[루나아빠 이승진의 중국이야기] 바이두 클라우드 실명제와 네트워크 보안법

이승진님이 블로그에 게재한 글을 편집한 뒤 모비인사이드에서 한번 더 소개합니다.

바이두 클라우드(百度网盘)가 실명인증제를 실시하겠다고 위챗 공중계정을 통해 공식적으로 발표했다. 바이두가 실명인증제를 실시하는 이유는 6월 1일부터 시행되는 <중화인민공화국 네트워크 보안법>(中华人民共和国网络安全法) 때문이다. 바이두의 공지에 따르면 6월 1일까지 실명인증을 하지 않은 사용자는 바이두의 일부 서비스에서 글을 게시하거나 덧글을 사용할 수 없을 것이라고 한다. 더불어 바이두 클라우드는 휴대폰 인증을 통해 진행되며 1개의 휴대폰 번호로 다수의 바이두 클라우드 계정을 연동할 수 있다고 전했다.

*网络安全法: 직역하면 <네트워크 안전법>이라고 해야겠지만 개인정보 및 인터넷과 관련되있기 때문에 보안법이라고 표현하는 것이 더욱 적절하다 생각되어 <네트워크 보안법>이라고 표기하도록 하겠다.

2017년 6월 1일 처음 시행되는 네트워크 보안법, 적지 않은 한국기업들이 이 법을 무시하고 있는 것 같다. 일단 가만히 있다가 다른 기업들의 피해사례가 나오면 그때서야 대응하겠다는 안일한 생각들을 하고 있는 듯 하다.

中华人民共和国主席令 第五十三号
《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，现予公布，自2017年6月1日起施行。
2016年11月7日 中华人民共和国主席 习近平

중화인민공화국 주석령 제 53호
<중화인민공화국 네트워크 안전법>은 중화인민공화국 제12회 전국인민대표대회 상무위원회 제 24회 회의에서 2016년 11월 7일 통과 및 공포되었으며, 2017년 6월 1일부터 시행한다.
2016년 11월 7일 중화인민공화국 주석 시진핑

중국 시진핑 주석의 명령이라고 하니 6월 1일 시행되면 그 만큼 임팩트가 필요하겠지?  중국의 1인자로 올라선 시진핑이 직접 시행하는 법안인데 과연 일개 공무원과 꽌시(关系)가 있다고 하여 대충 대충 넘어갈 수 있을까?

즉, 처벌 시범케이스로 삼을 희생양을 잡으려고 혈안이 되있을 것이다. 그런데 세칙 및 시행안에 대해 별도로 언급된 것이 없기 때문에 각 지방정부가 판단하여 진행할 것으로 생각되는데, 기준이 애매모호하여 귀에 걸면 귀걸이, 코에 걸면 코걸이로 처벌 받을 수 있다는 것! 그러니 시범케이스에 걸리지 않으려면 뭔가 찜찜하다 싶다하면 일단은 중국에 시스템과 서버를 두고 합법적인 절차로 사업을 영위하거나, 백본망에 의해 완전히 차단당하더라도 시스템, 서버, 도메인 등을 모두 해외로 돌리던가 둘 중 하나를 선택해야 할 것 같다.

• 관련 글: 중국에는 안들어가지는 인터넷 사이트가 있다? 황금방패로 막는 금순공정

네트워크 보안법에 대한 전문은 첨부파일을 참고하고, 포스팅에는 중요한 내용만 요약 설명하려 한다.

• 네트워크 보안법 전문: 중국+네트워크+보안법+전문

중국의 인터넷 서비스를 자주 이용해본 사람들이라면 공감할 수 있을 것이다. 한국과 같이 인터넷 서비스, 또는 회원카드 등과 같이 개인의 정보를 입력하게 되면 개인정보제공 동의서를 받게 되있다. 또한 사업자는 이용약관에 명시된 서비스만 제공하도록 되어 있는데, 중국은 이런 개인정보동의가 상당히 취약하다.

