중국의 새로운 사이버 보안 조치로 주 경찰이 회사 시스템에 원격으로 액세스할 수 있게 됨

레코디드 퓨처의 인식트 그룹은 중국 공안부가 발표한 새로운 사이버 보안 규정을 분석했습니다. 이 보고서는 중국 내에서 비즈니스를 수행하는 모든 기업이 가장 관심을 가질 만한 보고서입니다.

Executive Summary

2017년 8월 Recorded Future는 중국 사이버보안법이 국제 기업에 미치는 보안 및 리스크 영향을 분석하여 이 법이 중국 국가안전부(MSS)에 막강한 권한을 부여했다고 평가했습니다. 특히 사이버 보안법은 여러 부문에 대해 '국가 안보 검토'를 받도록 의무화했는데, 이를 통해 국가안전부는 중국이 첩보 활동에 악용할 수 있는 외국 기술의 취약점을 파악할 수 있습니다.

2018년 11월 1일, 중국은 '공안 기관의 인터넷 보안 감독 및 검사 규정(公安机关互联网安全监督检查规定)'이라는 제목의 새로운 법률 조항을 발표했습니다. 이 규정은 2017년 중국 사이버보안법의 일부를 명확히 하기 위해 개정된 것으로 보이며, 중국 공안부(MPS)에 중국 내 기업의 컴퓨터 네트워크에 대한 광범위한 권한을 부여하고 있습니다. 여기에는 표면적으로는 중국에서 운영되는 거의 모든 비즈니스에 대해 원격으로 침투 테스트를 수행하고 검사 중에 발견된 사용자 데이터 또는 보안 조치와 관련된 모든 정보를 복사할 수 있는 권한이 포함됩니다.

이 새로운 조항은 취약성 또는 보안 점검의 범위에 제한을 두지 않으며, 최소한의 보고만 회사에 제공하도록 규정하고 있습니다. 또한, 규정은 계속해서 모호한 용어를 사용하고 있으며 네트워크 보안 테스트를 위한 대면 또는 원격 검사의 범위를 제한하지 않습니다. 기존의 중국 공안부 규정과 새로운 사이버보안법 조항의 결합은 중국 정부가 외국 기업을 검열하고 감시하려는 시도를 뒷받침할 것으로 평가합니다.

배경

공안부(MPS)는 중국의 주요 경찰 및 보안 당국입니다. 국경 보안, 국가 신분증 관리 등 다양한 내부 보안 업무를 수행하지만, 다양한 국가 사이버 보안 규정에 따라 대량의 데이터를 처리하고 수집해야 하는 업무도 맡고 있습니다.

많은 책임 중에서도 MPS는 중국 경찰의 정보 평가 및 감시 능력을 향상시키기 위한 중국의 만리방화벽을 포함한 일련의 대규모 법률 및 기술 이니셔티브인 중국의 골든실드 프로젝트 (金盾工程)를 담당하고 있습니다. 이 이니셔티브의 일환으로 반대자를 더 잘 찾아내고 단속하기 위해 전국적인 감시 카메라 시스템에서 사용되는 얼굴 인식 소프트웨어의 확장이 포함됩니다.

2017년부터 중국의 국가사이버보안법 (CSL)은 MPS를 공공 및 내부 보안 문제를 조사하는 더 큰 범위 내에서 '사이버 보안 보호, 감독 및 관리'를 담당하는 조직 중 하나로 지정했으며, MPS는 특히 CSL을 위반하는 행위자를 처벌하는 임무를 맡고 있습니다.

중국 공안국이 작성한 '공안기관의 인터넷 보안 감독 및 검사에 관한 규정'이라는 CSL의 새로운 조항은 군 단위 이상의 지부가 CSL에 따라 사이버 보안을 더 잘 보호, 감독 및 관리하기 위해 시행해야 하는 조치를 명시하고 있습니다. 이는 사이버보안법에 따른 추가 권한으로, 이미 중국 국가안전부에 외국 기술에 대한 국가 안보 검토 권한을 부여한 바 있습니다. 그러나 새로운 조항에는 현재 중국에서 운영 중인 모든 비즈니스에 경각심을 불러일으킬 만한 광범위한 조치가 포함되어 있습니다.

