중국 사이버보안법, 국가안전부에 해외 기술에 대한 전례 없는 새로운 권한 부여

Executive Summary

2017년 6월 1일, 국내 및 국제적인 논쟁 끝에 중국의 국가 사이버 보안법이 마침내 시행되었습니다. 법률의 대부분은 중국 사용자의 데이터 보호에 초점을 맞췄으며, 해당 법률에 대한 평가에서는 외국 기업과 기술에 대한 잠재적 부정적 영향 및 복잡하고 모호하며 광범위한 새로운 법적 요건 준수 어려움이 강조되었습니다.

Recorded Future의 연구는 중국 국가안전부(MSS) 산하 주요 외국 정보 기관인 중국 정보 기술 평가 센터(CNITSEC)에 사이버 보안 법이 부여한 광범위한 권한에 초점을 맞추고 있습니다. 법은 "네트워크 정보 부서"(CNITSEC 포함)에 외국 기업이 중국 시장에서 사용하거나 판매하려는 기술에 대한"국가 안보 검토"(제35조 참조)를 실시할 권한을 부여합니다.

MSS가 CNITSEC을 통해 중국의 정보 보안 아키텍처에 통합되면 (1) 중국이 외국 기술의 취약점을 식별하고 이를 자체 정보 작전에 활용할 수 있게 될 가능성이 있으며, (2) 외국 기업들이 MSS에 독점 기술이나 지적 재산을 제공하거나 중국 본토 정보 기술 시장( 2018년 $242억 달러로 예상됨)에서 배제되는 것 사이에서 선택할 수 없는 상황을 초래할 것입니다.

중국 사이버보안법-2a.jpg

배경

2017년 5월 블로그 게시물에서 위협 행위자 그룹 APT3의 배후를 중국 국가안전부라고 밝힌 바 있으며, 실제로 국가안전부가 운영하는 중국 정보 보안 조직인 CNITSEC(이 글에서는 "센터"라고도 함)도 확인했습니다.

중국 사이버보안법-1.png

학술 연구 에 따르면, “중국과 사이버 보안: 디지털 영역에서의 간첩 활동, 전략, 및 정치”라는 제목의 논문에서 CNITSEC는 국가안전부(MSS)에 의해 운영되며, 해당 정보 기관의 기술적 사이버 전문 지식의 대부분을 보유하고 있습니다. CNITSEC는 MSS에 의해 "취약점 테스트 및 소프트웨어 신뢰성 평가를 수행하기 위해" 사용됩니다. 2009년 미국 국무부 전보에 따르면, 중국은 CNITSEC의 활동에서 파생된 취약점을 정보 작전에 활용할 수 있다는 추정이 있습니다. CNITSEC의 전임 국장이자 현재 당 서기인 우 시종(Wu Shizhong)은 자신에게 MSS(국가안전부) 소속임을 밝히고 있으며, 2016년 1월까지 중국 국가정보보안표준위원회 부위원장직을 맡았던 경력도 포함됩니다.

분석

새로운 정보 기술 규제 체제에서 CNITSEC의 역할은 지난 몇 달 동안 중국 정부가 CSL을 지원하기 위한 규정을 확정하고 공표하기 시작하면서 분명해졌습니다.

사이버 보안법은 광범위하고 용어가 모호합니다.

CNITSEC의 역할을 살펴보기 전에, 먼저 CSL의 관련 조항을 검토하고 외국 기업이 부담하게 될 가능성이 있는 의무 사항을 확인하는 것이 중요합니다(영어 번역은 China Law Translate를 참고하시기 바랍니다). 기업들은 CSL(중국 국가보안법)과 2015년 국가안전법이 포함하는 모호한 표현과 광범위한 적용 범위를 주의 깊게 살펴봐야 합니다. 이 두 법령 모두 중국 당국이 국가 안보 검토, 정부 당국과의 데이터 공유, 심지어 독점 기술이나 지적 재산권에 대한 조사까지 강제할 수 있는 모호한 조항을 포함하고 있기 때문입니다.

2016년 11월 법이 통과되었을 때, 법에서 가장 정의가 미흡했던 섹션 중 하나가 바로 '제3장'이었습니다: 네트워크 운영 보안"이었습니다. 3장에는 "네트워크 운영자"의 "네트워크 보안 보호" 책임과 "중요 정보 인프라"를 운영하는 기업에 대한 추가적인 법적 책임을 정의하는 18개 조항이 포함되어 있습니다.

