신판수 지오유 대표, 상하이화동 한국IT기업협의회 19대 회장

필자는 2000년부터 IT 소프트웨어 개발자로 IT업계에 입문했고 2010년 중국에 진출해 상하이에서 재중한국기업을 대상으로 그룹웨어와 e-HR솔루션을 서비스하고 있다. 중국은 급격하게 디지털화를 겪고 있고 기술이 발전하고 있다. 최근 잇따라 IT관련 데이터 안전을 강화하기 위한 법률적 조치를 취하고 있으며 근본이 되는 법안이 '네트워크 안전법'이다.

1. 제정 배경 

중국 네트워크 안전법(이하 안전법)은 2016년 11월 제12기 전국인민대표대회 제12차 회의에서 통과돼 2017년 6월 1일부터 시행된 법률이다. 이 법은 총 7장 79조로 구성돼 있으며, 네트워크 안전의 보장, 네트워크 공간 주권과 국가 안보, 사회 공공 이익의 수호, 인민/법인과 기타 조직의 합법적 권익의 보호, 경제 사회 정보화의 건전한 발전을 촉진하는 것을 목적으로 한다.

2. 주요 내용

안전법은 네트워크 안전의 책임과 의무를 규정하고, 네트워크 안전을 위협하는 행위 금지, 네트워크 안전 관리체계 구축, 네트워크 안전사고에 대한 대응체계 마련, 데이터 경내 저장, 시스템별 보안등급 취득(1~5등급) 등에 대한 내용을 포함한다. 이 중 데이터 경내 저장에 대한 내용이 한국기업과 같은 외자기업들에 미치는 영향이 크다. 

3. 국가 안보와 개인 정보 보호의 딜레마

중국 네트워크 안전법은 국가 안보와 개인 정보 보호의 딜레마를 해결하기 위한 노력의 일환으로 제정됐으며, 인터넷에서 표현의 자유를 제한하고, 개인 정보의 수집과 사용을 규제하는 등의 내용을 담고 있다. 이러한 내용은 개인 정보 보호에 대한 우려를 불러일으키고 있다. 개인 정보 관리가 강화되면서 사생활 침해 및 악용 등의 가능성이 있기 때문이다. 

4. 시스템별 보안등급 취득

제21조에 근거해 국가는 네트워크 안전등급 보호제도를 실시해 네트워크 운영자의 책임하에 5개의 보안등급을 받아야 하며, 제38조 정보인프라 운영자는 반드시 자체 진행 또는 네트워크 보안 서비스 기구 위탁을 통해 네트워크의 보안성과 존재할 수 있는 위험에 대해 매년 최소 1회 보안 평가를 진행해야 한다.

네트워크 운영자가 이 법을 이행하지 않을 경우 관련 부분에 시정을 요구하고 경고를 한다. 시정을 거절하거나 불이행해 네트워크 보안을 위협하는 결과를 초래할 경우 1만 위안 이상, 10만 위안 이하의 벌금에 처하고, 직접 책임 주관자에게는 5000위안 이상, 5만 위안 이하의 벌금에 처한다. 

<분야별 영향력 및 적용 대상>

* 주: 적용 대상은 필자의 판단이며 실제와 차이가 있을 수 있음

5. 우리 기업 대응 방안

네트워크 안전법에 대해 법률적으로 이해하고, 중국 내에서 사용하고 있는 네트워크 제품이나 서비스를 점검해야 한다. 먼저 개인정보 및 중요 데이터를 중국 내에 저장하고 있는지 확인하고 업무 목적으로 중국 국외에 제공해야 할 경우 정부의 안전성 평가를 진행하고 승인을 받아야 한다. 또한 네트워크 안전관리 정책과 매뉴얼 제정, 사고 대응체계 수립, 핵심 정보 분류, 인원과 조직 등 관리 규정을 보안하고 개인정보 관리 규정을 수립해야 한다.

아래는 필자가 추천하는 대응 방안 순서이며, 합리적인 대응을 하려면 조직, 과정, 제도, 교육이 필요하다. 

① 네트워크 안전법 규칙 및 규정에 대한 이해 → ② 해당하는 시설 확인 → ③ 조직구성 및 내부규정 마련 →  ④ 인터뷰 → ⑤ 소프트웨어/하드웨어 점검 및 진단 → ⑥ 개선 및 처방

또한 회사에서 사용하고 있는 시스템을 분석해 개인정보나 외부 접속 여부에 따라 시스템별로 보안등급을 취득해야 한다.

<재중 한국기업의 네트워크 안전법 보안등급 사례>

[자료: 보안등급 전문기업 AZ글로벌(www.azglobal.cn)]

네트워크 안전법은 국가 안보와 개인 정보 보호라는 두 가지 측면에서 긍정적, 부정적인 측면을 모두 가지고 있다. 긍정적 측면은 국가 안보를 강화하고, 사이버 공격과 테러리즘으로부터 국민을 보호하는 데 기여할 수 있다는 것이다. 또 개인 정보의 유출과 악용으로부터 국민을 보호하는 데 기여하고, 이를 바탕으로 궁극적으로 인터넷의 건전한 발전을 촉진하고 사회 공공 이익을 보호할 수 있다. 부정적 측면은 개인 정보 보호에 대한 우려를 불러일으킬 수 있고, 인터넷의 자유로운 발전을 제약할 수 있다는 점이다. 이에 따라 중국의 특성과 네트워크 안전법 제정 취지에 대한 이해가 필요하다.

중국의 네트워크 안전법과 같은 사이버상의 보안 강화는 AI 시대에 세계적인 추세가 되고 있다. 우리 기업은 기업 내 네트워크 운영자/관리자를 지정하고 관리체계 및 내부규정을 정비·마련해 지속적인 관리를 하고, 교육을 진행해야 한다. 동시에 사업주 역시 관심을 가지고 지원해, 이 법을 보안의 중요성을 인식하는 전화위복의 기회로 생각해야 할 것이다. 

※ 본 글은 외부 전문가의 기고문으로 KOTRA의 공식 의견이 아님을 알려드립니다.