"中공장 네트워크 보안 체크했나요?" 제조업도 예외 아냐 [지평의 Global Legal Insight]

중국 시장에 진출한 한국 기업이라면 2017년 발효된 중국 네트워크안전법 관련 컴플라이언스를 숙지해야 한다. 네트워크안전법은 중국 내 모든 기업의 네트워크 보안과 데이터 관리 의무를 규정한 기본법률로, 이를 준수하지 않으면 컴플라이언스 이슈에 따른 불의의 타격을 받을 수 있다.

네트워크안전법 어기면 문 닫아야 할 수도

네트워크안전법은 정보기술(IT) 기업에만 적용된다는 일반적인 인식과 달리 중국에선 제조 기업들도 적용 대상에서 예외가 아니다. 이 법에서 말하는 '네트워크 운영자'란 '네트워크의 소유자, 관리자 또는 네트워크 서비스 제공자'를 의미한다. 여기서 '네트워크'란 컴퓨터 등 정보 단말과 관련 장비로 구성된 정보 시스템을 말하는데, 제조 업체라 할지라도 산업제어망(ICS)으로 생산 공정을 관리하고 공급망 시스템으로 협력사와 데이터를 주고받는 등 사내외 전산망을 운영하고 있다면 모두 '네트워크 운영자'에 해당하게 된다. 결국 대부분 제조 기업도 네트워크안전법 상의 사이버 보안 의무, 예컨대 시스템 보호조치 마련, 로그 보관, 침입 차단 등 네트워크안전법의 기본 요구사항을 숙지하고 이를 준수해야 한다는 결론에 이르게 된다.

네트워크안전법의 핵심 요구사항 중 하나는 '사이버보안 등급 보호', 즉 보안 등급 표준 준수다. 모든 네트워크 운영자는 국가의 등급 보호 제도에 따라 정보 시스템을 등급 분류한 뒤 그에 맞는 보안 조치를 이행해야 한다. 개정된 보안등급 2.0 제도하에선 기업이 사용하는 네트워크와 정보 시스템을 중요도에 따라 1~5등급으로 구분하는데, 기업들은 등급별로 요구되는 기술적·관리적 통제를 구현했는지에 대한 평가에 기반한 보안 등급 인증을 취득해야 한다.

중국에서 사업을 영위하려는 업체에 이 보안 등급 인증 획득은 인허가 취득, 갱신과도 관련된 중요한 과제가 돼가고 있다. 일부 지역에서 택배업 허가증을 연장할 때 정보 시스템의 보안 등급 증서 제출을 요구하는 사례가 나오는 등 보안 등급 인증 여부가 사업 지속에 직접적으로 영향을 주고 있다는 평가다.

보안 등급 인증 의무를 간과할 땐 실제 처벌로 이어질 수 있다는 점을 특히 유의해야 한다. 중국 당국은 등급 보호 의무 불이행을 비롯해 사이버 보안 법규 위반 행위에 대한 현장 검사와 행정 처분을 점차 강화하고 있다. 시스템 운영 중단이나 벌금 부과와 같은 강력한 제재 사례가 나오기도 했다.

공안 당국, 인터넷정보 당국 등 중국 규제 기관들은 제조업을 포함한 모든 업종의 기업을 대상으로 사이버 보안 관련 법 집행을 강화하고 있다. 등급 보호 인증을 취득하지 않은 경우 곧장 시정 명령이나 벌금 등의 조치를 받을 수 있으며, 영업 정지나 사업 허가 취소 위험성도 배제할 수 없다. 네트워크안전법 준수 여부를 중국에 진출한 기업의 법적 리스크 관리 차원에서 최우선 순위에 둬야 하는 이유다.

보안 등급 인증 필수…변경시 신고해야

제조 업체가 자사 시스템에 대해 보안등급 인증을 받기 위해 거쳐야 하는 절차를 살펴보자. 기업이 관련 업무를 자체적으로 처리하기엔 여러 한계가 있기 때문에 IT 보안 전문 업체와 로펌을 통해 관련 업무를 진행하는 것이 경제적이다.

1. 시스템 자산 파악 및 등급 분류

우선 기업이 운영하는 모든 정보 자산을 식별해야 한다(예: 생산설비 제어용 ICS 시스템, ERP 및 공급망 관리 시스템, 고객·직원 개인정보, 홈페이지 등). 그리고 각 시스템에 대해 중국 등급보호 기준에 따라 잠정 등급을 산정한다. 등급 결정은 해당 시스템이 침해됐을 때 개인이나 사회, 국가에 미치는 잠재적 피해 수준을 평가하는 방식으로 이뤄진다. 영향 범위가 클수록 등급(1급~5급)이 높아진다.

