[시큐리티월드 김성미 기자] 중국 정부가 인터넷·네트워크 설비와 운영, 데이터 사용 등을 총괄하는 ‘사이버보안법’을 채택해 2017년 6월부터 전면 시행에 들어간다.

이 법의 영문 표기는 ‘China Cyber Security Law’다. 법안에서 등장하는 핵심 단어인 ‘网络(왕뤄)’를 국내에서는 정보통신망(법무법인 율촌)이나 인터넷(연합뉴스)으로 번역한다. ‘网络’는 인터넷과 네트워크, 사이버 등을 의미한다. 인터넷은 ‘互联网(후리엔왕)’으로 표기하기도 한다.

중국 전국인민대표대회(이하 전인대)는 지난해 11월 7일 인터넷에 대한 통제 강화를 골자로 하는 ‘사이버보안법’을 채택했다.

중국에서 사이버보안법이 처음 의제로 떠오른 것은 2014년이다.

이어 중국 정부는 2015년 7월 전인대에서 사이버보안법 초안을 처음 공개했으며 지난해 6월 2차 수정안 초안을 발표했다.

이 법안의 내용은 네트워크 운영, 정보보안, 응급 처치·조치, 법률 책임 등으로, 총칙과 네트워크 보안 전략·기획·촉진, 네트워크 운영 보안, 네트워크 정보 보안, 모니터링 경보와 응급 처치, 법률 책임, 부칙 등을 포함하며, 모두 7장 79조로 구성돼 있다. 현재 중국 정부는 오는 6월 법안 시행에 맞춰 시행 세칙과 개념을 명확히 하는 작업을 진행하고 있다.

그동안 중국은 사이버보안과 관련한 엄격한 규제를 해왔다. 그러나 기존의 규정이나 관리 방법 등은 행정 법규로 구속력이 낮았다. 이번 사이버보안법 입법으로 이런 조치들에 대한 법적 근거가 마련됐다.

중국 정부는 이전부터 인터넷은 물론 미디어 전반에 대한 규제를 강화하기 시작했으며, 현행 법규상 인터넷상의 유언비어 유포나 유해정보 게시, 체제에 위협되는 정보의 통제, 뉴스 사이트 규제, 인터넷 및 통신회사의 검열 참여 의무화 등을 시행하고 있다.

시나 웨이보(微薄), 위챗(微信) 등 중국계 소셜 미디어에서의 정치적 표현을 경계하기 위해 실명등록 등의 규제를 단행하고 있으며, 페이스북, 트위터, 유튜브 등의 많은 해외 소셜 미디어와 뉴스 사이트들은 이미 중국에서 차단된 상태다.

사이버보안법 주요 내용
중국 정부는 사이버보안법의 입법 취지로 ‘인터넷 상의 주권과 안전’을 내세웠다. 인터넷 공간의 주권과 국가 안전 유지, 국민과 법인 및 기타 조직의 합법적 권익을 보호하는데 법안의 입법 목적이 있다고 명기했다.

전인대 관계자는 이 법안 발표 당일 기자회견에서 “이 법은 사이버 공간의 주권과 인터넷 상품·서비스 제공자의 안전 의무를 명확히 하고 개인정보보호 원칙을 세웠으며 핵심정보 인프라 안전과 국경간 전송 규칙을 수립했다”고 밝혔다.

그러나 사이버보안법은 ①인터넷 실명제 실현 ②국가·사회 체제 비난 내용 검열 합법화 ③핵심 정보 인프라 개념 도입 및 규제 강화 등의 내용을 담고 있어 지속적인 이슈가 되고 있다.

‘사이버보안법’의 규제 대상은 개인 컴퓨터 등 단말기에서 서비스 제공 기업까지 사회 전반이다. 법안에는 중국에 설립돼 운영되는 공간이나 사용하는 인터넷 공간, 사이버 안전에 대한 관리 과정에 모두 이 법이 적용된다고 명시돼 있다.

