2019.10.30

중국의 MLPS 2.0, 사이버보안의 향상인가, 데이터 감시의 합법적 시도인가

Dan Swinhoe | CSO
새로운 버전의 중국 정보보안등급보호규정(Multi-Level Protection Scheme, MLPS)은 기업의 관리 범위를 넓히고 정부 검열의 제한을 낮춘다. 중국에서 사업을 하는 기업이라면 우려할만한 일이다. 
 
ⓒ Getty Images Bank  

중국 정부는 사이버보안에 관한 좀 더 나은 표준을 요구하기 위해 여러 가지 새로운 사이버보안 법을 통과시켰다. 이 가운데 일부는 사법집행 기관이나 정보 기관에 광범위한 권한을 부여해 중국 내 네트워크, 심지어 비 중국기업의 네트워크에서 발생하는 모든 것들을 면밀히 모니터링하고 조사한다. 

최근 수년 동안 가장 주목할 만한 것은 CSL(Chinese Cybersecurity Law)였다. 이 법률은 온라인 및 네트워크 활동의 거의 모든 측면을 지배하고 사법집행 기관에게 기업을 조사하고 감시할 수 있는 권한을 부여하는데, 기업 내 직원 사찰까지 가능케 한다. 

이제 MLPS 2.0으로 알려진 중국의 정보보안등급보호규정의 새로운 버전이 문제시 된다. 지난 수년동안 중국 정부는 주요 인프라로 간주하는 것에 대한 IT 보안 표준을 관리해왔다. 이 새로운 규정에서는 “주요”의 구성요소가 확대되고 정부의 사찰과 모니터링의 제한이 낮아져 잠재적으로 중국 사업체를 보유한 글로벌 기업에 영향을 줄 수 있다.  


중국의 다단계 보호 체계(MLPS)란 무엇인가 

미국 전략국제문제연구소(CSIS)는 최근 수년 동안 중국이 사이버보안과 관련된 약 300개의 새로운 국가 표준을 발표했다고 주장했다. 가장 최근에 변경된 사항 가운데 하나는 MLPS에 대한 업데이트였다. 

2008년부터 존재했던 현재 MLPS 하에서 네트워크 운영자(데이터를 보내거나 처리하는 연결된 컴퓨터나 시스템을 포괄하는 광범위한 용어)는 네트워크와 정보 시스템을 다른 수준으로 분류하고 이에 따라 보안 보호를 구현해야 한다. 이 체계는 정보통신 기술 시스템의 민감도를 1등급이 가장 낮고, 5등급을 가장 높게 평가한다. 등급이 높을수록 해당 시스템에 대한 서드파티 인증, 소스코드 전달, 연례 리뷰뿐만 아니라 중국 공안부(Ministry of Public Security)의 모니터링이 강화된다. 

법률업체인 리드 스미스에 따르면, 자체 인증이 정부 검토로 바뀌는 지점인 3등급은 네트워크 침해로 인해 중국 국민, 법인의 합법적인 권리와 이익에 특히 심각한 피해를 입힐 가능성이나 사회 질서와 공공 이익에 심각한 해를 끼치거나 국가 안보에 해를 끼칠 가능성이 있을 경우 발생한다.  


MLPS 2.0, 중국에서 활동하는 외국 기업에 영향을 미치는가 

싱크탱크인 뉴아메리카(NewAmerica)는 지난해 발표되어 2019년 12월 1일부터 시행되는 새로운 버전의 MLPS는 기업이 자체 보고하는 것보다 더 많은 감사로 전환하는 것이라고 밝혔다. 

MLPS 2.0 하에서 감시 대상인 네트워크는 본질적으로 모든 IT 시스템으로 확장된다. 주요 정보 인프라스트럭처(Critical Information Infrastructure, CII) 운영자로 간주되는 엔티티에 대해서는 불분명하게 정의해놓았기 때문에 모두 MLPS 적용대상에 속하게 된다. 특히 이는 더 많은 모니터링이 요구되는 3등급의 기준을 낮출 수 있다. 

