>
연구(Insikt)

중국 사이버보안법, 국가안전부에 해외 기술에 대한 전례 없는 새로운 권한 부여

게시일: 2017년 8월 31일
작성자: Insikt Group

insikt-group-logo-alt.png

이 게시물에서는 중국의 새로운 사이버보안법(CSL)의 국가안보 검토 부분을 지원하기 위해 활용되는 중국 정보 보안 조직에 대한 심층 분석을 제공하고 국가안전부가 운영하는 사무실의 확대된 역할을 공개합니다.

Executive Summary

2017년 6월 1일, 수년간의 국내외 논쟁 끝에 마침내 중국의 국가 사이버 보안법이 발효되었습니다. 이 법의 대부분은 중국 사용자의 데이터 보호에 초점을 맞춘 반면, 이 법에 대한 평가는 외국 기업과 기술에 미칠 수 있는 부정적인 영향과 부담스럽고 모호하며 광범위한 새로운 법적 요건을 준수하는 데 어려움이 있다는 점을 강조했습니다.

레코디드 퓨처의 연구는 사이버보안법이 중국 최고의 해외 정보기관인 국가안전부 산하 중국정보기술평가센터(CNITSEC)에 부여한 광범위한 권한에 초점을 맞췄습니다. 이 법은 외국 기업이 중국 시장에서 사용하거나 판매하고자 하는 기술에 대한 '국가 보안 검토'(35조 참조)를 실시할 수 있는 권한을 CNITSEC을 포함한 '네트워크 정보 부서'에 부여하고 있습니다.

중국 국가정보원이 CNITSEC을 통해 중국의 정보 보안 아키텍처에 통합되면 (1) 중국이 자체 정보 작전에서 악용할 수 있는 외국 기술의 취약점을 파악할 수 있고, (2) 외국 기업이 독점 기술이나 지적 재산을 국가정보원에 넘기거나 2018년 2420억 달러로 예상되는 중국 본토 정보 기술 시장에서 배제되는 불가능한 선택을 할 수 있게 될 것입니다.

중국 사이버보안법-2a.jpg

배경

2017년 5월 블로그 게시물에서 위협 행위자 그룹 APT3의 배후를 중국 국가안전부라고 밝힌 바 있으며, 실제로 국가안전부가 운영하는 중국 정보 보안 조직인 CNITSEC(이 글에서는 "센터"라고도 함)도 확인했습니다.

중국 사이버보안법-1.png

"중국과 사이버 보안: 디지털 영역에서의 스파이 활동, 전략, 정치"에 따르면 CNITSEC은 중국 국가안전부(MSS)가 운영하며 정보기관의 사이버 기술 전문 지식의 상당 부분을 보유하고 있습니다. CNITSEC은 "취약성 테스트 및 소프트웨어 신뢰성 평가를 수행"하는 데 사용됩니다. 2009년 미국 국무부 케이블에 따르면, 중국은 CNITSEC의 활동에서 파생된 취약점을 정보 작전에도 사용할 수 있다고 합니다. CNITSEC의 전 국장이자 현 당 비서인 우시중은 2016년 1월까지 중국 국가정보보안표준위원회 부주임으로 근무하는 등 스스로를 국가안전부 소속이라고 밝히기도 했습니다.

분석

새로운 정보 기술 규제 체제에서 CNITSEC의 역할은 지난 몇 달 동안 중국 정부가 CSL을 지원하기 위한 규정을 확정하고 공표하기 시작하면서 분명해졌습니다.

사이버 보안법은 광범위하고 용어가 모호합니다.

CNITSEC의 역할에 대해 자세히 알아보기 전에 먼저 CSL의 관련 조항과 외국 기업이 부담할 수 있는 의무를 검토하는 것이 중요합니다(영문 번역본은 중국 법률 번역을 참조하세요). 중국 당국이 국가 안보 검토, 정부 당국과의 데이터 공유, 심지어 독점 기술이나 지적 재산에 대한 조사까지 강제할 수 있는 모호한 표현을 포함하고 있기 때문에 기업은 CSL과 2015년 국가보안법의 부정확성과 광범위함에 유의하는 것이 중요합니다.

2016년 11월 법이 통과되었을 때, 법에서 가장 정의가 미흡했던 섹션 중 하나가 바로 '제3장'이었습니다: 네트워크 운영 보안"이었습니다. 3장에는 "네트워크 운영자"의 "네트워크 보안 보호" 책임과 "중요 정보 인프라"를 운영하는 기업에 대한 추가적인 법적 책임을 정의하는 18개 조항이 포함되어 있습니다.