주관 부서는 국무원 및 산하 관련 부처와 각급 인민정부의 사이버 안전 체계를 구축하고 관련 산업 육성을 지원하는 부처로, 사이버 핵심 장비 및 보안 제품은 모두 안전 인증과 검사를 받아야 한다. 국가 표준과 업종 표준에 부합되고 안전 인증과 검사에 합격해야만 중국시장에서 제품 판매도 가능하다.

국무원은 이 법안에 부합되는 제품 목록을 제정해 발표할 계획이다. 중국 정부는 주관 부처를 통해 인터넷 상품과 서비스 관련 국가표준을 제정하고 중국에서 유통되는 관련 상품은 반드시 이에 부합하도록 할 방침이다.

핵심 인프라 규제 강화
새로 제정된 사이버보안법은 통신·방송, 에너지, 교통, 금융, 의료 등의 네트워크 안전과 관련되는 정보 인프라 시설을 핵심 정보 인프라 시설로 정의하고, 각종 보안 심사와 안전 평가를 받아야 한다고 규정하고 있다.

핵심 정보 인프라 시설의 보안 방법은 최고 행정부처인 국무원에서 정하고 이들 시설은 안전 보호 의무 이행과 네트워크 제품 및 서비스 구매 시 보안심사, 매년 안전평가 및 보고 등의 규제를 받아야 한다. 또한, 이들 시설의 인터넷 공급자는 보안 제품의 작동 방식을 중국 정부에 공개해야 하고 데이터도 중국 현지 서버에 저장해야 한다.

온라인 실명제 도입
새 법안에 따르면 인터넷 서비스를 제공하는 공급자들은 통신망에 가입하거나 정보 공개 서비스에 제공하기 위해 이용자의 실제 신분 정보를 제공받게 된다.

중국 정부는 제공받은 개인정보에 대한 보호 제도를 마련하고 개인정보를 수집하고 이용할 때는 합법적이어야 하며, 목적, 방식, 범위 등을 명시하고 사용자 동의를 받도록 규정하고 있다. 특히, 핵심 정보 인프라와 관련된 개인정보를 저장하는 경우에는 반드시 중국 현지 서버에 저장해야 한다.

정부 당국 개입 명문화
사이버보안법은 중국 정부에 국외에서 들어오는 인터넷 정보도 규제하거나 삭제할 수 있는 권한을 부여한다.

인터넷 서비스 공급자 등이 당국에 기술을 제공하고 수사에 협력하는 것을 의무화했으며 돌발 사태 발생시에는 특정 지역의 통신을 제한한다는 내용도 포함했다. 또한, 국가 정권과 사회주의제도의 전복, 국가 분열 선동, 국가 통일 파괴, 테러와 극단적 민족주의 선양, 음란물, 허위정보 전파 등의 행위를 금지한다고 명시하고 있다.

불법 정보 차단 의무화
새 법안에 따라 인터넷 서비스 제공자들은 불법정보를 발견하면 전송을 중단하거나 이를 제거함으로써 확산을 방지하고 기록 보관 등의 조치를 수행하는 한편 유관 기관에 보고해야 한다.

전자 정보와 소프트웨어 제공자의 상품에 악의적인 프로그램을 포함시키거나 불법 정보를 발표하거나 전달하는 것도 금지하고 있다. 나아가 인터넷 서비스 공급자들의 수사기관 협조를 의무화했다. 아울러 주관부처는 국가 안전, 사회질서 유지 등을 위해 공급자들에게 사용을 제한하는 임시 조치를 내릴 수 있게 했다.

제품과 서비스 규제
네트워크/인터넷 관련 제품과 서비스는 중국 국가표준의 강제 규정에 부합하는 경우에만 판매하거나 제공할 수 있다. 이들에 대한 악성 프로그램의 설치는 금지된다.

제품과 서비스가 사용자의 정보를 수집하는 기능이 있는 경우에는 이에 대한 지속적인 보안 유지와 약정 기간 내 보안 유지에도 힘써야 한다.

