상세 컨텐츠

본문 제목

중국 <네트워크 제품 보안 취약점 관리규정> 9월 1일 시행

국내외 보안동향

by 알약4 2021. 7. 14. 14:19

본문

 

 

《网络产品安全漏洞管理规定》将于9日1日起施行

 

공업정보화부, 국가인터넷정보실, 공안부 3부서가 공동으로 <네트워크 제품 보안 취약점 관리규정>을 발표했습니다.

이 규정은 중국의 네트워크보안, 인터넷 제품 및 중요 네트워크 시스템의 보안과 안정적인 운영을 목적으로 하고 있습니다. 또한 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대해 네트워크 제품의 제공자, 네트워크 운영자 및 취약점 발견,수집,공개 등의 활동을 하는 조직 혹은 개인 등의 책임과 의무에 대해 명시하고 있습니다. 

해당 규정은 2021일 9월 1일부터 시행됩니다.

다음은 <네트워크 제품 보안 취약점 관리규정>의 전문입니다. 

제1조 네트워크 제품 보안 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대한 규범을 정하고, 인터넷 보안 위험을 방지하기 위해 이 규정은 "중화인민공화국 사이버 보안법"에 따라 제정된다.

제2조 중화인민공화국 국경 내의 네트워크 제품(하드웨어 및 소프트웨어 포함) 제공자 및 네트워크 운영자, 네트워크 제품 보안 취약점의 발견, 수집 및 공개에 관여하는 조직 또는 개인은 이 규정을 준수해야 한다. 

제3조 국가인터넷정보실(National Internet Information Office)은 네트워크 제품 보안 취약점 관리에 대한 전반적인 계획과 조정을 책임진다. 공업정보화부는 네트워크 제품 보안 취약성에 대한 포괄적인 관리를 책임지고 통신 및 네트워크 산업의 네트워크 제품 보안 취약성에 대한 감독 및 관리를 담당한다. 공안부는 네트워크 제품 보안 취약성에 대한 감독 및 관리를 담당하며, 네트워크 제품 보안 취약성을 사용하는 불법 및 범죄 활동을 법에 따라 단속한다.

관계 당국은 부서 간 협력을 강화하고, 네트워크 제품 보안 취약성 정보를 실시간으로 공유하며, 주요 네트워크 제품 보안 취약성 위험에 대한 공동 평가 및 처리를 진행한다. 

제4조 조직 또는 개인은 네트워크 제품 보안 취약점을 사용하여 네트워크 보안을 위협하는 활동을 해서는 안되며, 비 합법적인 방법으로 네트워크 제품 보안취약점의 정보들을 수집, 판매, 공개해서는 안된다. 또한 다른 사람이 인터넷 제품의 보안취약점을 악용하여 네트워크 보안을 위협하는 행동에 기술적 지원, 광고, 결제 등의 도움을 제공해서는 안된다. 

제5조: 네트워크 제품 제공자, 네트워크 운영자 및 네트워크 제품 보안 취약점 수집 플랫폼은 네트워크 제품 보안 취약점 정보 수신 채널을 구축 및 원활할 운영을 해야하며, 보안취약점정보와 관련된 로그를 최소 6개월 이상 보관해야한다. 

제6조: 조직 및 개인이 네트워크 제품의 취약점을 알려주도록 격려해야 한다. 

제7조: 네트워크 제품 제공자는 다음의 네트워크 제품 보안 취약점 관리 의무를 이행하고, 제품의 취약점의 패치를 빠르게 개발 및 공개하고, 사용자들이 적절한 조치를 취할 수 있도록 안내해야 한다. 

  (1) 제공된 네트워크 제품의 보안 취약점을 발견하거나 알게 된 후 즉시 조치를 취하고 보안 취약점에 대한 검증을 진행하고, 취약점에 대한 위험 및 영향 평가를 진행한다. 만약 취약점이 업스트림 제품 혹은 펌웨어에 존재한다면, 관련 제품공급사에게 즉시 통지해야 한다. 

  (2) 취약점이 발견되면 공업정보화부의 네트워크 보안 위협 및 취약점 정보 공유 플랫폼에 2일 내로 관련 정보를 신고한다. 보고 할 때에는 제품명, 모델, 버전, 취약점의 기술적 특성, 위험성 및 영향을 받는 범위 등을 포함해야 한다. 

  (3) 네트워크 제품의 보안 취약점에 대한 패치는 빠르게 진행되야 하며, sw, 펌웨어 업데이트와 같은 조치가 필요한 취약점의 영향을 받는 사용자에게는 취약점의 위험성 및 조치 방법을 사용자에게 알리고 기술지원을 제공해야 한다. 

공업정보화의 네트워크 보안 위협 및 취약점 정보 공유 플랫폼은 관련 취약점 정보를 국가망 및 정보보안 정보통보센터와 국가전산망 비상기술처리센터에 동시에 보고한다.

네트워크 제품 제공자가 제공하는 네트워크 제품의 보안 취약점에 대한 보상 메커니즘을 구축하도록 장려하고 제공하는 네트워크 제품의 보안 취약점을 발견하고 보고하는 조직 또는 개인에게 보상한다. 