위에 언급된 세 가지 용어 중 하나만 법률 자체에 정의되어 있습니다. CSL에 따르면 "네트워크 운영자"는 "네트워크 소유자, 관리자 및 네트워크 서비스 제공업체"를 의미합니다. KPMG의 법률 분석에 따르면:

네트워크를 통해 서비스를 제공하고 비즈니스 활동을 수행하는 기업 및 기관도 "네트워크 사업자"로 정의할 수 있습니다. 전통적인 통신 사업자 및 인터넷 회사 외에도 네트워크 사업자도 포함될 수 있습니다:
  • 은행, 보험사, 증권사, 재단 등 시민의 개인정보를 수집하고 온라인 서비스를 제공하는 금융기관.
  • 사이버 보안 제품 및 서비스 제공업체.
  • 웹사이트를 보유하고 네트워크 서비스를 제공하는 기업.

이는 중국에서 인터넷을 사용하거나 사용자 데이터를 수집하는 모든 비즈니스를 포괄할 수 있을 정도로 광범위하게 해석할 수 있는 용어입니다. 또한 '네트워크 사업자'로 분류되는 기업은 대량의 사용자 데이터를 해외로 전송하려는 경우 정부 규제 기관의 심사를 받아야 합니다(제37조 참조).

CSL 제28조에 따르면 '네트워크 사업자'는 공공 및 국가 보안 기관에 '국가 안보 유지 및 범죄 수사'를 위한 지원을 제공할 의무도 있습니다. 이로 인해 기업은 서구에서는 범죄로 간주되지 않는 사용자 또는 활동, 특히 "인터넷 관련 범죄"에 대한 정보를 중국 법 집행 기관 및 국가 보안 기관에 제공해야 하는 상황에 처할 수 있습니다. 이러한 "인터넷 관련 범죄"에는 인터넷을 사용하여 "사실을 조작 또는 왜곡하고, 유언비어를 퍼뜨리고, 사회 질서를 어지럽히고," "타인을 모욕하거나 비방하고," "유해한 정보를 전파"하는 행위가 포함됩니다. 일부 '네트워크 사업자'는 법에 따라 '중요 정보 인프라'를 운영하는 것으로 분류되어 더욱 엄격한 규제와 검토를 받습니다. CSL 본문에서는 '중요 정보 인프라'를 다음과 같이 분류하고 있습니다:

공공 통신 및 정보 서비스, 전력, 교통, 수도, 금융, 공공 서비스, 전자 정부(e-gov), 기타 파괴되거나 기능이 상실되거나 데이터가 유출될 경우 국가 안보, 국가 경제 및 국민 생활 또는 공익을 심각하게 위협할 수 있는 중요 정보 기반 시설입니다.

중국 정부의 '국가 안보'에 대한 정의는 2015년 7월 '국가보안법'에서 다음과 같이 공식화되었습니다:

국가의 통치권, 주권, 통일 및 영토 보전, 국민의 복지, 지속 가능한 경제 및 사회 발전, 기타 주요 국가 이익에 대한 국제적 또는 국내적 위협이 상대적으로 부재하며 지속적인 안보 상태를 보장할 수 있는 능력을 의미합니다.

파이낸셜 타임스는 이 분야의 기업과 이들이 구매하는 모든 제품이나 서비스도 "국가 보안 검토"의 대상이 될 것이며, 이에 따라 정부가 "컴퓨터 프로그램 소스 코드를 요청"하고 "기업의 지적 재산에 대한 조사"를 할 수 있다고 보도했습니다. 이 기사는 또한 "패스트푸드 배달 업체도 중요 인프라로 간주될 수 있다고 상하이 규제 당국은 법 시범 운영 기간 동안 판결했다"며 "아마도 수백만 명의 중국 사용자에 대한 개인 정보를 보유하고 있기 때문일 것"이라고 설명합니다.

CLS에서 MSS 수집 기회를 제공하는 CNITSEC의 역할 APT3와 MSS에 대한 블로그에서 설명하고 위에서 다시 설명한 바와 같이 CNITSEC은 MSS와의 관계를 공식적으로 인정한 적이 없지만 중국 국가, 당 및 정부 기관에 서비스를 제공하고 CSL에 따라 검토를 수행하는 센터의 임무는 잘 문서화되어 있습니다.