법안을 둘러싼 쟁점
중국의 사이버보안법은 중국 내의 네트워크 관련 범죄 예방과 개인정보보호, 정보통신 인프라 보호라는 측면과 외국기업 감시 및 진입장벽 강화라는 양면성을 내포하고 있어 논란이 되고 있다. 특히 외자기업의 중국 진출을 방해한다는 비판을 받고 있다.

외국 기업과 기관들은 외국기업의 핵심정보를 중국에 제공하고 검토를 받는 것뿐만 아니라 대화 내용과 암호화, 인터넷 기술 등이 중국 자체 시스템을 개발하기 전까지 금지될 수 있다고 보고 있다.

주중 미국상공회의소는 2016년 11월 성명을 통해 “이 법은 국경을 넘어서는 데이터 흐름을 제한하고 보안보다는 보호주의를 강조하는 것”이라고 강하게 비판했다. 일본 언론도 사이버보안법은 중국 정부가 인터넷 규제를 강화하는 구실이라며 기업 기밀 누설을 우려했다.

이에 대해 중국 정부는 사이버 공격과 유해 정보 확산 등으로부터 국가 안보를 수호하는 취지라고 반박했으며, 지난 8월 46개국 상공회의소가 리커창 총리에게 서한을 보내 법안의 외국기업 진입 장벽 강화와 정보 통제·감시 가능성에 대해 항의한 바 있으나 지난 6월 발표한 최종안에 이런 내용을 반영하지 않았다.

최종안에는 2차 심의안 대비 4개 조항(13조, 46조, 67조, 73조)이 추가됐지만 주로 인터넷 범죄에 대한 처벌 조항으로 외국기업의 문제 제기에 대한 내용은 전혀 담기지 않았다.

보안산업엔 기회(?)
사이버보안법의 입법이 사이버보안 산업엔 기회(?)로 작용할 수도 있다. 중국 정부가 사이버 안전에 드라이브를 걸고 있기 때문이다.

중국의 현 지도부는 사이버 안전이 없으면 국가의 안전도 없다며 중요성을 강조하고 있으며, 시진핑 주석이 팀장을 맡는 중앙 사이버 안전과 정보화 영도소조로 설립해 운영할 정도로 사활을 걸고 있다.

또한, 사이버보안법은 기업과 기관이 사이버 안전 인증, 점검, 리스크 평가 등 사이버 안전 서비스 제공을 독려한다고 명시하고 있다. 이에 현지 관련 업계 관계자들은 기술혁신과 정부의 정책 지원 하에서 사이버보안 산업의 연평균 성장세가 기존의 20%대에서 30%대로 크게 확대될 것으로 전망하고 있다.

베이징 무역관은 외국기업에 기회가 될 가능성은 높지 않다고 분석했다. 보안 관련 제품은 이미 외국계 기업의 진입장벽이 높은데다 국가 강제성 표준을 통과해야 하는 제약 요건이 있기 때문이다.

이 법안이 시행될 경우 우리 기업이나 외국계 기업에 대한 영향은 불가피하다. 인터넷상 정보나 개인정보에 대한 관리감독 강화가 외국기업에 대한 감독으로 이어질 가능성이 높기 때문이다.

그러나 중국에 진출한 국내 포털 사이트 업체 관계자는 이 법안의 실명제나 관련 정보의 해외반출 금지 등은 이미 외국에서 모두 시행하고 있는 법률로 중국에서 중국인을 대상으로 직접 서비스를 하는 한국기업은 전무한 상황이어서 우리기업의 피해는 생각보다 크지 않을 것이라고 봤다.

아울러 이 관계자는 이 법안의 세부 개념과 시행 세칙은 아직 확정되지 않은 상황으로 정확한 내용과 한국기업에 대한 영향 추이를 관측할 필요가 있다고 강조했다.
[자료 제공 : KOTRA(www.kotra.or.kr)]