제8조: 네트워크 운영자는 네트워크, 정보 시스템 및 장비의 보안 취약점을 발견하거나 알게 된 후 즉시 조치를 취하여 적시에 보안 취약점을 확인하고 패치를 완료해야 한다.

제9조: 네트워크 제품 보안 취약점의 발견 및 수집에 종사하는 조직 또는 개인은 네트워크 플랫폼, 미디어, 회의, 대회 등을 통해 사회에 네트워크 제품 보안 취약점에 대한 정보를 게시해야 하며, 필요하고 진실하며 객관적이며, 네트워크 보안 위험 방지에 도움이 되야한다. 또한 다음의 규정을 준수해야 한다. 

  (1) 네트워크 제품 제공자가 네트워크 제품 보안 취약점 패치를 제공하기 전에는 취약점 정보를 공개하지 않으며, 사전 공개가 필요하다고 인정하는 경우 해당 네트워크 제품 제공자와 공동으로 평가 및 협의하여 공업정보화부 및 공안부에 보고한다. 공업정보화부, 공안부 조직은 이에 대해 평가를 진행한 후 발표한다. 

  (2) 네트워크 운영자는 사용하는 네트워크, 정보 시스템 및 장비의 취약점에 대한 세부 정보를 공개하면 안된다.

  (3) 네트워크 제품 보안 취약점의 위협성과 위험도을 의도적으로 과장하지 않으며, 취약점을 악용하여 악성코드 유포, 피싱, 협박 등의 불법적 활동을 하면 안된다. 

  (4) 네트워크 제품의 보안 취약점을 이용하여 네트워크의 보안 활동을 저해하는 목적으로 특별히 사용하는 프로그램과 도구를 배포하거나 제공해서는 안 된다.

 네트워크 보안을 위협하는 활동에 참여하기 위해 네트워크 제품 보안 취약점을 악용하는 데 특별히 사용되는 프로그램 및 도구를 게시하거나 제공하는 것은 허용되지 않는다.

  (5) 네트워크 제품의 보안 취약점을 공개할 때에는 보완 또는 예방 조치를 함께 발표해야 한다.

  (6) 국가의 중요 행사 기간에는, 공안부의 동의 없이 네트워크 제품의 보안 취약점에 대한 정보를 무단으로 공개해서는 안된다. 

  (7) 공개되지 않은 네트워크 제품의 보안 취약점 정보를 네트워크 제품 제공자 외 해외 기관 혹은 개인에게 제공해서는 안된다. 

  (8)법률 및 규정의 기타 관련 조항

제10조 조직 또는 개인이 구축한 네트워크 제품 보안 취약점 수집 플랫폼은 공업정보화 부에 보고해야한다. 공업정보화부는 즉시 관련된 취약점 수집 플랫폼을 공안부, 국가인터넷정보실에 공유하고, 기록된 취약점 수집 플랫폼은 외부에 공개한다. 

네트워크 제품의 보안 취약점을 발견한 조직이나 개인이 산업·정보화부의 사이버 보안 위협과 취약점 정보 공유 플랫폼, 국가 네트워크 및 정보 보안 정보 통보 센터의 취약점 플랫폼, 국가 전산망 긴급 기술처리조정센터, 플랫폼, 중국 정보 보안 평가 센터의 취약점 정보 라이브러리에 네트워크 제품 보안 취약점 정보를 보고하도록 격려한다.

제11조 네트워크 제품 보안 취약점의 발견 및 수집에 종사하는 조직은 내부 관리를 강화하고 불법적으로 취약점 정보가 유출되거나 공개되는 것을 방지할 수 있는 조치를 취해야 한다. 

제12조: 이 규정에 따라 네트워크 제품 보안 취약성 개선 또는 보고 조치를 취하지 않는 네트워크 제품 제공자는 공업정보화부와 공안부가 각자의 책임에 따라 처리한다. <중화인민공화국인터넷보안법> 제60조의 규정에 따라 처벌한다.

제13조: 네트워크 운영자가 이 규정에 따라 인터넷 제품 보안 취약점을 패치하거나 예방 조치를 취하지 않을 경우 관련 주무기관은 <중화인민공화국인터넷보안법> 제 59조의 규정에 따라 처벌한다. 

제 14조 이 규정을 위반한 네트워크 제품 보안 취약성 정보의 수집 및 공개는 공업정보화와 공안부가 법률에 따라 각자의 업무에 따라 <중화인민공화국인터넷보안법> 제62조에 명시된 상황 및 규정에 따라 처벌한다.

제15조: 네트워크 제품 보안 취약점을 사용하여 네트워크 보안을 위협하는 활동에 참여하거나 다른 사람이 네트워크 제품 보안 취약점을 사용하여 네트워크 보안을 위협하는 활동에 참여하도록 기술 지원을 제공하는 사람은 <중화인민공화국인터넷보안법> 제63조의 경우 규정에 따라 처벌하고 범죄를 구성한 경우 법에 따라 형사책임을 추궁한다.

제16조 이 규정은 2021년 9월 1일부터 시행한다.


 

출처:

https://www.freebuf.com/news/280579.html

관련글 더보기

댓글 영역