추측할 수 있는 비밀번호에 대한 검사로 한정되어 있다.

베트남 또한 중국과 유사한 조항과 제약이 포함된 사이버보안 법을 최근 통과시켰다. 여기에는 정부의 시스템 ‘감사’ 권한에 대한 내용이 포함되어 있다. 호주와 영국도 암호화를 무력화시키고, 정부 주도의 백도어를 허용할 수 있어 논란을 불러일으킨 법안을 도입했다.

레코디드 퓨처의 모리우치는 "심지어 민주주의 국가를 포함, 많은 국가 정부가 기업 운영을 더 투명하게 들여다보고 통제하기 위한 압박을 가하고 있는 추세다. 모든 국가 정부들이 중국 같이 극단적인 규제를 도입하는 것은 아니지만, 전세계의 많은 정부들이 광범위하게 정보를 통제, 감독하고 있다. 미국에도 정부 주도의 침입 테스트가 있다. NCATS(National Cybersecurity Assessments and Technical Services) 등을 예로 들 수 있다. 그러나 기업과 기관의 요청과 요구가 있어야 침입 테스트를 실시한다.


중국 사이버보안 법에 대처하는 CISO의 준비 사항

네트워크 검사와 관련된 조항은 중국에서 시행되는 광범위한 요건 중 하나에 불과하다. 본지가 인터뷰를 한 전문가들은 중국에서 비즈니스할 때의 베스트 프랙티스, 네트워크 검사와 관련해 대비할 사항들을 소개했다.

- 중국의 법 환경, 기업 운영에 적용되는 방식을 이해하라. 쳉은 "중국에서 비즈니스를 할 경우 중국 법을 준수해야 하며, 영향을 주는 중국의 규제 환경을 파악해야 한다. 개인 정보 취급 여부, '중요 데이터' 취급 여부를 파악하고 여기에 해당하는 경우, 적용되는 또 다른 요건들이 있다. 이를 조사하는 것 또한 아주 중요하다"고 말했다.

- 반드시 법을 준수하라. 쳉은 "다양한 보안 규정을 준수하는 데 만전을 기해야 한다. 그래야 검사 및 조사 대상이 되었을 때, 일부 중국 국내 기업처럼 소환 또는 기소되는 문제를 피할 수 있다"고 강조했다.

- '새벽의 기습(Dawn Raid)' 프로토콜을 도입, 적용하라. 모리슨 앤 포레스터의 맥켄지는 "아시아에서 기업 활동을 하는 글로벌 기업들은 이른바 ‘새벽의 기습’ 프로토콜을 도입해 적용하는 것이 좋다. 그래야 규제 방문 시 효과적으로 대체할 수 있다. 예를 들어, PSB가 네트워크 보안에 대해 조사를 하기 위해 방문할 수 있다. 또는 반독점 관련 당국이 반독점 위반 사례를 조사하기 위해 방문할 수도 있다"고 말했다.

- 자사의 중국 내 네트워크를 파악하라. 레코디드 퓨처의 모리우치는 "소유 시스템에 대한 기준선을 마련해야 한다. 패칭을 하지 못한 알려진 취약점, 정부에 등록된 인프라 구성 요소, 등록되지 않은 인프라 구성 요소 등을 예로 들 수 있다. 이렇게 중국 국내 IT 인프라에 대해 완전한 기준선을 준비해야 한다. 해외 시스템과 연결된 방식도 파악해야 한다"고 말했다.

- 가능한 중국 내 네트워크와 분리하고, 감시 대상이 될 수 있음을 인식하라. 모리우치는 “중국 국내 운영을 해외의 나머지 네트워크와 가능한 분리시키는 것이 좋다. 중국 국내에서의 비즈니스와 조사, 연구 내용 등이 언젠가 중국 정부에 들어갈 수 있다고 가정해야 한다"고 말했다.

- 중국 네트워크와 해외 네트워크가 연결되는 지점에 추가적인 통제 및 모니터링 체계를 도입, 적용하라. 모리트 혹 앤 하므로프의 브레이덴바흐는 "내 컴퓨터에 액세스할 수 있는 중국 IP 주소가 있다면, 더 높은 수준의 보호 대책과 체계를 적용해야 한다. 특정 서버에서는 아예 차단할 수도 있다. 그래야 액세스 시도 자체를 막을 수 있다"고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.