Home > 전체기사
中 ‘사이버보안 심사방법’ 제정... IT 제품·서비스 심사
  |  입력 : 2019-05-27 17:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘중요 정보인프라’ 부문 IT 제품·서비스의 국가안보 위해 여부 중점 심사
‘정치·외교·무역 등 요인으로 IT 제품·서비스 공급 중단될 가능성’도 중점 평가
‘IT 제품·서비스 제공자가 외국 정부의 자금지원·통제 받는지 여부’도 평가 대상
국가인터넷정보판공실, 6월 24일까지 ‘초안’ 공개 의견수렴...연내 시행 전망


[보안뉴스 온기홍=중국 베이징] 중국 정부가 국내외 기업들의 IT 제품과 서비스가 자국의 중요한 핵심 정보기술 인프라와 국가안보 등을 해칠지 여부를 중점적으로 평가하고 보안 심사를 통과하지 못한 IT 제품과 서비스의 구매를 금지할 수 있는 새 규정안을 마련했다.

[이미지=iclickart]


특히, 중국 정부는 정치·외교·무역 등 비기술적 요인 때문에 IT 제품·서비스의 공급이 중단될 가능성이 있거나 IT 제품·서비스 제공업체가 외국 정부의 자금 지원을 받거나 통제를 받는 경우 등을 중점 평가 대상에 포함시켜 귀추가 주목되고 있다.

중국 사이버 관리감독 기관인 국가인터넷정보판공실은 24일 인터넷 홈페이지에 ‘사이버보안 심사방법’ 초안을 발표하고 공개적으로 의견을 수렴한다고 밝혔다.

국가인터넷정보판공실은 자국내 ‘중요 정보 인프라’의 보안 통제가능 수준을 높이고 국가안보를 수호하기 위해 기존 ‘국가안전법’, ‘사이버보안법’ 등 법률법규에 근거해 이번 ‘사이버보안 심사 방법’을 제정하게 됐다고 발표했다. 이번 ‘사이버보안 심사 방법’ 초안은 국가인터넷정보판공실과 국가발전·개혁위원회, 공업·정보화부, 공안부, 국가안전부, 상무부, 재정부, 중국인민은행, 국가시장감독관리총국, 국가라디오TV총국, 국가비밀보호국, 국가암호관리국이 연합해 마련했다.

국가인터넷정보판공실은 ‘사이버보안 심사’는 IT 제품·서비스의 보안성과 국가안보에 초래할 수 있는 위험 등 방면에서 종합적으로 분석하고 심사하게 된다고 밝혔다. 국가인터넷정보판공실은 ‘사이버보안 심사 방법’ 초안에 대해 6월 24일까지 한 달 동안 중국정부법제정보망 웹사이트, 전자우편, 우편을 통해 사회 각계로부터 의견을 받은 뒤, 초안의 수정 또는 보완 과정을 거쳐 정식 시행에 들어갈 계획이다. 시행 예정일에 대해서는 이번에 언급하지 않았으나, 이전 사례를 볼 때 올해 하반기 중이 될 것으로 관측된다.

‘정치·외교·무역 등 요인으로 IT 제품·서비스 공급 중단될 가능성’ 등 중점 평가
모두 21개 조항으로 이뤄진 이번 ‘사이버보안 심사 방법’ 초안의 내용을 살펴보면, 먼저 사이버보안 심사는 ‘중요 정보인프라’ 운영자의 (국내외) IT 제품·서비스 구매 활동이 초래할 수 있는 국가안보에 대한 위험을 중점적으로 평가하게 된다.

특히 평가에서 고려될 주요 요소로 △정치·외교·무역 등 비기술적 요인 때문에 IT 제품·서비스의 공급이 중단될 가능성을 포함해 IT 제품·서비스의 통제가능성, 투명성, 공급망 안전(10조 3항) △국방과 군수 산업·시설, 중요 정보인프라와 관련한 기술·산업에 대한 영향(10조 4항) △IT 제품·서비스 제공자가 외국 정부의 자금 지원을 받거나 통제를 받는 등의 상황(10조 6항)이 포함됐다.

이와 함께 △중요 정보인프라가 (제공자 등 외부로부터) 통제되고 방해를 받으며 업무연속성이 침해될 가능성을 포함해 중요 정보인프라의 지속적이고 안전하며 안정적인 운행에 대한 영향(10조 1항) △대량의 개인정보와 중요한 데이터 유출·분실·훼손·국외반출 등 가능성의 초래(10조 2항)도 평가 주요 요소들로 명시됐다.

또한 △IT 제품·서비스 제공자가 국가 법률과 행정법규 상황을 준수하고, 책임과 의무를 지기로 약속(10조 5항) △중요 정보인프라 안전과 국가안보를 해칠 수 있는 기타 요인(10조 7항)도 평가에서 중요하게 고려된다.

국가인터넷정보판공실은 ‘사이버보안 심사 방법’ 초안에서 언급된 ‘보안 통제가능’과 관련, “제품·서비스 제공자가 제품·서비스를 제공하는 편리 조건을 이용해 불법적으로 (고객) 이용자 데이터를 얻고 이용자 설비를 불법적으로 통제·조종해서는 안 되며, 제품·서비스에 대한 이용자의 의존을 이용해 부당한 이익을 도모하거나 이용자에게 업데이트·교체 등을 강요해서는 안 된다는 것을 가리킨다”고 설명했다.

개인정보와 중요 데이터 유출·분실·훼손·국외반출 시 사이버보안 심사 신고해야
중요 정보인프라 운영자는 자체 구매하는 IT 제품·서비스가 국가안보에 영향을 끼치거나 줄 수 있을 경우, 반드시 ‘사이버보안 심사 방법’에 따라 사이버보안 심사를 진행해야 한다. 운영자는 IT 제품·서비스 구매 시, 제품과 서비스 운행 후 초래될 잠재적 보안 위험을 예측하고 보안 위험 보고를 해야 한다.