3등급 이상의 네트워크는 사이버보안 모니터링, 탐지 및 대응, 관련 기관에 대한 사고 통보 등 많은 기업이 정책을 숙지하고 절차를 마련해야 한다. 이들은 최소 1년에 한번 이상 공무원들의 검사를 받게 된다. 

3등급 네트워크는 기술적으로 해외에서 원격으로 유지되는 것이 아니라 중국 내에서 유지되어야 한다. 해외에서 작업해야 하는 경우, 검사 시 반드시 기록해야 한다.  

2등급 이상의 네트워크는 중국 정부의 요청이 있을 경우, 적절한 테스트를 수행해 기록해야 한다. 또한 개인정보보호 정책과 절차에 관한 요구사항과 더불어 신기술과 애플리케이션으로 인한 보안 리스크를 평가해야 한다.  

홍콩의 사우스차이나모닝포스트(SCMP)에 따르면, 중국 사이버공안부(Cybersecurity Bureau)의 수석 엔지니어인 꾸오 치취안은 이번 계획의 주요 목표는 “전면 적용”이라고 밝혔다. 

치치안은 “모든 지역, 모든 부처, 모든 기업, 그리고 다른 기관 등 기본적으로 전체 사회를 포괄할 것”이라고 말했다. 또한 모든 네트워크, 정보 시스템, 클라우드 플랫폼, 사물인터넷, 제어 시스템, 빅데이터 및 모바일 인터넷을 포함해 사이버 보안 보호가 필요한 모든 대상을 다룰 것”이라고 밝혔다. 

또한 SCMP는 사이버공안부가 MLPS가 수집할 모든 데이터를 이해하기 위해 빅데이터 전문가를 모집했다고 보도했다. 


보안 향상을 위한 데이터 수집인가, 감시의 합법적인 시도인가 

CSL과 마찬가지로, 이 새로운 법률이 중국 네트워크의 보안을 높이기 위한 것인지, 중국내외 기업의 정보와 IP를 수집하기 위해 존재하는 것인지, 아니면 이 2가지 모두를 위해 존재하는 것인지에 대한 논란이 있다.  

CSIS 기술 정책 프로그램 책임자이자 수석 부사장인 제임스 앤드류 루이스는 이번 최신 법안은 중국 사이버공간 관리국(Cyberspace Administration of China, CAC)에서 중국의 “형편없는” 네트워크 보안을 향상시키기 위한 법적인 노력이라고 평가했다.    

루이스는 중국정부의 의도는 악의적인 목적으로 사용하지 않는 것이라고 말했다. “CAC는  중국에서 전반적인 네트워크 보안이 나쁘다는 것을 알고 있으며, 이를 변화시키기 위한 규칙과 원칙을 마련하고자 한다. 확실히 MLPS는 NIST 프레임워크와 비슷하고 여기에서 영감을 얻었다. 그러나 중국인들이 유용하다고 생각하는 추가적인 조치, 즉 검사 과정은 아니다"고 설명했다.
    
루이스는 MLPS가 실제로 데이터를 훔치려는 목적이 아니라고 주장했다. 이미 중국 정부는 부분적으로는 국가가 후원하는 APT 그룹과 같은 방식으로 원하는 데이터를 획득할 수 있는 대체 방법이 많기 때문이다. 이 계획은 대부분 액면 그대로 받아들여야 한다. 

루이스는 “매우 거슬리긴 하지만 이것이 중국이 선호하는 모델이다. 기업이 데이터와 네트워크를 보호하는 방법에 대한 통찰력과 통제력을 원한다. 더 큰 문제는 중국을 믿을 수 있냐는 것인데, 나는 믿지 않는다”면서, “눈을 크게 뜨고 지켜봐야 한다. 중국이 무언가를 원한다고 결정하면 그들은 어떤 수단을 사용해서라도 얻어낼 것이다. 중국 정보국이 데이터에 액세스하고자 한다면 그것은 부도덕적일 것이다. 중국은 기업에게 매우 강압적일 수 있다”고 말했다.   