심지어 대부분의 인터넷 사이트와 서비스가 회원가입만 있고 회원탈퇴라는 것도 없다. 회원탈퇴하려고 고객센터에 연락하면 3개월 동안 서비스 사용을 하지 않으면 블라인드(冻结)된다며 걱정말라는 답변만 하기도 한다. 타오바오가 지금은 회원탈퇴 기능이 생겼는지 확인해보지 않아서 모르겠지만 알리바바와 같은 중국 인터넷을 대표하는 기업도 이런 개념이 전무했던 것 같다.

<네트워크 보안법>은 네티즌이 이런 개인정보에 대해 보호받을 수 있는 정책이다. 네트워크 보안법에서 정의하는 개인정보는 우리가 일반적으로 알고있는 이름, 전화번호, 이메일 등과 같은 개인정보 뿐만 아니라 사용자의 온라인 결제기록도 포함된다. 중국 알리페이, 위챗페이등 모바일 간편결제의 거래데이터도 네트워크 보안법에 저촉된다는 것이다. 네티즌은 보호받게 됐지만, 다르게 설명하면 중국이 안정적인 산업생태계를 구축하게 되면서 해외 사업자들은 그 만큼 인터넷 관련 사업 및 인터넷을 활용한 사업이 어려워 졌다는 것을 의미한다.

어쩐지 ICP를 외자기업에게도 개방하더라니..

• 관련 글: 중국 ‘외상투자산업지도목록’, 해외 기업이 중국에서 할 수 있는 사업은 따로 있다? 

중국에 진출한 한국기업들 상당수가 한국에 서버를 두고 중국에 서비스를 운영하고 있다. 중국에서 관련 인증만 받고 바로 한국으로 서버를 옮겨버리는 편법으로 인터넷 서비스를 제공하던 사업자나 중국매장 POS서버를 한국에 둔 기업들은 이제 이런 편법이 통하지 않게 된 것이다.

물론 방법이 없는 것은 아니다.

유관부서의 심사를 받으면 중국 국민들의 생생한 개인정보를 해외로 전송할 수 있다. 그런데 심사가 문제다. 당연히 안전은 하겠지만, 그렇게 쉽게 심사를 통과시킬 것 같았으면 <네트워크 보안법>을 시행조차 안했겠지? 중국의 이 같은 입장은 중국이 좋아하는 소통 방식이다. 절대로 ‘무조건 하지마라’고는 안한다. 체계적인 프로세스가 있는 것처럼 포장하여 ‘절차만 밟으면 가능하다’는 식이다. 어쩌면 이런 소통방식은 사회주의 체계를 가장 잘 이용하는 방법이 아닐까 싶다.

우리는 사드배치로 인한 중국의 경제보복 조치를 통해 이미 중국식 소통방법을 경험했다.

‘중국 정부는 아무 짓도 안했다. 모두 국민들의 의사다!’

정부가 곤란한 상황을 빠져나갈 수 있도록 구실을 마련하는 것이다. 유관부서에 “중국 국민들의 개인정보를 해외로 송출하겠습니다”라고 말하는 것은 ‘중국 정부를 못믿는다’라고 이야기 하는 것과도 같은 의미일 것이다. 그걸 달갑게 여겨주며 순순히 용인해줄 정도로 중국은 친절하지 않다.

설령 해외에 본사를 둔 해외기업이 중국 유관부서의 심사를 받는다 하여도 순수한(pure) 정보를 전송할 수는 없을 것이다. 데이터에 대한 암호화 조건이 붙을 것이고 다시 말해 전송받은 데이터를 분석 및 가공이 어려울 것이라고 본다. 한 마디로 <네트워크 보안법>은 개인정보를 보호한다는 명분하에 시스템 서버, DB서버, 도메인 등을 모두 중국 경내(境内)에 두고 중국정부가 관리, 감독하겠다는 의미이기도 하다. 혹시라도 중국과 관련된 인터넷 서비스를 하는 사업자 중에 아직까지 <네트워크 보안법>을 무시하고 진행 중이라면 조치를 취하는 것이 좋을 것 같다.

