상하이방

①네트워크안전법 시행성공과 적발사례

②네트워크안전법 시행현황 및 후속 법령 및 시사점

 ③네트워크안전법 보안등급 실무 절차

④네트워크안전법 우리기업 준비 사례

네트워크안전법은 중국 내 외자기업의 경우 크게 2가지 불편한 점이 있다.

첫째, 중요데이터나 개인정보를 중국 내 저장해야 하므로 한국에 서버가 있다면 중국으로 서버를 이전해야 한다. 서버를 이전할 경우 막대한 비용과 인력 투입으로 재중한국기업은 주로 중국 내 서비스를 하고 있는 클라우드 서버를 이용하고 있으며 AWS(아마존), MS 애저를 주로 주로 이용하는 편이다.

둘째, 모든 기업은 네트워크안전법에서 규정한 보안등급을 받아야 한다. 시스템이나 업무별로 보안등급을 받아야 하며 소프트웨어와 하드웨어가 동일하면 보안등급을 받고 전 중국 법인 사용이 가능하다. 예를 들면 고객관리(CRM) 시스템을 전 중국법인이 동일한 소프트웨어와 하드웨어가 상용한다면 상하이법인이 보안등급을 취득 후 중국 내 모든 법인이 사용 가능하다. 하지만 동일하지 않다면 법인별 사용하는 시스템에 보안등급을 취득해야 한다.

서버 이전의 경우 많은 재중한국기업이 이전을 완료하거나 준비 중이지만 보안등급 관련해서는 관련 정보의 이해도 낮았다. 재중한국기업 중 유일하게 보안등급은 받은 회사는 아이요넷(ISP 사업자) 회사 정도다.
보안등급관련 우리기업 조사하면서 우리기업만 준비를 소홀히 하고 있는지 알아보기 상하이 보안등급기관(上海计算机软件技术开发中心)에 보안등급 사례를 중국 로컬기업과 외자기업을 확인해 보았다.

현재 재중한국기업 S사나 A사 C사 등도 보안등급을 받지 않았으며 중국 내 한국계 은행도 보안등급을 받지 않아 심각하다. 올해까지 외자기업에게는 유예기간을 뒀지만 내년부터는 보안등급을 받지 못하면 법적 제재가 있을 예정이다.

중국 내 모든 기업은 네트워크안전법에 규정된 보안등급(1~5등급)을 받아야 한다. 우리기업의 경우 2등급이나 3등급을 받아야 되며 1등급은 개인이나 소규모 사업장에 해당된다. 3등급 이상부터는 매년 등급심사를 받아야 한다. 심사비용과 인력이 필요하므로 미리 준비해야 한다.

상하이 경우 보안등급 심사를 하는 회사는 5개 정도 기관이 있으며 공기업 개념이다. 등급심사 기관은 주로 로컬기업 중심으로 단속을 하고 있으며 상반기에는 게임회사나 P2P회사를 중점적으로 단속하였고 요즘은 호텔이나 병원을 집중 단속 중이다. 보안등급 심사를 받지 않을 않고 계속 영업을 지속할 경우 업무를 잠정 정지나 영업허가증을 취소할 수 있다.

 
상해화동한국IT기업협의회에서는 상하이총영사관과 한국인터넷진흥원(KISA)와 공동으로 10월 24일 상하이한국문화원에서 네트워크안전법 세미나를 개최할 예정이다. 이번 세미나는 보안등급관련 내용을 집중해서 다루고 상하이시 등급심사기관도 강의할 예정이다.

신판수 abc@zioyou.cn
상해화동한국IT기업협의회 네트워크안전법위원회 위원장