<분야별 영향력 및 적용 대상>

일반 기업의 업무 시스템은 보통 2등급이나 3등급으로 분류된다. 처리하는 개인정보의 양이 많고 생산 라인 제어망처럼 사고 발생 시 인명·사회적 피해가 우려되는 경우 3등급 이상이 될 수 있다.

2. 등급 보호 신고 및 보안대책 이행

잠정 등급이 2급 이상으로 분류된 시스템은 관할 공안 기관에 해당 시스템의 등급을 신고해야 한다. 이는 '네트워크 등급 보호 신고' 절차로, 시스템 정보와 관리 책임자 등을 제출해 공식적으로 당국에 등록하는 것을 의미한다.

이후 기업 내부적으로 등급별 요구 사항에 부합하도록 보안통제책을 구현해야 한다. 부족한 부분이 발견되면 기술적 조치를 보완하고 관리 정책을 수립하는 등 격차 해소 작업을 수행하게 된다. 예컨대 2급 수준이라면 취약점 스캔, 접근 통제, 데이터 백업 등의 조치를, 3급이라면 여기에 더해 침입 차단 시스템 설치, 보안 조직 구성, 정기 취약점 평가 등 강화된 요구 사항을 이행해야 한다. 이 같은 보안 대책 구축이 완료되면 내부 자체 평가를 통해 준비도를 점검한다.

3. 공인 평가 및 인증 획득

내부 보안 조치가 갖춰졌다면 공인된 제삼자 평가기관에 의뢰해 등급 보호 적합성 평가를 받는다. 중국 공안부에서 자격을 인정한 평가기관이 시스템의 기술적·관리적 보안 수준을 심사해 법정 기준에 부합하는지 검증한다.

2급 이상 시스템은 외부 평가가 요구되며, 평가 과정에서 취약점이 발견되면 수정 후 재평가를 거친다. 평가기관이 발행한 등급 보호 평가보고서를 관할 공안당국에 제출하면 당국이 이를 검토해 최종적으로 보안등급 인증서(등급备案证明)를 발급한다. 이로써 해당 시스템은 공식적으로 보안등급 인증을 받게 되며, 기업은 이를 통해 법규상 등급 보호 의무를 이행했음을 입증할 수 있다.

4. 지속적인 관리 및 주기적 재평가

인증 취득 이후에도 지속적인 컴플라이언스 활동이 필요하다. 네트워크안전법상 등급 보호는 일회성 점검이 아니라 지속적 보호 체계라는 점에 주목해야 한다. 시스템 구조 개편, 클라우드 이전 등 시스템에 중대한 변경이 있으면 이 내용을 공안당국에 다시 신고하고 필요시 재평가받아야 한다.

정기적 점검도 필수인데, 일반적으로 3급 이상 시스템은 매년 1회, 2급 시스템은 2년에 1회 정기적으로 보안 상태에 대한 재점검 및 재평가를 실시해야 한다. 이를 통해 새로운 취약점이나 리스크 요인을 조기에 발견하고 보완해 보안 등급 기준을 지속적으로 충족할 수 있다. 정기 평가를 소홀히 하면 앞서 살펴본 사례들처럼 제재받을 수 있다. 이 때문에 현업 담당자는 인증 획득 이후에도 꾸준한 관리 체계를 유지해야 한다.

중국의 네트워크안전법은 제조 업체의 산업 현장 시스템부터 경영 정보망까지 포괄적으로 적용되며, 사이버 보안 등급 인증 취득을 핵심 요구 사항으로 둔다. 실무자는 법규 동향을 항상 주시하며 자사 시스템에 대한 등급 보호 인증과 보안 수준 유지의 중요성을 인식해야 한다. 중국에서 제조업을 영위하는 기업이라면 제품 품질 관리만큼이나 사이버보안 관리도 기업 경영의 필수 요소임을 인식하고 대비하는 것이 중요하다는 얘기다.

손덕중 법무법인(유한) 지평 변호사 I 전남대 법학전문대학원을 졸업하고 2013년 제2회 변호사 시험에 합격했다. 광주고등법원 재판연구원을 거쳐 2018년부터 지평 상해 사무소에서 근무하면서 우리 기업을 대상으로 인수·합병(M&A), 합작법인(JV), 청산·파산, 노동이슈, 지적재산권, 분쟁해결 등 다양한 분야에서 자문을 제공해 왔다. 화교 출신의 한국변호사로 원어민 수준의 중국어를 구사하며, 중국 화동정법대학 박사과정을 수료했다. 현재 중국 청도중재위원회, 중국 광주중재위원회 중재인을 맡고 있다.