중국에서 사업을 운영하는 기업은 2020년 1월 1일부터 시행되는 외국투자법(Foreign Investment Law)이 외국인 소유 기업(wholly foreign-owned enterprises, WFOEs) 또는 기타 외국인 투자 기업에 대한 특별 지위를 없앴으며 중국 내 기업과 같은 방식으로 취급한다는 점을 상기해야 한다. 이는 비정부 승인 VPN을 사용해 중국 외부의 다른 사업부와 연결하는 방식에 영향을 미칠 수 있다. 

루이스는 여러 정부 기관의 내부 정치로 인해 관련 기관의 직원 수나 전문가가 눈에 띄게 증가하지 않았기 때문에 모든 중국 정보 기관들은 중국에 진출한 가장 민감하고 높은 관심의 기업을 제외하면 중국내 기업에 초점을 맞출 것이라고 전망했다. 

그러나 MLPS와 관련해 루이스는 또 다른 잠재적인 악용 방법을 제시하고 있지만, 기업은 이미 중국에서 안전하게 운영하기 위해 기존의 사이버보안 법을 준수하려고 노력해왔으며, 이 보다 너무 많은 추가적인 통제 장치를 시행할 필요가 없다고 말했다. 

루이스는 “중국에 가는 일, 중국에서 하는 일에 대해 신중하게 생각해야 한다. 왜냐하면 항상 이용당할 수 있기 때문이다. 기업이 이미 사이버보안에 대해 진지하게 노력하고 있다면 중국 표준과 요구 사항에 맞도록 형식을 새로이 하고 중국 당국에 발표하기 위해 재포장하면 된다”고 말했다.  

루이스는 “중국 당국으로부터 규제를 어떻게 시행하고 있는지, 또는 중국 내의 보안를 향상시키기 위해 무엇을 했는지 질문을 받는다면 직접 답변할 수 있어야 한다. 중국법을 준수하고 있다는 것을 보여주기 위해서는 최소한의 노력이 필요하다”고 말했다. editor@itworld.co.kr


2019.10.30

중국의 MLPS 2.0, 사이버보안의 향상인가, 데이터 감시의 합법적 시도인가

Dan Swinhoe | CSO
새로운 버전의 중국 정보보안등급보호규정(Multi-Level Protection Scheme, MLPS)은 기업의 관리 범위를 넓히고 정부 검열의 제한을 낮춘다. 중국에서 사업을 하는 기업이라면 우려할만한 일이다. 
 
ⓒ Getty Images Bank  

중국 정부는 사이버보안에 관한 좀 더 나은 표준을 요구하기 위해 여러 가지 새로운 사이버보안 법을 통과시켰다. 이 가운데 일부는 사법집행 기관이나 정보 기관에 광범위한 권한을 부여해 중국 내 네트워크, 심지어 비 중국기업의 네트워크에서 발생하는 모든 것들을 면밀히 모니터링하고 조사한다. 

최근 수년 동안 가장 주목할 만한 것은 CSL(Chinese Cybersecurity Law)였다. 이 법률은 온라인 및 네트워크 활동의 거의 모든 측면을 지배하고 사법집행 기관에게 기업을 조사하고 감시할 수 있는 권한을 부여하는데, 기업 내 직원 사찰까지 가능케 한다. 

이제 MLPS 2.0으로 알려진 중국의 정보보안등급보호규정의 새로운 버전이 문제시 된다. 지난 수년동안 중국 정부는 주요 인프라로 간주하는 것에 대한 IT 보안 표준을 관리해왔다. 이 새로운 규정에서는 “주요”의 구성요소가 확대되고 정부의 사찰과 모니터링의 제한이 낮아져 잠재적으로 중국 사업체를 보유한 글로벌 기업에 영향을 줄 수 있다.  


중국의 다단계 보호 체계(MLPS)란 무엇인가 

미국 전략국제문제연구소(CSIS)는 최근 수년 동안 중국이 사이버보안과 관련된 약 300개의 새로운 국가 표준을 발표했다고 주장했다. 가장 최근에 변경된 사항 가운데 하나는 MLPS에 대한 업데이트였다. 

