- 전자상거래법 등을 통한 중국 내 데이터 보호 강화 -

- 네트워크 안전등급 보호는 정보보안을 보장하는 기본제도이자 전략 -

□ 개요

ㅇ 올해 3월 12일, KOTRA 베이징 IT 지원센터와 한국 인터넷진흥원(KISA)은 한국 진출기업의 중국 네트워크안전법 준수를 지원하기 위해 ‘2019 네트워크안전법 대응 설명회’ 개최
    - 중국 진출 국내 은행 포함 38개사 50명 참가 
    - 2017년 6월부터 시행된 중국 네트워크안전법은 사업을 영위하기 위해 필수적으로 지켜야 할 법률이며 위반 시 처벌도 엄중함.
    - 이에 이번 설명회는 네트워크안전법 관련 중국 최신 법제도 동향, 기업이 네트워크 안전등급을 획득하는 과정 및 준비 절차, 방법 등을 알려주고자 추진

  ㅇ 당일 행사는 후강 변호사의 '네트워크안전법 관련 최신 법제도 동향' 분석, 딜로이트 중국 파트너 샤오텅페이의 '기업의 네트워크 안전등급 획득 과정 및 준비사항' 설명, 중국 민생은행 위안징 CISO의 '기업 정보시스템의 등급 결정과 등록 과정' 설명, Q&A 등으로 구성

행사 일정

□ 설명회 현장

① 중국 네트워크안전법 법제의 진전현황[후강(胡钢) 변호사(중국인터넷협회)]

  ㅇ 중국 인터넷 관련 법제도는 2000년부터 시작돼 미국, EU 등의 법제도를 참고하며 발전해왔음.
    - <전인대상무위원회의 인터넷 보안에 관한 결정>(2000년 12월 28일)과 국무원 <인터넷 정보 서비스 관리방법> 및 <전신조례> 등 발표
    - 2013년 10월 25일, <소비자 권익 보호법> 수정, 2014년 3월 15일부터 시행
    - 2013년 11월, 국가안보위원회를 설립해 국가 안보체제와 국가 안보전략을 개선하고 국가 안보를 확보함 
    - 시진핑 주석의 '인터넷 보안 없이는 국가 안전도 없고 정보화 없이는 현대화도 없다.'라는 담화가 중국 인터넷 보안의 중요한 전환점

  ㅇ 인터넷 보안과 정보보호 분야의 입법 가속화, 네트워크안전법 초안 마련
    - <국가보안법>(2015년 7월 1일부터 시행) 발표, 다분야의 국가 안보 수호, 국가 안보체계 구축, 중국 특유의 국가 보안 실현
    - 2015년 12월 <테러방지법> 발표, 인터넷 보안과 정보 콘텐츠 감독 제도 및 안전 기술 방범 조치 시행, 테러리즘과 극단주의 콘텐츠 포함된 정보 유포 방지 등 한국 법과 거의 유사
    - 2016년 6월, 제12기 전인대 상무위원회 제21차 회의에서 <네트워크안전법(초안)> 심의(2심) 
    - 2017년 6월 1일, <중화인민공화국 네트워크안전법> 시행

  ㅇ 2018년 공안부, <인터넷 안전 등급 보호 조례(의견수렴안)>에 대해 공개적으로 의견 수렴
    - 2018년 4월 전국 인터넷 보안과 정보화 업무회의에서 시진핑은 인터넷 안보가 없으면 국가 안보가 없고 경제 사회의 안정적 운행, 다수 국민 대중의 이익도 보장하기 힘들다는 점 강조 
    - 2018년 8월 전자상거래법 발표, 2019년 1월 1일부터 시행

② 기업의 등급 보호 시행 방식[샤오텅페이(肖腾飞) Deloitte 중국 파트너]

  ㅇ ‘사이버 보안 등급 보호 사업’ 전개의 기본과정을 기준으로 시스템 등급 결정 심사, 등록, 차이 평가, 개편 및 측정 실시 
    - 등급 보호의 결정단계에서 기존의 초기 결정 결과를 바탕으로 추가로 분석해 시스템 등급 결정이 합리적인지 판단 후 최종 결과를 건의
    - 기업은 ‘등급 보호’의 기본적인 요구사항에 근거해 인터뷰, 서류조사, 테스트 등 다양한 수단을 통해 관리와 기술적으로 존재하는 부족한 부분을 찾아내고 시스템의 보안 리스크를 분석해야 함.