분석

2017년 레코디드 퓨처는 CSL의 국가 안보 검토 조항을 분석하여 중국 국가 보안 기관이 외국 기술, 특히 "중요 정보 인프라"를 운영하는 기업에 대해 광범위한 권한을 부여한 사실을 밝혀냈습니다. 새로운 CSL 규정은 중요한 정보 인프라를 다루지는 않지만, 기업 전반에 초점을 맞추고 있습니다.

2018년 11월 업데이트된 이 규정은 새로운 규정 제2조에 따라 MPS 산하 공안 기관이 인터넷 서비스 제공업체(ISP)와 네트워크 연결 단위의 안전 감독 및 검사를 수행하여 "법률 및 행정 규정에서 규정하는 네트워크 보안 의무를 이행"하고 있는지 확인할 수 있는 권한을 부여합니다. 이러한 규제 노력은 다른 선진국에서 제정된 사이버 보안 법안과 유사하지만, 데이터 보호보다는 국가 통제의 확대가 가장 중요한 목표라는 점에서 큰 차이가 있습니다.

MPS 산하 기관인 윈난성 네트워크 보안단에 따르면 네트워크에 연결된 부대의 정의는 "고정 IP가 있거나 인터넷 또는 인터넷 관련 활동을 수행하기 위해 인터넷에 연결된 컴퓨터가 5대 이상 있는 부대"입니다. 같은 윈난성 MPS 사이트에 따르면 네트워크에 연결된 단위는 일반적으로 중국 서버의 호스팅 권한을 얻기 위해 MPS를 통해 등록하지만, 시 및 카운티 수준의 다른 인터넷 보안 관련 기관을 통해서도 등록할 수 있습니다.

윈난 네트워크 보안단에서 네트워크에 연결된 유닛에 대해 설명한 스크린샷.

이 법에 따르면 현급 이상의 공안 지부는 인터넷 액세스, 데이터 센터, 콘텐츠 배포, 도메인 이름 서비스, 인터넷 정보 서비스, 공공 인터넷 서비스 또는 기타 인터넷 서비스를 제공하는 네트워크 단위 및 ISP에 대한 검사를 수행할 수 있습니다. 이 광범위한 권한은 인터넷 연결에 라우터를 사용하는 컴퓨터가 5대 이상 있는 회사라면 SaaS 회사부터 직원에게 사내 인터넷 서비스를 제공하는 회사까지 모든 유형의 인터넷 관련 서비스를 제공하는 거의 모든 회사를 포괄합니다.

대면 검사

제15조에 따르면, MPS 지점은 대면 검사를 수행할 때 네트워크 보안 준수 여부를 확인하기 위해 네트워크 장치(联网使用单位)와 관련된 거의 모든 회사 영역에 출입할 수 있습니다. 사업장, 컴퓨터실 및 작업장에 출입하는 MPS 직원은 검사에 관련된 모든 정보를 열람하거나 복사할 수 있습니다. 여기에는 모든 사용자 정보, 네트워크에 대한 기술적 조치, 정보 보안 보호, 호스팅 또는 도메인 이름 정보, 조직에서 수행할 수 있는 모든 콘텐츠 배포가 포함되며 이에 국한되지 않습니다.

이 검사에서는 금지된 정보의 게시가 방지 또는 검열되는지 여부를 검사하는 등 광범위한 CSL 내의 다른 조항도 다룹니다. 사이버보안법 제10조, 제11조, 제21조에 따르면 중국 정부가 검사를 통해 '금지 정보'로 판단한 콘텐츠를 호스팅하는 기업은 사이버보안법에 따라 기소될 수 있습니다. 방통위는 이 조항을 기업이 금지 콘텐츠 및 검열법을 준수하고 있는지 확인하기 위한 수단으로 활용할 것으로 평가합니다. 규정의 검사 범위가 매우 광범위하기 때문에 중국어 인터넷 외부에 게시된 콘텐츠도 해당되는지 여부가 명확하지 않습니다. 그러나 협조 거부는 법으로 처벌될 수 있을 뿐만 아니라, 해당 조항은 인민무력경찰(PAP) 최소 2명이 모든 조사를 지원하고 서명해야 한다고 규정하고 있습니다.

