상하이방

 

중국 네트워크안전법(网络安全法)이 지난 6월 1일부터 시행 되면서 많은 관심을 받고 있다. 이 법률은 중국 내 모든 기업에 적용이 되기 때문에, 중국 내 비즈니스를 하는 한국기업만의 문제는 아니다. 하지만 네트워크안전법의 핵심 내용 중에 개인정보 및 중요데이터의 중국 경외 저장을 금지하고 있다. 이런 관점에서 본다면 중국기업 보다 해외에 본사가 있는 외자기업이 더욱 민감할 수 있다.

중국 네트워크안전법에 대한 전반적인 내용은 상하이저널 7월 8일자 ‘전문가에게 듣는 中 네트워크안전법 대응방안’ KOTRA 칼럼 내용을 참고하기 바란다. 이번 칼럼에서는 네트워크안전법이 기업에 실제 어떤 방식으로 적용될지를 각 업종별로 살펴볼 생각이다. 아직 네트워크안전법이 실 기업에 적용된 사례가 없기 때문에 Case Study라는 표현이 맞지 않을 수 있지만 가능한 확인 된 사실에 근거해서 살펴 보고자 한다.

 

네트워크안전법 중요 체크 사항

네트워크안전법 내용 중 아래 3가지 사항은 가장 핵심적인 내용이다. 이후 중요하게 논의되므로 꼭 기억해 두자.
①개인정보 및 중요 데이터 중국 경외 저장 불가
②개인정보 및 중요 데이터 해외 반출 시, 안정성 평가 및 승인 필요
③네트워크 보안 사건 예방 및 처리 과정 관련 의무 대폭 증가, 보안 등급 보호제도 실시에 따른 등급확정 신고증명을 받아야 한다.
①과 ②는 쉽게 이해할 수 있는 내용이고, ③은 네트워크 보안 등급 보호제도에 대한 내용으로 좀 더 자세히 알아보자.

 

네트워크 보안 등급 보호제도

네트워크안전법 제21조, 제38조를 보면 각각 네트워크 운영자는 반드시 외부의 공격에 대비해야 하고, 데이터의 유출이나 변경을 방지해야 한다. 그리고 네트워크 보안 서비스 등급 심의 회사에 위탁해 네트워크 보안성과 관련해서 검사 평가를 진행해야 한다. 즉 공안국으로부터 네트워크 보안 등급보호제도 실시에 따른 등급확정 신고증명을 받아야 한다. 실제 검사 평가는 공안국이 지정한 기업에서만 진행이 가능하다. 현재 상해는 4개 기업이 지정돼 있다. 보안등급은 3등급으로 구성되며, 각자의 서비스 유형에 맞춰 신청해야 한다.

 

업종별 Case Study 및 관련 시스템 정리

생산 제조 회사
▴개요: 중국 내에서 제품을 생산하는 업체로 기업의 중요데이터 및 직원 정보를 포함하는 개인정보에 대한 이슈가 있다.
▴적용 대상 시스템: ERP, 그룹웨어, HR, 회사 홈페이지

유통 회사
①무역회사
▴개요: 직접 B2C 유통을 하지 않고 무역을 통해 비즈니스를 하는 회사로 중국 내 유통은 대리상을 통해서만 진행하는 기업이다.
▴적용 대상 시스템: ERP, 그룹웨어, HR, 회사 홈페이지
②오프라인 유통회사
▴개요: 대리점 또는 직영 매장을 통해 중국 전 지역에 B2B 또는 B2C 유통하는 회사이다. 패션이나 화장품 브랜드 회사가 여기에 포함된다.
▴적용 대상 시스템: ERP, 그룹웨어, CRM, POS, 회사 홈페이지
③온라인 유통회사(온라인 쇼핑몰)
중국 내에서 온라인쇼핑몰을 직접 운영하거나 Tmall, JD와 같은 B2C몰에 입점해서 제품을 판매하는 경우에 해당된다.
▴적용 대상 시스템: CRM, PG시스템(결제), 쇼핑몰(전자상거래)

온라인서비스
온라인 서비스를 하는 회사들은 직접적인 적용 대상이 된다. 예를 들면, 온라인 포털, 게임, 교육, 커뮤니티, 여행사이트, 호텔 예약, 인터넷 콜택시 등이 있다. 그런데 이런 비즈니스의 특성상 ICP 경영허가증이 있어야 운영이 가능한데 외자기업이 실질적으로 보유 할 수 없다. 따라서 이러한 비즈니스 경우에는 중국 내 파트너와 합작형태로 진행되는 일이 많으므로 중국 파트너가 이 부분을 잘 대비하고 있는지 꼭 체크할 필요가 있다.

 

적용대상 관련 시스템 범위  

 

이슈 사항 및 준비사항
기업의 중요데이터로 분류 되는 ERP, 그룹웨어, HR 시스템을 운영하는 회사들은 정보를 한국 본사로 전송하거나, 한국 본사의 시스템을 이용하는 경우, 개인정보 및 중요 데이터의 경외 전송 및 저장 불가 항목에 위배된다. 

쇼핑몰, 온라인PG는 대량의 개인정보를 보유하고 있고, 결제 시스템이 포함돼 있어, 네트워크안전법의 주요 적용 대상이 된다. 네트워크 보안등급 확정을 필히 받아야 하며, 네트워크 보안 사건 예방 및 처리 과장 관련 의무를 수행해야 한다. 즉 안전관리 매뉴얼 제정 및 책임자 지정, 그리고 네트워크 보안에 대한 기술적 조처 및 모니터링 시스템을 구축해야 한다. 그리고, 최소 관련 일지를 6개월 이상 보관해야 한다. 정보의 경외 전송도 금지된다.

Tmall이나 JD같은 입점몰을 운영하더라도, 매출 정보나 중요 데이터가 본사 시스템과 연결돼 해외로 전송 되는 경우 관련 법령에 위배된다. 대량의 개인정보를 보유하고 있는 CRM, POS시스템을 사용하는 회사는 쇼핑몰과 동일하게 네트워크 보안 사건 예방 및 처리 과정 관련 의무를 수행해야 하면 개인정보의 경외 전송을 금지한다.

 

아이요넷 대표 신동욱
dushin@aiyonet.com
아이요넷은 2005년 중국 법인 설립 후 13년 동안 IDC를 무사고로 운영하고 있다. 중국 ISP 사업권을 보유하고 있는 한국인이 경영하는 중국 유일의 기업이며, 2,000여 개의 고객사를 보유하고 있다.

 

ⓒ 상하이방(http://www.shanghaibang.com), 무단전재 및 재배포 금지