2008년부터 존재했던 현재 MLPS 하에서 네트워크 운영자(데이터를 보내거나 처리하는 연결된 컴퓨터나 시스템을 포괄하는 광범위한 용어)는 네트워크와 정보 시스템을 다른 수준으로 분류하고 이에 따라 보안 보호를 구현해야 한다. 이 체계는 정보통신 기술 시스템의 민감도를 1등급이 가장 낮고, 5등급을 가장 높게 평가한다. 등급이 높을수록 해당 시스템에 대한 서드파티 인증, 소스코드 전달, 연례 리뷰뿐만 아니라 중국 공안부(Ministry of Public Security)의 모니터링이 강화된다. 

법률업체인 리드 스미스에 따르면, 자체 인증이 정부 검토로 바뀌는 지점인 3등급은 네트워크 침해로 인해 중국 국민, 법인의 합법적인 권리와 이익에 특히 심각한 피해를 입힐 가능성이나 사회 질서와 공공 이익에 심각한 해를 끼치거나 국가 안보에 해를 끼칠 가능성이 있을 경우 발생한다.  


MLPS 2.0, 중국에서 활동하는 외국 기업에 영향을 미치는가 

싱크탱크인 뉴아메리카(NewAmerica)는 지난해 발표되어 2019년 12월 1일부터 시행되는 새로운 버전의 MLPS는 기업이 자체 보고하는 것보다 더 많은 감사로 전환하는 것이라고 밝혔다. 

MLPS 2.0 하에서 감시 대상인 네트워크는 본질적으로 모든 IT 시스템으로 확장된다. 주요 정보 인프라스트럭처(Critical Information Infrastructure, CII) 운영자로 간주되는 엔티티에 대해서는 불분명하게 정의해놓았기 때문에 모두 MLPS 적용대상에 속하게 된다. 특히 이는 더 많은 모니터링이 요구되는 3등급의 기준을 낮출 수 있다. 

3등급 이상의 네트워크는 사이버보안 모니터링, 탐지 및 대응, 관련 기관에 대한 사고 통보 등 많은 기업이 정책을 숙지하고 절차를 마련해야 한다. 이들은 최소 1년에 한번 이상 공무원들의 검사를 받게 된다. 

3등급 네트워크는 기술적으로 해외에서 원격으로 유지되는 것이 아니라 중국 내에서 유지되어야 한다. 해외에서 작업해야 하는 경우, 검사 시 반드시 기록해야 한다.  

2등급 이상의 네트워크는 중국 정부의 요청이 있을 경우, 적절한 테스트를 수행해 기록해야 한다. 또한 개인정보보호 정책과 절차에 관한 요구사항과 더불어 신기술과 애플리케이션으로 인한 보안 리스크를 평가해야 한다.  

홍콩의 사우스차이나모닝포스트(SCMP)에 따르면, 중국 사이버공안부(Cybersecurity Bureau)의 수석 엔지니어인 꾸오 치취안은 이번 계획의 주요 목표는 “전면 적용”이라고 밝혔다. 

치치안은 “모든 지역, 모든 부처, 모든 기업, 그리고 다른 기관 등 기본적으로 전체 사회를 포괄할 것”이라고 말했다. 또한 모든 네트워크, 정보 시스템, 클라우드 플랫폼, 사물인터넷, 제어 시스템, 빅데이터 및 모바일 인터넷을 포함해 사이버 보안 보호가 필요한 모든 대상을 다룰 것”이라고 밝혔다. 

또한 SCMP는 사이버공안부가 MLPS가 수집할 모든 데이터를 이해하기 위해 빅데이터 전문가를 모집했다고 보도했다. 


보안 향상을 위한 데이터 수집인가, 감시의 합법적인 시도인가 

CSL과 마찬가지로, 이 새로운 법률이 중국 네트워크의 보안을 높이기 위한 것인지, 중국내외 기업의 정보와 IP를 수집하기 위해 존재하는 것인지, 아니면 이 2가지 모두를 위해 존재하는 것인지에 대한 논란이 있다.  