제16조에 따르면 MPS 지사는 네트워크 보안 허점이 있는지 네트워크에 연결된 장치와 ISP를 원격으로 검사할 수 있습니다. 원격 검사의 범위는 전통적인 모의 침투 테스트부터 시스템 백도어 설치까지 모든 것을 포함할 수 있습니다. 또한 제18조에는 원격 검사는 회사의 허가가 필요하지 않으므로 현장 검사보다 원격 검사를 더 쉽게 수행할 수 있도록 하는 문구가 포함되어 있습니다. 실제로 제16조는 MPS가 피검사 회사에 검사 날짜와 범위를 통지하도록 규정하고 있을 뿐입니다. 규정에는 검사 범위나 기간에 대한 제한도 없습니다. 마지막으로, 제17조는 이러한 검사에 제3자 '사이버 보안 서비스 기관'을 참여시킬 수 있는 권한을 MPS에 부여하여 취약점 발견 및 데이터 유출의 위험을 크게 증가시키는 조항입니다.

또한 제6조는 MPS가 관련 정부 부처와 검사 보고서를 공유하도록 의무화하고 있으며, 제19조는 MPS 지부가 검사 중에 발견된 숨겨진 네트워크 보안 위험을 완화하기 위해 조직을 감독하고 안내하도록 규정하고 있습니다. 이 조항은 어떤 중국 정부 부처가 "관련"되어 있는지 명시하지 않기 때문에, 이론적으로 획득한 정보는 중국 정부 또는 외국 감시 기관에서 기업 및 고객 데이터를 모니터링하는 데 활용될 수 있습니다.

가장 놀라운 점은 이 규정에는 MPS가 원격 또는 현장 점검의 전체 결과를 기업 자체에 공개할 의무가 없다는 점입니다. 제18조는 현장 검사 시에는 검사 대상 조직 내 감독자가 MPS가 작성한 검사 보고서에 서명해야 한다고 규정하고 있지만, 원격 검사 시에는 MPS가 해당 조직에 보고서를 제공해야 할 의무가 없다고 규정하고 있습니다. 원격 검사 전에 MPS 지점과 조직 간에 필요한 유일한 커뮤니케이션은 검사 시간, 범위 및 "기타 사항"에 대한 공지뿐입니다. 따라서 원격 점검 대상 기업은 MPS 담당자가 네트워크의 어느 지점에서 점검을 수행하는지 정확히 알지 못할 수 있으며, 점검 결과를 전혀 알지 못할 수도 있습니다.

이 새로운 규정에는 검사 범위가 제한되어 있지 않으므로, 제16조는 중국 영토와 관련이 없거나 중국 영토 내에 있지 않은 기업의 일부에도 MPS 담당자가 접근할 수 있는 권한을 부여할 수 있습니다. 국제 기업의 네트워크에 대한 무제한 원격 검사가 미치는 영향은 광범위하며 고객과 국제 운영에 상당한 위험을 초래할 수 있습니다.

중국에서 운영 중인 비즈니스에 미치는 영향

이 새로운 규정에 의해 MPS에 부여된 광범위한 검사 권한은 중국에서 활동하는 거의 모든 외국 기업에 영향을 미칠 수 있습니다. 이 규정의 기준이 매우 광범위하고 세부적인 내용이 없기 때문에 중국에서 활동하는 대부분의 기업은 언제 어떤 이유로든 MPS 검사를 받을 수 있습니다. 또한, 현장 및 원격 검사의 범위가 명확하지 않기 때문에 검사 대상 기업의 해외 사업장과 고객도 중국 정부 및 보안 서비스에 노출될 위험이 있다고 평가합니다. 따라서 거의 모든 외국 기업이 대면 시설 검색, 회사 사용자 데이터 복사, '불법 게시 자료'에 대한 침습적 확인, 회사 네트워크에 대한 원격 검사를 받게 됩니다.