    - 또한 회사와 등급 보호의 보안 차이를 평가한 뒤에는 합리적인 개편 건의를 해야 함.
    - 기업은 이러한 개편 건의를 바탕으로 보안관리체계, 보안기술체계에 대해 개편 작업을 실시하고 개편 결과에 대한 검증을 실시해야 함.
    - 등급 보호의 측정 단계에서 기업은 측정기관에 연락해 현장 측정 작업을 수행하고 현장 측정 문제에 대한 개선방안 제시에 협조해야 함.
    - 등급측정의 기본 과정은 측정 준비, 계획작성, 현장 측정, 분석 및 보고서 작성으로 나뉘며 양측 간의 의사소통과 협의는 측정 과정 전반에 걸쳐 이뤄져야 함.

사이버 보안 등급 보호 사업 전개 기본과정

자료원: 화융(华永)회계사무소

③ 은행업 정보보안등급 보호 구축 시행[위안징(袁靖) CISO(중국민생은행)]

  ㅇ 네트워크 보안등급 보호는 국가 정보보안을 보장하는 기본 제도이자 기본 전략 
    - 네트워크 안전등급 보호 업무는 정보와 정보 매체에 대해 중요성 등 급수에 따라 차등 보호하는 작업
    - 정보 시스템을 운영하거나 사용하는 업체는 국가 기준에 부합하는 평가기관을 선택해 <정보보안 기술 네트워크 안전등급 보호 기본 요구> 등 기술 표준에 의해 정기적으로 정보 시스템에 대한 평가 업무를 진행해야 함.

  ㅇ 네트워크 안전등급 보호제도는 2.0시대에 진입 
    - 네트워크 안전법 제21조의 명확한 요구, 국가에서 네트워크 안전등급 보호제도 시행
    - 국가 핵심 정보인프라 안전보호를 중점으로 하는 네트워크 안전등급 보호제도 구축 및 완비

정보 시스템 등급 보호의 등급과 관리 기준

자료원: 중국 민생은행

  ㅇ 일반 기업은 2급 또는 3급, 은행은 보통 4급 안전등급
    - 예를 들어 일반적인 기업이 가장 많이 해당되는 3급 정보 시스템이 침범당할 경우 공민, 법인과 기타조직의 합법 권익에 대해 특별히 심각한 손해가 발생할 수 있으며 사회질서와 공공이익에 대해 심각한 손해를 끼치거나 국가안보에도 손해를 끼칠 수 있음.
 
□ Q&A 현장

자료원: KOTRA 베이징 IT 지원센터

Q1) 안전등급의 세부사항을 정의하기 위해 적용된 국제표준이 있나?
A1) 전체의 90% 정도는 ISO27001(보안인증 프레임워크) 기반, 10% 정도는 중국 상황에 맞게 조정된 것이므로 ISO27001에 맞게 준비하면 됨.

Q2) 일반적으로 중국 내 독일·일본의 자동차 기업들이 안전등급 인증을 서둘러 추진하고 있는데 그 원인은 무엇이라고 생각하는가?
A2) 이 회사들은 규제를 위반할 경우 거액의 벌금이나 영업 정지 등의 처벌을 받을 수 있는 리스크가 있다고 판단하고 있음.

Q3) 기업이 임의로 등급을 낮춰서 인증받을 수 있는가?
A3) ‘안전등급’ 인증을 받기 위해서는 반드시 평가기관의 인증을 받아야 하므로 시스템 등급산정이 틀릴 경우 인증을 거부당하거나 최초 등급산정부터 다시 해야 함.

Q4) 민생은행의 ‘안전등급’ 인증 결과는?
A4) 총 480여 개의 정보 시스템 중 2급 13개, 3급 13개, 4급 1개 외 나머지는 1급이며, 총비용으로 500만 위안(약 8억5000만 원)이 소요됨. 은행의 경우 입출금 시스템이 대부분 4급으로 판단됨.

자료원: KOTRA 베이징 무역관 자료 종합