PS. 시스템, DB서버, 도메인 등을 모두 한국에 두고 있는 사업자라면 <네트워크 보안법>과 전혀 상관이 없으므로 걱정하지 않아도 된다. 단지 금순공정에서 설명했던 것과 같이 중국에서 접속하는 것 자체가 끊겨버릴 수는 있는 리스크는 있지만, <네트워크 보안법>과는 무관하다.

• 第二条 在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。
• 제2조. 중화인민공화국 경내에 하드웨어 및 시스템 구축, 운영, 유지보수, 네트워크 사용 및 네트워크 안전 관리감독을 하는 경우는 모두 <네트워크 안전법>에 적용된다.

• 第十条 建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。
• 제 10조. 시스템 구축, 운영 또는 네트워크를 통한 서비스를 제공할 시 반드시 법률 및 행정규정과 국가표준에 부합해야 하며, 네트워크 안전과 운영상의 안정을 보장해야 한다. 또한 네트워크 안전관련에 대응해야 하며, 불법행위 방지 및 데이터의 완정, 기밀, 활용성을 유지관리해야 한다.

• 第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。
• 제 14조. 개인 또는 단체는 네트워크 안전에 유해한 행위에 대해 인터넷, 전화, 공안 등의 부서에 신고할 수 있으며, 신고를 받은 부서는 관련법규에 따라 신속히 처리해야 한다. 만약 신고 받은 내용이 해당부서가 아닐 경우 관련부서에 전달하여 처리하도록 한다. 인터넷을 통한 소비자 고발이 가능하다 이 말씀! 즉, 일부 불법적으로 운영하는 구조에 대해 누구든지 신고가 가능하다. 예를 들면 중국에 쇼핑몰 운영한다고 개설해 놓고 중국에서 관련 허가 받은 후, 서버를 한국으로 이전하는 등의 행위도 고발 대상이 된다.

• 第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
• 제 19조. 각 인민정부 및 유관부서는 상시적으로 네트워크 안전에 대한 홍보와 교육을 해야 한다. “빨리 교육 좀 해달란 말이다!! 이렇게 추상적인 규정 말고 시행규칙을 내 놓으란 말이다!”

• 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
  （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
  （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
  （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
  （四）采取数据分类、重要数据备份和加密等措施；
  （五）法律、行政法规规定的其他义务。
• 제 21조. 국가는 네트워크 안전등급 보호제도를 시행해야 한다. 네트워크 운영자는 관련 네트워크 안전등급 보호제도에 따라 하기와 같이 의무를 이행해야 하며, 해킹에 대해 안전을 보장하며 네트워크 데이터 유출, 손상, 변조를 방지해야 한다.
  (1) 내부에 보안관리 제도, 규정, 책임자를 두어야 한다
  (2) 바이러스 및 해킹 등 네트워크 안전에 상응하는 기술조치를 취해야 함
  (3) 네트워크 운영상황을 모니터링, 기록, 보안 사건등의 로그(기록)를 남겨야 하고 6개얼 이상 보관해야 한다.
  (4) 데이터를 분류하여 중요한 데이터는 백업하고 암호화 등의 조치 필요
  (5) 법률, 행정법규 규정의 기타 의무

• 第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
• 제 22조. 네트워크 상품 및 서비스는 해당 국가표준에 부합해야 하며, 서비스 제공자는 악성프로그램을 설치하면 안 된다. 제품과 서비스에 결함 및 취약의 위험이 발견될 경우 추가 조치를 취하고 규정에 따라 사용자와 관련 부서에 보고해야 한다. 네트워크 상품, 서비스의 제공자는 약정기간 동안 상품과 서비스의 보안을 유지해야 한다.

[fbcomments url=”http://www.mobiinside.com/kr/2017/05/23/lunar-china-baidu/” width=”100%” count=”off” num=”5″ countmsg=”wonderful comments!”]