레코디드 퓨처의 이전 중국 사이버 보안법 분석에서 권고한 대로 기업은 세 가지 가능한 위험 시나리오를 평가해야 합니다:

• 회사 자체 시스템 또는 네트워크에 대한 위험
• 회사의 제품, 서비스 및 지적 재산에 대한 위험
• 전 세계 고객, 클라이언트 또는 사용자에 대한 파생 위험

이러한 새로운 규정으로 인해 기업의 네트워크 인프라, 데이터 및 독점 정보는 MPS 침입 및 감시 작업의 위험에 더 많이 노출됩니다. 기업 네트워크와 제품은 '불법 자료'에 대한 광범위한 검사를 받을 수 있으며, 그러한 자료가 발견되면 기업은 기소될 수 있습니다. 중국 영내의 고객, 데이터, 시스템은 중국 정부가 데이터를 보유할 위험뿐만 아니라 제3자 데이터 유출 및 중국 정부의 감시 위험에 노출될 수 있습니다.

레코디드 퓨처의 이전 분석에서 제시된 기업의 위험은 이러한 새로운 CSL 조항으로 인해 더욱 악화되고 있습니다. 중국에서 판매되는 대부분의 회사 제품과 서비스는 해외에서 판매되는 제품과 다르지 않기 때문에 MPS가 발견한 취약점은 국내 및 해외 사용자 모두를 악용하는 데 사용될 수 있습니다. 그러나 기업이 새로운 규정을 준수하지 않기로 결정한 경우, 네 번째 가능한 위험 시나리오인 직원 안전에 대한 위험을 평가해야 할 수 있습니다. 사찰에 대한 반발이 있으면 참석한 인민무력경찰이 이를 파악하고 대응할 수 있습니다.

레코디드 퓨처는 중국에서 활동하는 모든 국제 기업이 중국 내 기술 발자국, 대피 및 정부 관계 정책, 시스템 아키텍처를 평가하여 법의 영향을 최소화하고 MPS 조사를 받을 경우 최악의 시나리오에 효과적으로 대처할 수 있는 조치를 취할 것을 권장합니다. 중국과 해외 사업장 간의 연결을 최대한 세분화하여 회사 시스템 아키텍처를 변경하는 것은 중국 영토와 관련이 없는 기업 네트워크나 데이터베이스로 조사가 유출되는 것을 방지하는 데 중요합니다. 또한, 직원들의 안전을 지키고 검사에 대한 정보를 제공하는 것은 국내에서 사업을 운영하는 기업의 최우선 과제로 남아 있어야 합니다.

기본적으로 기업은 알려진 취약점이 있는지 시스템을 적절히 검사해야 합니다. 글로벌 운영에 대한 위험을 정량화하려면 중국 내에서 운영 중인 오피스는 인프라의 어느 부분이 이미 네트워크 사용 단위(联网使用单位)로 등록되어 있는지 확인하고 시스템을 업데이트하고 세분화할 때 이러한 단위의 우선순위를 지정해야 합니다. 이 새로운 규정은 이제 MPS 담당자가 회사 시스템을 조사할 수 있는 법적 권한을 부여하지만, 알려진 취약점에 대한 패치를 통해 조사관이 원치 않는 액세스 권한을 쉽게 얻거나 권한을 확대하는 것을 방지할 수 있습니다. 또한 중국에서 활동하는 조직이나 회사는 제품이나 서비스에 중국 정부가 불법으로 간주할 수 있는 자료가 호스팅되어 있는지 여부를 판단하고 이러한 데이터를 호스팅할 위치와 방법을 결정하여 법의 영향을 최소화해야 합니다.

편집자 주: 이 글은 법률 자문이나 조언을 대체할 수 없습니다. 조직에 영향을 미칠 수 있는 규정 및 법률에 관한 우려 사항 및/또는 조언은 현지 법률 고문에게 문의하시기 바랍니다.