"中공장 네트워크 보안 체크했나요?" 제조업도 예외 아냐 [지평의 Global Legal Insight]

2017년 발효된 네트워크안전법 숙지 필요
제조업도 사내외 전산망 운영 시 적용 대상
보안등급 표준 미준수시 사업 중단 가능성

한경 로앤비즈의 'Law Street' 칼럼은 기업과 개인에게 실용적인 법률 지식을 제공합니다. 전문 변호사들이 조세, 상속, 노동, 공정거래, M&A, 금융 등 다양한 분야의 법률 이슈를 다루며, 주요 판결 분석도 제공합니다.

SK하이닉스 중국 우시 공장 전경. 사진은 기사 내용과 직접적인 관련 없음. (사진=SK하이닉스 제공)

중국 시장에 진출한 한국 기업이라면 2017년 발효된 중국 네트워크안전법 관련 컴플라이언스를 숙지해야 한다. 네트워크안전법은 중국 내 모든 기업의 네트워크 보안과 데이터 관리 의무를 규정한 기본법률로, 이를 준수하지 않으면 컴플라이언스 이슈에 따른 불의의 타격을 받을 수 있다.

네트워크안전법 어기면 문 닫아야 할 수도

네트워크안전법은 정보기술(IT) 기업에만 적용된다는 일반적인 인식과 달리 중국에선 제조 기업들도 적용 대상에서 예외가 아니다. 이 법에서 말하는 '네트워크 운영자'란 '네트워크의 소유자, 관리자 또는 네트워크 서비스 제공자'를 의미한다. 여기서 '네트워크'란 컴퓨터 등 정보 단말과 관련 장비로 구성된 정보 시스템을 말하는데, 제조 업체라 할지라도 산업제어망(ICS)으로 생산 공정을 관리하고 공급망 시스템으로 협력사와 데이터를 주고받는 등 사내외 전산망을 운영하고 있다면 모두 '네트워크 운영자'에 해당하게 된다. 결국 대부분 제조 기업도 네트워크안전법 상의 사이버 보안 의무, 예컨대 시스템 보호조치 마련, 로그 보관, 침입 차단 등 네트워크안전법의 기본 요구사항을 숙지하고 이를 준수해야 한다는 결론에 이르게 된다.

네트워크안전법의 핵심 요구사항 중 하나는 '사이버보안 등급 보호', 즉 보안 등급 표준 준수다. 모든 네트워크 운영자는 국가의 등급 보호 제도에 따라 정보 시스템을 등급 분류한 뒤 그에 맞는 보안 조치를 이행해야 한다. 개정된 보안등급 2.0 제도하에선 기업이 사용하는 네트워크와 정보 시스템을 중요도에 따라 1~5등급으로 구분하는데, 기업들은 등급별로 요구되는 기술적·관리적 통제를 구현했는지에 대한 평가에 기반한 보안 등급 인증을 취득해야 한다.

중국에서 사업을 영위하려는 업체에 이 보안 등급 인증 획득은 인허가 취득, 갱신과도 관련된 중요한 과제가 돼가고 있다. 일부 지역에서 택배업 허가증을 연장할 때 정보 시스템의 보안 등급 증서 제출을 요구하는 사례가 나오는 등 보안 등급 인증 여부가 사업 지속에 직접적으로 영향을 주고 있다는 평가다.

보안 등급 인증 의무를 간과할 땐 실제 처벌로 이어질 수 있다는 점을 특히 유의해야 한다. 중국 당국은 등급 보호 의무 불이행을 비롯해 사이버 보안 법규 위반 행위에 대한 현장 검사와 행정 처분을 점차 강화하고 있다. 시스템 운영 중단이나 벌금 부과와 같은 강력한 제재 사례가 나오기도 했다.

사례명(연도)	위반 내용	처벌 수위
정저우 소재 기계제조유한공사 (2025년)	·기본 보안 조치 미비로 도메인을 탈취당해 불법 사이트로 악용됨 ·네트워크안전법상 시스템 안전관리 의무 위반	·시정 명령 및 경고 조치 ·관할 사이버공간관리국이 해당 기업에 보안대책 재정비 명령
장시성 소재 종합 제조회사 (2023년)	·해킹 공격으로 인한 대량의 데이터 유출 ·시스템 취약점 방치 및 신속 통보·신고 의무 불이행(데이터안전법 위반)	·벌금 50만 위안 부과 ·책임 경영자에 5만 위안 벌금 ·당국이 데이터 보안 관리강화 지시
마이크론 (2023년)	·중국 내 제품 판매분에 대해 네트워크안전 심사에서 중대한 보안 취약점 지적 ·국가 안보 위험 초래 가능성으로 인한 심사 탈락	·중요 정보 인프라 운영자의 마이크론 제품 구매 중단 명령 ·사실상 핵심 분야 판매 금지