위에서 언급된 세 용어 중 하나만 법 자체에서 정의되었습니다. CSL은 "네트워크 운영자"를 "네트워크 소유자, 관리자 및 네트워크 서비스 제공자"로 정의합니다. KPMG의 법령 분석 에 따르면:

네트워크를 통해 서비스를 제공하고 비즈니스 활동을 수행하는 기업 및 기관도 "네트워크 사업자"로 정의할 수 있습니다. 전통적인 통신 사업자 및 인터넷 회사 외에도 네트워크 사업자도 포함될 수 있습니다:

은행, 보험사, 증권사, 재단 등 시민의 개인정보를 수집하고 온라인 서비스를 제공하는 금융기관.
사이버 보안 제품 및 서비스 제공업체.
웹사이트를 보유하고 네트워크 서비스를 제공하는 기업.

이는 중국에서 인터넷을 사용하거나 사용자 데이터를 수집하는 모든 비즈니스를 포괄할 수 있을 정도로 광범위하게 해석할 수 있는 용어입니다. 또한 '네트워크 사업자'로 분류되는 기업은 대량의 사용자 데이터를 해외로 전송하려는 경우 정부 규제 기관의 심사를 받아야 합니다(제37조 참조).

CSL 제28조에 따르면, “네트워크 운영자”는 국가 안보 유지 및 범죄 수사 목적으로 공공 및 국가 안보 기관에 협조를 제공할 의무가 있습니다. 이것은 기업들이 서구에서 범죄로 간주되지 않는 사용자나 활동에 대한 정보를 중국 법 집행 기관 및 국가 보안 기관에 제공해야 하는 상황에 처할 수 있음을 의미합니다. 특히 "인터넷 관련 범죄"에 대한 정보 제공이 포함될 수 있습니다. 이 중 일부 "인터넷 관련 범죄"에는 인터넷을 사용하여 "사실의 조작 또는 왜곡, 소문의 유포, 사회적 질서 교란", "타인에 대한 모욕 또는 비방", 그리고 "유해한 정보의 유포" 등이 포함됩니다. “네트워크 운영자”의 일부는 법률에 따라 “핵심 정보 인프라”를 운영하는 것으로 분류되며, 더욱 엄격한 규제 및 검토 대상이 됩니다. CSL은 "핵심 정보 인프라"를 다음과 같이 분류합니다:

공공 통신 및 정보 서비스, 전력, 교통, 수도, 금융, 공공 서비스, 전자 정부(e-gov), 기타 파괴되거나 기능이 상실되거나 데이터가 유출될 경우 국가 안보, 국가 경제 및 국민 생활 또는 공익을 심각하게 위협할 수 있는 중요 정보 기반 시설입니다.

중국의 국가 안보에 대한 정의는 2015년 7월 제정된 「국가 안보법」에서 다음과 같이 공식화되었습니다:

국가의 통치권, 주권, 통일 및 영토 보전, 국민의 복지, 지속 가능한 경제 및 사회 발전, 기타 주요 국가 이익에 대한 국제적 또는 국내적 위협이 상대적으로 부재하며 지속적인 안보 상태를 보장할 수 있는 능력을 의미합니다.

이 분야에 속한 기업 및 해당 기업이 구매한 모든 제품이나 서비스는 또한 "국가 안보 검토" 대상이 됩니다.파이낸셜 타임스는 이 검토가 정부로 하여금 "컴퓨터 프로그램 소스 코드 제출을 요청할 수 있으며, 기업의 지적 재산권을 조사할 수 있다"고 보도했습니다. 기사에는 또한 "상하이 규제 당국은 해당 법안의 시범 운영 과정에서 '패스트푸드 배달 업체도 필수 인프라로 간주될 수 있다'고 결정했다"고 명시되어 있으며, 이는 아마도 해당 업체들이 수백만 명의 중국 사용자 개인 정보를 보유하고 있기 때문일 것입니다.

CLS에서 MSS 수집 기회를 제공하는 CNITSEC의 역할 APT3와 MSS에 대한 블로그에서 설명하고 위에서 다시 설명한 바와 같이 CNITSEC은 MSS와의 관계를 공식적으로 인정한 적이 없지만 중국 국가, 당 및 정부 기관에 서비스를 제공하고 CSL에 따라 검토를 수행하는 센터의 임무는 잘 문서화되어 있습니다.