CSIS 기술 정책 프로그램 책임자이자 수석 부사장인 제임스 앤드류 루이스는 이번 최신 법안은 중국 사이버공간 관리국(Cyberspace Administration of China, CAC)에서 중국의 “형편없는” 네트워크 보안을 향상시키기 위한 법적인 노력이라고 평가했다.    

루이스는 중국정부의 의도는 악의적인 목적으로 사용하지 않는 것이라고 말했다. “CAC는  중국에서 전반적인 네트워크 보안이 나쁘다는 것을 알고 있으며, 이를 변화시키기 위한 규칙과 원칙을 마련하고자 한다. 확실히 MLPS는 NIST 프레임워크와 비슷하고 여기에서 영감을 얻었다. 그러나 중국인들이 유용하다고 생각하는 추가적인 조치, 즉 검사 과정은 아니다"고 설명했다.
    
루이스는 MLPS가 실제로 데이터를 훔치려는 목적이 아니라고 주장했다. 이미 중국 정부는 부분적으로는 국가가 후원하는 APT 그룹과 같은 방식으로 원하는 데이터를 획득할 수 있는 대체 방법이 많기 때문이다. 이 계획은 대부분 액면 그대로 받아들여야 한다. 

루이스는 “매우 거슬리긴 하지만 이것이 중국이 선호하는 모델이다. 기업이 데이터와 네트워크를 보호하는 방법에 대한 통찰력과 통제력을 원한다. 더 큰 문제는 중국을 믿을 수 있냐는 것인데, 나는 믿지 않는다”면서, “눈을 크게 뜨고 지켜봐야 한다. 중국이 무언가를 원한다고 결정하면 그들은 어떤 수단을 사용해서라도 얻어낼 것이다. 중국 정보국이 데이터에 액세스하고자 한다면 그것은 부도덕적일 것이다. 중국은 기업에게 매우 강압적일 수 있다”고 말했다.   

중국에서 사업을 운영하는 기업은 2020년 1월 1일부터 시행되는 외국투자법(Foreign Investment Law)이 외국인 소유 기업(wholly foreign-owned enterprises, WFOEs) 또는 기타 외국인 투자 기업에 대한 특별 지위를 없앴으며 중국 내 기업과 같은 방식으로 취급한다는 점을 상기해야 한다. 이는 비정부 승인 VPN을 사용해 중국 외부의 다른 사업부와 연결하는 방식에 영향을 미칠 수 있다. 

루이스는 여러 정부 기관의 내부 정치로 인해 관련 기관의 직원 수나 전문가가 눈에 띄게 증가하지 않았기 때문에 모든 중국 정보 기관들은 중국에 진출한 가장 민감하고 높은 관심의 기업을 제외하면 중국내 기업에 초점을 맞출 것이라고 전망했다. 

그러나 MLPS와 관련해 루이스는 또 다른 잠재적인 악용 방법을 제시하고 있지만, 기업은 이미 중국에서 안전하게 운영하기 위해 기존의 사이버보안 법을 준수하려고 노력해왔으며, 이 보다 너무 많은 추가적인 통제 장치를 시행할 필요가 없다고 말했다. 

루이스는 “중국에 가는 일, 중국에서 하는 일에 대해 신중하게 생각해야 한다. 왜냐하면 항상 이용당할 수 있기 때문이다. 기업이 이미 사이버보안에 대해 진지하게 노력하고 있다면 중국 표준과 요구 사항에 맞도록 형식을 새로이 하고 중국 당국에 발표하기 위해 재포장하면 된다”고 말했다.  

루이스는 “중국 당국으로부터 규제를 어떻게 시행하고 있는지, 또는 중국 내의 보안를 향상시키기 위해 무엇을 했는지 질문을 받는다면 직접 답변할 수 있어야 한다. 중국법을 준수하고 있다는 것을 보여주기 위해서는 최소한의 노력이 필요하다”고 말했다. editor@itworld.co.kr


X