2017년 7월 11일, 국가 인터넷 정보 업무 ‘중요 정보 인프라 안전 보호 조례’ (‘의견 공모반’)(‘보호조항’)

 

  ‘네트워크 안전 법’은 중요 법규로, ‘보호조례’의 핵심 정보 인프라의(CII) 범위, 각 관리부서의 직책, 운영자의 보안 의무 및 안전 검사 평가 제도가 더 구체적으로 보호되고 더욱 엄격해 졌다. 핵심 정보 인프라 안전 보호를 위한 중요한 법적 근거를 뒷받침하고 있다.

 

  핵심 정보 인프라의 범위

 

  ‘네트워크 안전 법’은 핵심 정보 인프라 운영자(CIIO)에게 네트워크 보호 의무를 한층 강화된 법률 요구하였다. 하지만 명확한 CII 기준은 제시하지 않았다. 이에 따라 CII의 판정 방식과 범위는 항상 업계의 화두로 떠오르고 기업들의 법률 자문도 많았다.

 

  ‘보호조례’ 제 18조는 ‘네트워크 안전 법’ 제 31조의 규정을 사용하고 있다. ‘업종과 영역 열거+위해 결과’의 방식으로 CII는 범위를 제시하고 각 기업은 아래 표에 의거하여 소속된 네트워크 시스템은 CII가 구성 여부를 평가 한다.

 

  표1 CII 판단 방법

순번	내용	네트워크 보안법	보호조례
1	기업별 업종과 영역	공공 통신과 정보 서비스, 에너지, 교통, 공공 서비스, 전자 행정 등 중요 업종과 영역	정부 기관과 에너지, 금융, 수리, 의료, 교육, 사회 보장, 환경 보호, 공익사업 등의 업계 영역 조직
			네트워크망, 방송 텔레비전 네트워크, 인터넷 등 데이터 네트워크 및 클라우드 컴퓨팅, 빅데이터, 기다 대형 공공 데이터 네트워크 서비스 기업
			방산, 대형 장비, 화학 공업, 식품 의약품 안전청 등의 분야 영역의 기업
			방송국, 통신사 등의 기업
			기타 중요 기업
2	네트워크 보안사건 발생 후 피해	파괴, 상실 또는 데이터 노출은 국가안보, 국가 경제와 국민 생활, 공공 이익에 심각한 위협을 줄 수 있음

 

 

  판단 과정상 중앙 인터넷안전 정보화가 2016년 6월 작성한 ‘국가 네트워크 안전 점검 지침서’는 한 참고 의의를 가지고 있다. CII 판정 삼보법(三步法)은 첫째 중요 업무를 확정한다. 둘째 중요 업무의 정보 시스템 또는 공업 제어 시스템을 확정한다. 셋째 중요 업무 체계에 의한 정보 시스템이나 공업 제어 시스템 의존성이 있거나 네트워크 보안 사건이 발생한 뒤 손실이 있을 경우 핵심 정보 인프라로 인정하었다.

 

  중요 분야와 업종에 상관없거나 중요 업무에 속하지 않는 기업에게는 ‘보호조례’는 ‘기타 중점 기업’ 조항을 적용하였지만 이들 기업의 운영과 정보 관리 시스템이 CII로 인정될 가능성은 상대적으로 낮다.

 

  기업에게 더 명확한 설명을 위하여 ‘보호조례’ 제 19조항에 따르면 국가 인터넷 정보부서은 국무원 전신 주관부서(国务院电信主管部门)과 공안부서(公安部门) 등에서 ‘핵심 정보 인프라 판별 지침을’ 마련할 예정이다. CII에 해당되는 국가 주관 또는 감독 관리부서(예로 전신업종의 공신부, 에너지업종의 발전개혁위원회 및 에너지 국)는 ‘판별 지침’에 따라 각 업종 및 분야의 핵심 정보 인프라를 판별하고 및 절차에 따라 판별 결과를 보고한다. 지침에 따라 중국은 각 직종·분야의 주관과 감독 관리부서는 CII가 책임지고 인정한다.