CNITSEC의 웹사이트는 이 센터가 중앙 정부로부터 부여받은 광범위한 권한으로 당 및 정부 정보 네트워크의 보안 취약성 평가 및 위험 평가, 정보 기술, 제품 및 시스템의 보안 테스트, '일류' 취약성 분석 자원 및 장비, 전문 연구 개발 기술 연구소 등을 수행한다고 설명합니다.
2017년 6월 중국 신문 서던 메트로폴리탄과의 인터뷰에서 CNITSEC의 수석 엔지니어 왕쥔은 CNITSEC이 중국 정부로부터 CSL에 따라 국가 보안 검토를 수행할 수 있는 인증을 받았다고 확인했습니다. 또한 왕은 관련 정부 부처, 국가 산업 또는 사용자와 대중을 포함한 시장에서 검토를 시작할 수 있다고 설명했습니다.
해당 달 후반에 열린 한 회의에서 왕은 동일한 주제를 다룬 기조 연설을 통해 2015년 국가안전보장법 제59조 (외국 상업적 투자, 기술, 제품 및 서비스에 대한 국가안전보장 검토 및 감독의 법적 의무를 규정한 조항 )와 중국의 제13차 5개년 계획 하에서 의무화된 국가안전보장 검토, 그리고 CSL(중국 국가안전보장법) 하에서 의무화된 국가안전보장 검토 사이의 명확한 연관성을 강조했습니다.

왕(아래 사진)은 이 연설에서 CSL 국가 안보 검토는 국가 안보에 미칠 수 있는 영향, 보안 위험, 보안 신뢰성, 통제, 보안 메커니즘 및 기술 투명성에 초점을 맞출 것이라고 강조했습니다. 그는 표면적으로 객관적이고 독립적인 전문 '제3자'가 검토를 수행할 것이라고 주장했지만, 과기정통부 산하 기관인 국가정보기술표준원이 공인된 국가 보안 검토 기관으로 등장하면서 다른 기관도 인증을 받았는지 의문이 제기되고 있습니다.

중국 사이버보안법-3.png

CNITSEC는 또한 국가 정보 보안 취약점 데이터베이스 (CNNVD)를 운영하고 있으며, 이는 국가 정보 보안 평가 센터로서 국가 정보 보안 취약점 데이터 관리 플랫폼의 구축, 운영 및 유지보수를 담당하고 있습니다.

중국 사이버보안법-4.png

명시적으로, CNNVD는 미국 정부 소속 국토안보부(DHS) 산하 기관인 국가표준기술연구소(NIST) 가 운영하는 국가취약점 데이터베이스(NVD)와 유사하게 운영됩니다. NVD는 소프트웨어 취약점을 공개적으로 식별하고 보고하며 패치를 생성하는 역할을 담당합니다. 중국에는 DHS와 정확히 일치하는 기관이 없지만, 공안부(MPS)의 임무와 범위가 가장 유사하며, 일반적으로 중국의 DHS 대응 기관으로 널리 인정받고 있습니다. MSS의 미국 내 가장 유사한 기관은 중앙정보국(CIA)입니다. 그러나 MSS는 중국 내에서도 정보 수집 권한을 보유하고 있으며, 일부 기능은 연방수사국(FBI)과 유사합니다. 비교를 위해, CNNVD를 운영하는 MSS는 CIA가 NIST NVD를 운영하는 것과 대략적으로 유사합니다.

MSS가 CNITSEC과 CNNVD를 운영하고 있는 근본적인 문제는, 더 넓게 보면 MSS가 중국의 정보 보안 조직 구조 내에서扮演하는 역할에 있습니다. MSS는 중국의"주요 민간 정보 기관"으로, 외국 정보 수집과 반간첩 작전을 모두 담당하고 있습니다. “중국안보 국가: 철학, 진화, 및 정치”에 따르면, 국가안전부( MSS)는 “국가 안보와 관련된 민간 정보의 수집 및 평가를 담당하며, 외국에 대한 반간첩 작전을 수행하는 책임을 지고 있다.”

즉, 중국 사이버 보안법의 광범위한 언어와 새로운 권한을 이용해 해외 기술의 취약점에 접근하여 자체 정보 작전에 악용할 수 있는 권한을 얻으려는 것입니다. CNNVD를 통해 취약점이 보고되면 이를 운영하기 때문에 소프트웨어나 하드웨어의 치명적인 취약점을 쉽게 찾아내어 대중에게 숨기고, 이를 뒤돌아서서 자신들의 업무에 사용할 수도 있습니다.