  • CNITSEC의 웹사이트는 이 센터가 중앙 정부로부터 부여받은 광범위한 권한으로 당 및 정부 정보 네트워크의 보안 취약성 평가 및 위험 평가, 정보 기술, 제품 및 시스템의 보안 테스트, '일류' 취약성 분석 자원 및 장비, 전문 연구 개발 기술 연구소 등을 수행한다고 설명합니다.
  • 2017년 6월 중국 신문 서던 메트로폴리탄과의 인터뷰에서 CNITSEC의 수석 엔지니어 왕쥔은 CNITSEC이 중국 정부로부터 CSL에 따라 국가 보안 검토를 수행할 수 있는 인증을 받았다고 확인했습니다. 또한 왕은 관련 정부 부처, 국가 산업 또는 사용자와 대중을 포함한 시장에서 검토를 시작할 수 있다고 설명했습니다.
  • 이달 말 한 컨퍼런스에서 왕 부장은 같은 주제로 기조 연설을 하면서 외국 상업 투자, 기술, 제품, 서비스에 대한 국가 안보 검토 및 감독에 대한 법적 요건을 정한 2015년 국가보안법 59조와 중국의 13차 5개년 계획에 따라 의무화된 안보 검토, CSL에서 의무화한 국가 안보 검토를 명시적으로 연결시켰습니다.

왕(아래 사진)은 이 연설에서 CSL 국가 안보 검토는 국가 안보에 미칠 수 있는 영향, 보안 위험, 보안 신뢰성, 통제, 보안 메커니즘 및 기술 투명성에 초점을 맞출 것이라고 강조했습니다. 그는 표면적으로 객관적이고 독립적인 전문 '제3자'가 검토를 수행할 것이라고 주장했지만, 과기정통부 산하 기관인 국가정보기술표준원이 공인된 국가 보안 검토 기관으로 등장하면서 다른 기관도 인증을 받았는지 의문이 제기되고 있습니다.

중국 사이버보안법-3.png

CNITSEC은 또한 중국의 정보 보안 평가 센터인 중국 국가 정보 보안 취약성 데이터베이스 (CNNVD)를 운영하며 국가 정보 보안 취약성 데이터 관리 플랫폼의 구축, 운영 및 유지 관리를 담당하고 있습니다.

중국 사이버보안법-4.png

겉으로 보기에 CNNVD는 소프트웨어 취약점을 공개적으로 식별, 보고 및 패치를 생성하는 임무를 맡은 미국 국토안보부(DHS) 내 부서에서 운영하는 미국 정부의 국립표준기술연구소(NIST) NVD와 같은 다른 국가 취약점 데이터베이스(NVD)와 유사하게 운영되고 있습니다. 중국에는 DHS에 해당하는 기관이 정확히 존재하지는 않지만, 공안부(MPS)의 임무와 범위가 가장 유사하며 중국의 DHS에 해당하는 기관으로 널리 알려져 있습니다. 중국 국가안전부의 가장 유사한 미국 기관은 중앙정보국(CIA)이지만, 중국 국가안전부는 중국 내 정보 수집 권한도 가지고 있으며, 일부 기능은 연방수사국(FBI)과 유사합니다. 비교를 위해 CNNVD를 실행하는 MSS는 NIST NVD를 실행하는 CIA와 거의 동일합니다.

중국 국가안전부, 더 넓게는 중국 정보 보안 조직 인프라에서 국가안전부의 역할에 대한 근본적인 문제는 국가안전부가 해외 정보 및 방첩 작전을 모두 담당하는 중국의 '선도적인 민간 정보 기관'이라는 점입니다. "중국의 안보 국가: 철학, 진화, 정치"에 따르면 국가안전부는 "국가 안보와 관련된 민간 정보를 수집 및 평가하고 외국에 대한 대간첩 작전을 수행할 책임이 있다"고 합니다.

즉, 중국 사이버 보안법의 광범위한 언어와 새로운 권한을 이용해 해외 기술의 취약점에 접근하여 자체 정보 작전에 악용할 수 있는 권한을 얻으려는 것입니다. CNNVD를 통해 취약점이 보고되면 이를 운영하기 때문에 소프트웨어나 하드웨어의 치명적인 취약점을 쉽게 찾아내어 대중에게 숨기고, 이를 뒤돌아서서 자신들의 업무에 사용할 수도 있습니다.

