check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

중국 사이버 보안법, 정보부의 제로데이 활용까지 허용

길민권 기자 mkgil@dailysecu.com 2017년 09월 07일 목요일

gavel-4.jpg
중국이 새로운 사이버보안법 제정으로 중국 내 외국 기술 기업의 소스코드와 지적 재산권을 분석할 수 있게 되었다. 중국 사이버보안법은 중국 사용자 데이터 보호에 초점을 맞추고 있지만, 좀더 살펴보면 외국 기업과 그들이 가진 기술에 대한 파괴적인 영향을 쉽게 상상할 수 있다.

보안위협정보 분석업체인 Recorded Future에 따르면, 분석은 중국 국가안보부(Ministry of State Security, MSS) 산하에서 운영되는 중국 정보기술 평가 센터(China Information Technology Evaluation Center, CNITSEC)가 담당하게 될 것이다. Recorded Future 연구원들은 CNITSEC이 수행한 분석을 통해 얻은 정보를 통해 외국 기술 회사에서 사용하는 코드의 취약점을 발견하고 익스플로잇할 수 있다는 점에 주목하고 있다.

Recorded Future는 블로그 포스트에 “중국과 사이버 보안계의 학술적 연구 결과에 따르면, CNITSEC은 MSS, 인텔리전스 서비스의 사이버 전문 기관에 의해 운용된다. 또한 MSS는 CNITSEC을 통해 취약점 테스트와 소프트웨어 안정성을 평가하고 있다”고 언급했다.

2009년 미 국무부 전보에 따르면, 중국이 CNITSEC 정보 작전 활동을 통해 얻은 취약점을 사용할지도 모른다는 사실이 밝혀졌다. CNITSEC 센터장 Wu Shizhong은 2016년 1월 중국 국가 정보보안 표준위원회 차장을 역임한 바 있다.

CNITSEC은 또한 국가 정보보안 평가센터인 China National Vulnerability Database of Information Security(CNNVD)를 운영하고 있다. CNNVD는 미국 국립 표준 기술 연구소(NIST) NVD와 유사하며, 국가 정보보안 취약점 데이터 관리 플랫폼 구축, 운영, 관리를 담당하고 있다. 보안 연구원들은 해당 구조가 공개적인 식별, 보고, 소프트웨어 취약점에 대한 패치 생성을 위한 것이 아니라고 생각한다.

Recorded Future는 “MSS는 광범위한 언어와 중국 사이버 보안법의 새로운 권한을 사용하여 외국 기술이 가진 취약성에 접근할 수 있다. MSS는 CNNVD를 통해 보고된 취약점들에 대해 쉽게 식별할 수 있고, 그들의 작전 수행을 위해 심각한 소프트웨어, 하드웨어 취약점을 숨길 수도 있다”고 말한다. 기술 기업들은 중국 정부에 협박을 당하고 있고, 그들은 중국 시장을 유지하기 위해 어쩔 수 없이 독점 기술 및 IP에 대한 정보를 공유하게 될 것이다.

Recorded Future의 연구에 따르면 중국의 사이버 보안법은 CNITSEC, MSS에 광범위한 권한을 부여하는 것에 초점을 맞추고 있다. 해당 법안은 외국 기업들이 중국 시장에서 사용하거나 팔고자 하는 기술에 대한 ‘국가 안보 리뷰’를 수행할 수 있는 권한을 포함한 ‘네트워크 정보 부서’도 제공한다.

CNITSEC을 활용한 MSS의 정보보안 아키텍처로의 통합은 중국이 자체 정보 작전에서 활용할 수 있는 외국 기술의 취약성을 식별하고, 외국 기업들로 하여금 중국 정보 기술 시장에서 퇴출 당하는 것 대신 그들이 가진 독점 기술 또는 지적 재산을 MSS에 제공하는 것을 선택할 수 밖에 없도록 하고 있다.

전문가들은 중국 사이버 보안법 중 가장 정의가 명확하지 않은 부분이 “3장: 네트워크 운영 보안”이라고 말한다. 이 챕터는 네트워크 운영자의 네트워크 보안 책임에 대해 정의하고 있고, 중요 정보 인프라를 운영하는 회사들의 책임에 대해 정의하고 있다.

외국 기업에 미치는 영향은 IBM이나 애플(Apple)이 채택한 조치를 생각했을 때 이미 심각하다고 할 수 있다. IBM은 중국 은행 업계에 서비스를 제공하기 위해 Larkspur 서버를 구축하기로 합의했고, Apple은 중국 검열 법에 따라 iOS VPN 앱을 제거했다.

회사 독점 제품이나 서비스에 존재하는 취약점을 발견하고 조작할 수 있다는 사실은 회사 자체 기계 또는 네트워크에 대한 위험, 제품 또는 서비스에 대한 위험, 고객 또는 사용자에게 발생할 수 있는 위험 등 많은 위험을 내포하고 있다는 사실을 항상 염두에 두어야 한다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록