구체적으로 운영자는 △중요 정보인프라 전체의 작동이 정지되거나 주요 기능이 정상적으로 작동될 수 없는 경우 △대량의 개인정보와 중요한 데이터의 유출·분실·훼손 또는 국외 반출 △중요 정보인프라의 운행 유지보수, 기술지원, 업그레이드·업데이트·교체 과정에서 공급망의 보안 위협에 직면할 경우 △중요 정보인프라의 보안을 중대하게 해치는 기타 위험과 잠재적 폐해가 초래될 수 있는 상황일 경우, ‘사이버보안심사판공실’(신설 예정)에 사이버보안 심사를 신고해야 한다.

이 같은 사이버보안 심사를 신고해야 하는 구매 활동과 관련, 중요 정보인프라 운영자는 구매 문건, 계약서 또는 기타 구속력을 갖는 수단을 통해 IT 제품·서비스 제공자에게 사이버보안 심사에 협력해 줄 것을 요구해야 한다. 아울러 운영자는 IT 제품·서비스 제공자와 사이버보안 심사 통과 후에야 계약의 효력이 발생함에 합의해야 한다.

중요 정보인프라 운영자는 사이버보안 심사를 신고할 때, 신고서, 보안 위험 보고, 구매 계약서·협의, 사이버보안심사판공실이 요구하는 기타 자료 등을 제출해야 한다. 사이버보안심사판공실은 사이버보안 심사를 접수한 후 30일(업무일 기준) 이내 초보 심사를 완료해야 하며, 상황이 복잡할 경우엔 15일을 연장할 수 있다.

사이버보안심사판공실은 초보 심사를 완료한 후 심사 결론 건의를 하고, 사이버보안 심사 업무 기제 구성원 기관에 보내 의견을 수렴해야 한다. 심사 결론 건의는 심사 통과, 조건부 심사 통과, 심사 미통과 등 세 가지 상황을 포함한다.

사이버보안 심사 업무 기제 구성원 기관들은 15일(업무일 기준) 이내 서면으로 의견을 회신해야 한다. 구성원 기관의 의견이 일치하면, 사이버보안심사판공실은 서면 형식으로 심사 결론을 운영자에게 전달한다. 구성원 기관의 의견이 일치하지 않을 경우, 특별 심사 절차에 들어가고 이를 운영자에게 통지하게 된다.

특별 심사 절차에 들어갈 경우, 사이버보안심사판공실은 유관 부처, 전문 기구, 전문가의 의견을 더 청취해야 하며, 심도 있는 분석 평가를 진행해야 한다. 이어 심사 결론 건의를 만들고 사이버보안 심사 업무 기제 구성원 기관들의 의견을 구한 후, 절차에 따라 ‘중앙사이버보안·정보화위원회’(옛 중앙사이버보안·정보화영도소조)에 보고해 승인을 받아야 한다. 특별 심사는 원칙 상 45일(업무일 기준) 이내에 끝나야 하며, 상황이 복잡할 경우 연장할 수 있다.

중요 정보인프라 운영자는 사이버보안심사판공실의 보충 자료 등의 제공 요구에 협조해야 한다. 심사 시간은 보충 자료 제출 일로부터 계산한다. 운영자는 제출한 자료의 진실성에 대해 책임을 져야 한다. 운영자가 심사 과정 중 자료 제출을 거부하거나 고의로 허위 자료를 제출할 경우엔 보안 심사 미통과 처리를 받게 된다.

사이버보안 심사에 참여하는 인원은 심사 업무 중 알게 된 정보 등에 대해 비밀보호 의무를 지며, 심사 이외의 목적에 이용해서는 안 된다. 중요 정보인프라 운영자는 보안 관리를 강화하고 IT 제품·서비스 제공자에게 사이버보안 심사 중 한 약속을 성실하게 이행토록 독려해야 한다. 사이버보안심사판공실은 샘플링 조사, 고발 신고 접수 등 형식을 통해 사전사후 감독을 강화해야 한다. 중요 정보인프라 운영자가 ‘사이버보안 심사 방법’ 규정을 위반할 경우, 기존 ‘사이버보안법’ 제65조 규정에 의거해 처리하게 된다.

사이버보안심사 업무, ‘중앙사이버보안·정보화위원회’가 지도
사이버보안 심사 업무는 ‘중국공산당 중앙사이버보안·정보화위원회’가 통일적으로 지도하게 된다고 국가인터넷정보판공실은 밝혔다. 국가인터넷정보판공실은 국가발전·개혁위원회, 공업·정보화부, 공안부, 국가안전부, 상무부, 재정부, 중국인민은행, 국가시장감독관리총국, 국가라디오TV총국, 국가비밀보호국, 국가암호관리국과 함께 국가 사이버보안 심사 업무 기제를 세우기로 했다.

사이버보안심사판공실은 국가인터넷정보판공실에 두며, 사이버보안 심사와 관련한 규정과 업무 절차를 제정하는 동시에 사이버보안 심사를 조직하고 심사결정을 감독하는 일을 책임지게 된다. 사이버보안심사판공실은 절차에 따라 중앙사이버보안·정보화위원회에 보고해 승인을 받고 ‘사이버보안 심사 방법’에 따라 심사를 진행해야 한다.

이외에 이번 ‘사이버보안 심사 방법’은 “국가 비밀 정보와 관련된 경우, 국가 유관 비밀보호 규정에 근거해 실시한다”고 명시했다. 앞으로 ‘사이버보안 심사 방법’의 정식 시행과 동시에 기존 ‘사이버 제품과 서비스 보안심사 방법’은 폐지된다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향