MSS가 CNNVD를 실행하는 방식과 CIA 또는 NSA가 NIST NVD 시스템과 상호 작용하는 방식에는 두 가지 중요한 차이점이 있습니다. 첫째, 섀도우브로커스 그룹에 의해 인수되기 전에는 NSA 도구의 ETERNAL 시리즈가 악용하는 취약점이 Microsoft나 NIST NVD에 확인되지 않았다는 사실이 널리 문서화되어 있지만, NSA는 NIST NVD에 등재되어 있지 않으며 데이터베이스에서 이러한 취약점을 적극적으로 검열하지도 않았습니다. 미래창조과학부(CNITSEC을 통해)는 CNNVD를 운영하며 대중에게 보고된 취약점을 억제하거나 통제할 수 있습니다.

둘째, 중기부는 CNNVD가 수행한 연구를 활용하여 운영을 지원할 수 있습니다. NSA 및 CIA와 같은 미국 정보 기관은 자체 연구를 기반으로 취약점을 식별하며 NIST NVD의 비공개 연구를 활용하는 것은 허용되지 않습니다.

영향

CSL의 정의가 모호하고 불투명하기 때문에 많은 외국 기업, 특히 '중요 정보 인프라'의 일부로 간주되는 기업들은 독점 기술/지적 재산을 중국 국가안전부에 넘기거나 중국 본토 시장에서 배제되는 암울한 선택을 해야 할 것입니다. 중국 국가안전부의 보안 검토를 받도록 허용하면 현재 고객이나 사용자가 중국 국가가 후원하는 사이버 공격의 위험에 노출되는 2차적인 파급 효과가 발생할 수 있습니다.

중국에서 비즈니스를 수행하려는 외국 기업, 특히 '중요 정보 인프라' 부문의 기업은 이제 중국에서 사업을 운영할 때 이전에는 고려하지 않았던 수많은 기술적, 법적, 윤리적 결정에 직면하게 됩니다. 이러한 결정은 다양한 산업 분야의 기업의 전술적, 전략적 계획과 운영 모두에 영향을 미칩니다.

첫째, 기업은 자체 제품이나 서비스에서 취약점을 발견하고 운영할 수 있다는 지식을 바탕으로 세 가지 가능한 위험 시나리오를 평가해야 합니다:

  • 회사 자체 시스템 또는 네트워크에 대한 위험.
  • 회사의 제품 또는 서비스에 대한 위험.
  • 전 세계 고객, 클라이언트 또는 사용자에 대한 파생적 위험.

중국에서 사용되는 대부분의 제품과 서비스는 글로벌 제품과 완전히 다른 것이 아니기 때문에 MSS가 발견한 취약점이 이러한 기계, 네트워크, 제품 및 서비스의 해외 사용자들을 악용하는 데 사용될 위험이 높습니다. 느슨하게 정의된 이 '중요 정보 인프라' 부문에 속한 기업이 가장 큰 위험에 노출되어 있습니다. 여기에는 소프트웨어 및 하드웨어 공급업체, SaaS(서비스형 소프트웨어), IaaS(서비스형 인프라), PaaS(서비스형 플랫폼) 회사, 클라우드, 보안 및 네트워크 제공업체 등이 포함될 가능성이 높습니다.

둘째, 국내 조사 대상에 대한 정보를 제공하여 중국 당국에 협조하면 기업은 유럽과 북미에서 대중의 비판, 소송, 여러 정부 기관의 비난에 노출될 수 있습니다. 2007년, 야후는 반체제 언론인의 투옥과 관련된 정보를 중국 당국에 제공한 혐의로 초당파적인 의회 청문회의 도마 위에 올랐습니다. 이 회사의 CEO와 총회는 하원 외교위원회 위원장으로부터 '도덕적 피그미', '무책임한' 기업으로 낙인찍혔고, 사건 이후 시민권 단체와 함께 회사의 평판을 지키기 위해 노력해 왔습니다. 심지어 야후는 중국 정부와의 협력으로 인한 사적 소송에 합의해야만 했습니다. 앞으로 더 많은 기업이 중국 규정 준수와 서구의 비즈니스 윤리 사이에서 고민해야 할 것이며, 앞으로 비슷한 어려움을 피하기 위해 더 많은 기업이 중국 규정을 준수해야 할 것입니다.

편집자 주

이는 법률 자문이나 조언을 대체하기 위한 것이 아닙니다. 중국의 사이버 보안법과 관련하여 추가로 우려되는 사항은 현지 법률 고문에게 문의하시기 바랍니다.

관련