 

  2. 국가 관리감독 부문의 업무 책임

 

  ‘보호조례’는 각 부서가 함께 합작하고, 분담하여 관리 감독 체제를 확립하고, 관리 감독 부문이 연관된 관리부서, 국가 인터넷 데이터 부서, 국가 주관 및 감독 관리부서, 국무원 공안, 국가 안전, 국가 보안 행정 관리, 국가 비밀 관리부서 및 현급(县级) 이상의 지방 인민 정부 유관 부서 등을 확립하였다.

 

  그 중, 국가 인터넷 정보 관련 부서는 CII의 안전 보장과 관련된 감시 업무를 총괄적으로 책임지고 협조하여 CII의 보호의 핵심 부문이 된다. 국무원 공안, 국가 보안, 국가 비밀 행정 관리, 국가 비밀 관리 부문의 감독 관리 책임과 ‘네트워크 안전 법’은 기본적으로 동일하고 ‘보호조례’는 각 부처의 특별한 권리를 부여하지 않는다.

 

  이 글은 ‘보호조례’를 각 국가 주관 및 감독 관리 부문의 감독 관리 권리와 직책 부여 내용을 간단하게 정리하였다.

 

  표2 ‘보호조례’ 감시 권한과 직책

순번	업무 직책	‘보호조례’ 법조항
1	본 업종 및 분야의 CII 안전 보호 업무를 지도	제 4조
2	개인과 조직은 CII 보안에 위협되는 행위는 고발하거나 법적 절차를 따르는 것을 받아 드려야함	제 7조
3	전문적으로 담당 할 수 있게 본 업종 및 본 분야 CII의 보안업무 조직과 직원을 설립하고, 본 업종 및 본 분야의 네트워크 보안 규정, 근무 경비 보장기구를 설립하여 감독함	제 13조
4	‘식별 지침’에 의거하여 본 업종 및 영역의 핵심 정보 인프라를 판단하여 절차에 따라 결과를 보고함	제 19조
5	새로 만들거나 운영 중단한 CII 또는 큰 변화가 있는 CII는, CIIO의 상황 보고를 받고 CIIO 따라 절차에 따라 상황을 조정함	제 20조
6	CIIO는 CII에게 보안 검사 평가를 실시하고 문제 발견후 즉시 CIIO에게 사안을 보고함	제 28조
7	업무상 필요로하는 CII의 운영 관리는 경외 장거리 관리가 필요한 경우 CIIO의 보고를 받음	제 34조
8	조기 경보 제도 본 업종 영역의 CII 네트워크 보안 감독관리 조기경보와 데이터 통보 제도를 수립함. 적시에 본 업종 및 영역 CII에 운행상태 및 보안위험을 파악하고 관련 운영자는 보안 위험과 관련 업무 데이터 보안 검사를 진행함. 만약 즉시 대처해야 할 문제가 있으면 관련 운영자에게 조기 경보 데이터와 대처해야할 부분을 건의하고 국가 네트워크 보안 사건에 대처할 수 있는 비상 대비책을 제시하여 유관 기관에 보고해야함	제 37조
9	비상 매뉴얼 제도 담당 조직은 본 업종 및 영역의 네트워크 보안사건 응급 대비책을 제정하고 조직은 정기적으로 훈련하여 네트워크 보안사건이나 재난 복구 능력을 끌어올리는 방안을 마련함. 중대한 네트워크 보안 사건이나 국가 인터넷 정보부 당국 비상경보를 받고난 후 즉시 비상 대책 기구를 가동하고 적시에 상황을 보고해야함	제 39조
10	평가 제도 장기적으로 본 업종 및 영역의 CII 보안 위협 및 운영자의 안전 보호 상황조사를 실시하여 개선책을 제시함. 지도·감독 운영자는 즉시 평가 도중 발견한 문제점을 점검하여 바로 잡도록 함	제 40조

 

  (계속)

 

  (출처: 중륜 변호사사무소, IT지원센터 자체조사)