MSS가 CNNVD를 운영하는 방식과 CIA 또는 NSA가 NIST NVD 시스템과 상호작용하는 방식에는 두 가지 중요한 차이가 있습니다. 첫째, NSA의 ETERNAL 시리즈 도구가 악용한 취약점이 ShadowBrokers 그룹에 의해 획득되기 전에 Microsoft나 NIST NVD에 보고되지 않았다는 점은 널리 기록되어 있습니다. 그러나 NSA는 NIST NVD에 등재되어 있지 않으며, 해당 취약점을 데이터베이스에서 적극적으로 삭제하거나 차단하지 않았습니다. MSS(CNITSEC를 통해)는 CNNVD를 운영하며, 공개된 취약점에 대해 공개를 차단하거나 통제할 수 있습니다.

둘째, 중기부는 CNNVD가 수행한 연구를 활용하여 운영을 지원할 수 있습니다. NSA 및 CIA와 같은 미국 정보 기관은 자체 연구를 기반으로 취약점을 식별하며 NIST NVD의 비공개 연구를 활용하는 것은 허용되지 않습니다.

영향

CSL의 정의가 모호하고 불투명하기 때문에 많은 외국 기업, 특히 '중요 정보 인프라'의 일부로 간주되는 기업들은 독점 기술/지적 재산을 중국 국가안전부에 넘기거나 중국 본토 시장에서 배제되는 암울한 선택을 해야 할 것입니다. 중국 국가안전부의 보안 검토를 받도록 허용하면 현재 고객이나 사용자가 중국 국가가 후원하는 사이버 공격의 위험에 노출되는 2차적인 파급 효과가 발생할 수 있습니다.

중국에서 비즈니스를 수행하려는 외국 기업, 특히 '중요 정보 인프라' 부문의 기업은 이제 중국에서 사업을 운영할 때 이전에는 고려하지 않았던 수많은 기술적, 법적, 윤리적 결정에 직면하게 됩니다. 이러한 결정은 다양한 산업 분야의 기업의 전술적, 전략적 계획과 운영 모두에 영향을 미칩니다.

첫째, 기업은 자체 제품이나 서비스에서 취약점을 발견하고 운영할 수 있다는 지식을 바탕으로 세 가지 가능한 위험 시나리오를 평가해야 합니다:

회사 자체 시스템 또는 네트워크에 대한 위험.
회사의 제품 또는 서비스에 대한 위험.
전 세계 고객, 클라이언트 또는 사용자에 대한 파생적 위험.

중국에서 사용되는 대부분의 제품과 서비스는 글로벌 제품과 완전히 다른 것이 아니기 때문에 MSS가 발견한 취약점이 이러한 기계, 네트워크, 제품 및 서비스의 해외 사용자들을 악용하는 데 사용될 위험이 높습니다. 느슨하게 정의된 이 '중요 정보 인프라' 부문에 속한 기업이 가장 큰 위험에 노출되어 있습니다. 여기에는 소프트웨어 및 하드웨어 공급업체, SaaS(서비스형 소프트웨어), IaaS(서비스형 인프라), PaaS(서비스형 플랫폼) 회사, 클라우드, 보안 및 네트워크 제공업체 등이 포함될 가능성이 높습니다.

둘째, 국내 조사 대상에 대한 정보를 중국 당국과 협력하여 제공하는 것은 유럽과 북미에서 기업이 공개적인 비판에 직면할 수 있으며, 소송 및 정부 각급 기관으로부터의 징계 조치를 받을 수 있습니다. 2007년, 야후는 중국 당국에 반체제 언론인의 구금과 관련된 정보를 제공한 것으로 인해 양당 소속 의원들이 참석한 의회 청문회의 표적이 되었습니다. 해당 기업의 최고경영자(CEO)와 이사회 의장은 국회 외교위원회 위원장으로부터 "도덕적 왜소증 환자"와"책임감 없는 인물"로 지칭되었으며, 해당 사건 이후 시민권 단체들과의 논쟁을 통해 명성을 회복하기 위해 노력해오고 있습니다. 야후는 중국 정부와의 협력과 관련된 사적 소송을 해결하기 위해 강제적으로 합의에 이르렀습니다. 앞으로 더 많은 기업들이 중국 규정을 준수하는 것과 서구식 비즈니스 윤리를 따르는 것 사이에서 균형을 잡아야 할 것입니다. 이는 미래에 유사한 어려움을 피하기 위해 필수적인 조치입니다.

편집자 주

이는 법률 자문이나 조언을 대체하기 위한 것이 아닙니다. 중국의 사이버 보안법과 관련하여 추가로 우려되는 사항은 현지 법률 고문에게 문의하시기 바랍니다.