[디지털데일리 최민지기자] 중국 당국이 사이버보안 사고와 관련해 신고 의무를 강화했다. 중대한 네트워크 보안 사고를 발견하면, 늦어도 1시간 이내 정부 측에 신고해야 한다. 인프라 중단과 데이터·개인정보 유출뿐 아니라, 중국정부가 판단한 불법·유해정보가 온라인상 공유되는 경우에도 해당된다.

중국사이버공간관리국(CAC)는 국가 사이버보안 사고 신고에 관한 새로운 규정을 도입해 오는 11월1일부터 시행한다고 15일 밝혔다. 이 규정은 중국 내 서비스를 구축·운영·제공하는 모든 네트워크 사업자에게 적용된다.

CAC는 이번 규정을 통해 네트워크 보안사고 신고 관리를 표준화하고, 보안사고로 인한 손실과 피해를 적시에 통제하겠다는 입장이다. 관련해 중국 당국은 보안사고를 신고할 수 있는 핫라인을 구축했다.

이 규정에 따르면 중요 정보를 다루는 인프라 등에서 중대한 사이버보안 사고가 발생하면, 네트워크 운영자는 늦어도 1시간 내 보안 담당 부서와 공안에 보고해야 한다. 사업자에 따라 신고 시간은 다르지만, 최대 4시간을 넘지 않아야 한다.

CAC는 신고해야 하는 사이버보안 사고 관련 4가지 등급 시스템을 마련했다. 가장 사고 등급이 높은 특히 중대한 네트워크 보안사고는 대규모 시스템 마비, 핵심데이터와 대량의 시민 개인정보 분실·도난·위변조, 국가안보·공익 등에 심각한 영향을 미치는 경우다.

다만, 6개 조항 중 하나만 충족되더라도 특히 중대한 네트워크 보안사고로 판단할 수 있다. 중국 당국과 부처 웹사이트 등을 공격해 24시간 이상 접속할 수 없거나, 주요 정보 인프라가 전반적으로 6시간 이상 중단되는 경우 등이다. 1억명 이상 개인정보 유출 때도 해당된다.

특히, CAC는 중국이 판단하는 불법 유해정보 공유도 중대한 보안사고로 봤다. 예를 들어, 홈페이지에 해당 유해정보가 6시간 이상 표시되거나, 소셜미디어를 통해 10만회 이상 공유되거나, 조회수가 100만회 이상 된다면 중대한 보안사고로 보겠다는 것이다. 다만, 정부기관 웹사이트와 주요 온라인플랫폼 등이 사이버공격이나 위변조를 당했을 경우로 단서로 달았다.

CAC는 “네트워크 보안 사고의 지연 보고, 누락, 허위 보고 또는 은폐로 인해 유해한 결과를 초래하는 운영자는 법에 따라 엄중하게 처벌될 것”이라며 “규정에 따라 적시 보고하기 위해 합리적이고 필요한 보호 조치를 취한다면, 책임이 줄어들 것”이라고 전했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -