중국 암호법 실시
공격인가 아니면 방어인가?
중국 정부가 전격적으로 2020년 1월 1일부터 암호법을 실시했다. 매체들이 보도하는 바에 따르면 인터넷 및 IT 기술 상의 모든 사용자 암호를 이후 중국 정부에서 관리한다는 것이다. 이법은 지난해 10월 26일 인민대표회의 상무 위원회에서 통과시켰지만 매체들로부터 그렇게 중시되지는 못했다. 그리고 이제 실제 발효가 되었지만 이에 주목하는 국내 매체는 별로 보이지 않는다. 그러나 향후 중국에서의 비즈니스 관행은 물론 일반 경제생활에도 영향을 줄 수 있으니 한 번쯤 파악을 하는 것이 필요해 보인다.
http://www.npc.gov.cn/npc/c238/201910/a48b204760ed4d3d856d4440fa723c64.shtml
물론 이는 통신의 자유, 통신의 비밀을 엄중하게 침해하는 사안이다. 그러나 흥분하기 전에 일단 차분하게 중국 정부가 발표한 암호법이 구체적으로 어떤 내용을 어떻게 규정하고 있는지를 알아야 할 것이다. 이 법은 5개 장으로 구성되어 있다. 1장 총칙, 2장 핵심 암호와 보통 암호, 3장 상용 암호, 4장 법률 책임, 5장 부칙이 그것이다. 아래에 전문을 번역하여 보인다.
第一章 总 则(1장 총칙)
第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
1조 이 법은 암호의 적용 및 관리를 규제하고, 암호 산업의 발전을 촉진하며, 네트워크 및 정보의 보안을 보호하고, 국가 안보 및 사회적 공공 이익을 보호하며, 시민, 법인 및 기타 조직의 합법적인 권리와 이익을 보호하기 위해 제정되었다.
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
2조 이 법에서 "암호"라는 용어는 특정 변환 방법을 사용하여 정보 및 기타 정보를 암호화하고 보호하는 기술, 제품 및 서비스를 나타낸다.
第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
3조 암호화는 전반적인 국가 안보 개념을 준수하며 통일된 지도부, 계층별 책임, 혁신적인 발전, 전반적인 서비스, 법률에 따른 관리, 그리고 국가 안보의 원칙을 따라야 한다.
第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
4조 암호화에 관한 중국 공산당의 지도를 준수해야 한다. 중앙의 암호화 지도 기구는 국가 암호화 작업에 대한 통일된 지도를 행사하고, 국가 암호화 작업에 대한 주요 지침 및 정책을 수립하고, 국가 암호화 작업과 관련된 주요 문제와 중요한 작업을 조정 및 조정하며, 국가 암호 법의 구성을 촉진해야 한다.
第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
5조 국가 비밀번호 관리 부서는 전 국가의 비밀번호를 관리합니다. 현급 이상 지역의 암호 관리 부서는 해당 관리 행정 구역의 암호 작업을 관리해야 한다. 암호화 작업에 관련된 국가 기관 및 조직은 자신의 책임 범위에 있는 자체 기관, 조직, 그리고 시스템에 대한 암호화 작업을 담당한다.
第六条 国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。
6조 국가는 암호에 대해 분류 관리를 실행한다. 암호는 핵심 비밀 암호, 보통 암호 그리고 상용 암호로 구분한다.
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
7조 핵심 암호 및 보통 암호는 국가의 비밀 정보를 보호하는 데 사용된다. 핵심 암호 보호 정보의 최고 수준은 극비(절대 비밀)이며 일반 암호 보호 정보의 최고 등급은 기밀급이다. 핵심 암호와 일반 암호는 국가 비밀이다. 암호 관리 부서는 본 법 및 관련 법, 관련 행정 규정, 그리고 관련 국가 규정에 따라 핵심 암호 및 일반 암호를 엄격히 통일 관리해야 한다.
第八条 商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
8조 상용 암호는 국가 기밀이 아닌 정보에 속한다. 시민, 법인 및 기타 조직은 법률에 따라 상용 암호를 사용하여 네트워크 및 정보를 보호할 수 있다.
第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
9조 국가는 암호화 과학 기술의 연구 및 적용을 장려하고 지원하며, 법에 따라 암호화 분야의 지적 재산권을 보호하며, 암호화 과학 기술의 발전과 혁신을 촉진한다. 국가는 암호화 기술의 인재 양성 및 조직 구성을 강화하고 암호화에 뛰어난 기여를 한 조직과 개인에게 관련 국가 규정에 따라 표창하고 장려한다.
第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
10조 국가는 다양한 형태를 통해 암호 보안 교육을 강화하고 암호 보안 교육을 국가 교육 시스템 및 공무원 '교육 및 훈련 시스템에 통합하며 시민, 법인 및 기타 조직의 암호 보안에 대한 인식을 강화한다.
第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
11조 현급 이상의 인민 정부는 국가 경제 및 사회 개발 계획에 암호화 작업을 통합해야 하며 필요한 자금은 재정 예산에 포함시켜야 한다.
第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
12조 어떤 조직이나 개인도 다른 사람의 암호화로 보호한 정보를 도용하거나 다른 사람의 암호 보호 시스템에 불법적으로 침입할 수 없다. 어떠한 조직이나 개인도 암호를 사용하여 국가 안보, 사회적 공익 및 타인의 합법적인 권리 및 이익을 위협하는 불법 및 범죄 활동에 참여할 수 없다.
第二章 核心密码、普通密码(제2장 핵심 암호, 보통 암호)
第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
13조 국가는 핵심 비밀번호 및 공통 비밀번호의 과학적 계획, 관리 및 사용을 강화하고 시스템 구축을 증강하며 관리 조치를 개선하여 비밀번호 보안 기능을 강화한다.
第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
14조 유무선 통신으로 전송되는 국가 비밀 정보와 국가 비밀 정보를 저장하고 처리하는 정보 시스템은 법률, 행정 규정 및 관련 국가 규정에 따라 암호화 보호 및 보안 인증을 위해 핵심 암호와 보통 암호를 사용해야 한다.
第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
15조 핵심 암호, 공통 암호 연구, 생산, 서비스, 테스트, 장비, 사용 및 파기에 종사하는 기관은 (이하 통칭하여 암호 업무 기관) 법률, 행정 규정, 관련 국가 규정, 핵심 암호 및 공통 암호 표준의 요구 사항을 준수해야 한다. 보안 관리 시스템을 구축 및 개선하고, 엄격한 비밀 유지 조치 및 기밀 책임 시스템을 채택하여 핵심 암호 및 보통 암호의 보안을 보장해야 한다.
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
16조 암호 관리부서는 법에 따라 암호 업무 기관의 핵심 암호와 보통 암호 업무를 지도, 감독, 점검하여야 하며 암호 업무 조직은 응당 협조하여야 한다.
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
17조 암호 관리 부서는 필요시 관련 부서와 협력하여 핵심 암호 및 보통 암호의 안전 모니터링 및 사전 경고,
보안 위험 평가, 정보 통보, 주요 사항 상담 및 응급조치를 위한 메커니즘을 설정하여 핵심 암호 및 보통 암호 안전 관리의 연계 협조 및 효과적 우선순위 등을 보장한다. 암호화 작업 기관이 핵심 암호 또는 보통 암호가 유출되었거나 핵심 암호 또는 보통 암호의 보안에 영향을 미치는 주요 문제 또는 숨겨진 리스크를 발견하면 즉시 조치를 취하고 보안 관리 부서 및 비밀번호 관리 부서에 적시에 보고 해야 하며, 보안 행정 관리 부서 및 암호 관리 부서로 하여금 관련 부서와 함께 관련 암호 업무 조직에 대한 조사, 조치 및 지도를 함과 동시에 보안 위험을 적시에 제거해야 한다.
第十八条 国家加强密码工作机构建设,保障其履行工作职责。国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
18조 국가는 암호 업무 기관의 건설을 강화하여 직무 책임의 완수를 보장해야 한다. 국가는 핵심 암호 및 보통 암호의 업무에 필요한 인력의 충원 직원 모집, 선택, 기밀 유지, 평가, 교육, 치료, 보상 및 처벌, 교류 및 퇴출을 위한 관리 제도를 구축한다.
第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
19조 암호 관리 부서는 업무 상 필요시 관련 국가 규정에 따라 공공 보안, 운송, 세관 및 기타 부서에 핵심 암호 및 공통 암호 관련 물품 및 인력과 같은 편리를 제공하도록 요청할 수 있으며 관련 부서는 지원해야 한다.
第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
20조 암호 관리 부서와 암호 업무 조직은 완전하고 엄격한 감독 및 보안 심사 제도를 확립하고 업무 직원들의 법률 및 기율 준수를 감독하여 정기 또는 부정기적으로 조직의 보안 심사를 전개하도록 한다.
第三章 商用密码(상용 암호)
第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
21조 국가는 연구 및 개발, 학술 교류, 업적 전환 및 상용 암호화 기술의 홍보 및 적용을 장려하고 통일되고 개방적이며 경쟁적이며 질서 있는 상용 암호화 시장 체계를 개선하며 상용 암호화 산업의 발전을 장려하고 촉진한다.
각급 인민 정부와 관련 부서는 비차별 원칙을 따라야 하며 외국인 투자 기업에 대하여 상업용 암호화 연구, 생산, 판매, 서비스, 수출입 조직(이하 통칭하여 상업 암호화 기관이라고 함)에서는 동등하게 취급해야 한다. 국가는 외국인 투자 과정에 있어 자발성 원칙과 상업 규칙에 의거한 상업적 암호 기술 협력 개발을 장려한다. 행정 기관과 그 직원은 상업적 암호화 기술을 강제로 양도하기 위해 관리 수단을 사용해서는 안된다. 상업적 암호의 연구, 생산, 판매, 서비스 및 수입 및 수출은 국가 안보, 사회적 공익 또는 타인의 합법적인 권리 및 이익에 해를 끼치지 않아야 한다.
第二十二条 国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
22조 국가는 상용 암호 표준 시스템을 확립하고 개선한다. 국무원의 표준화 관리 부서와 국가 암호 관리 부서는 각자의 책임에 따라 상용 암호에 대한 국가 및 산업 표준의 공식을 구성해야 한다. 국가는 사회단체와 기업이 독립적인 혁신 기술을 사용하여 국가 표준, 산업 표준 및 관련 기술 요구 사항보다 높은 수준의 상용 암호 그룹 표준과 기업 표준을 공식화하도록 지원한다.
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
23조 국가는 상용 암호의 국제 표준화 활동에 참여하고, 상용 암호에 대한 국제 표준 개발에 참여하며, 중국 및 외국 표준에서 상용 표준의 변환 및 사용을 촉진한다. 국가는 기업, 사회단체, 교육 및 연구 기관이 상용 암호의 국제 표준화 활동에 참여하도록 권장한다.
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商 用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
24조 상업용 암호 전문가는 관련 법률, 관리 규정, 상업용 암호에 대한 필수 국가 표준 및 고용주의 공개 표준 기술 요구 사항에 따라 상업용 암호 활동을 구현해야 한다. 국가는 암호를 사용하는 조직이 상용 비밀번호에 대해 권장 국가 표준 및 산업 표준을 채택하여 상용 암호의 보호 기능을 개선하고 사용자의 합법적인 권리와 이익을 보호할 것을 권장한다.
第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
25조 국가는 상용 암호 검측 및 인증 시스템의 구축을 장려하고, 상용 암호 검측 및 인증을 위한 기술 사양 및 규칙을 공식화하며, 상용 암호 사업자가 상용 암호 검측 및 인증을 자발적으로 수용하도록 장려하고, 시장 경쟁력을 강화한다. 상업용 암호 검측 및 인증 기관은 법률에 따라 관련 자격을 취득하고 상업용 암호 검측 및 인증을 위한 법률 및 관리 규정과 기술 사양 및 규칙의 조항에 따라 상업용 암호 검측 및 인증을 수행해야 한다. 상업용 암호 검측 및 인증 기관은 상업용 암호 검측 및 인증에서 배운 국가 암호 및 상업용 암호의 비밀을 유지할 의무를 가진다.
第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
26조 국가 안보, 국가 경제, 사람들의 생계 및 공익을 포함하는 상업용 암호화 제품들은 법률에 따라 네트워크 중요 장비 및 네트워크 보안 특별 제품 카탈로그에 포함되어야 하며 인증 기관의 검측 인증하여 자격을 갖춘 후에 만 판매하거나 제공할 수 있다. 상용 암호 제품은 중화 인민 공화국 사이버 보안법의 관련 조항에 따라 중복 테스트 및 인증을 피할 수 있다. 상용 암호 서비스가 네트워크 보안을 위해 네트워크 크리티컬 장비 및 특수 제품을 사용하는 경우 상용 암호 인증 기관의 상용 암호 서비스 자격을 갖추어야 한다.
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
27조 상업 암호로 보호하는 중요한 정보 인프라 스트럭처 운영자는 자신이나 상용 암호 감지 기관에 의한 상업적 암호 응용 프로그램 보안 평가를 수행하거나 위임해야 하도록 법률, 관리 규정 및 관련 국가 규정에서는 요구한다. 상용 암호 응용 프로그램 보안 평가는 중요한 정보 인프라 보안 탐지 평가 및 네트워크 보안 수준 평가 시스템에 적용하되 중복적인 평가 및 평가를 피해야 한다. 주요 정보 인프라 운영자는 상용 암호와 관련된 네트워크 제품 및 서비스를 구매 사용하되 국가 보안에 영향을 줄 수 있는 있는 경우 "중화 인민 공화국 사이버 보안법" 조항에 따라 국가 암호 관리 부서 및 국가 네트워크 정보 부서 등을 통해 국가 안전 심사를 받아야 한다.
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
28조 국무원의 상무 주관 부서와 국가 암호 관리 부서는 법에 따라 국가 안보, 사회적 공익에 보편적인 암호화 보호 기능이 포함된 상업적 암호에 대한 수입 허가를 실시함에 있어 국가 안보, 사회적 공익 또는 중국이 국제적 의무로 이행해야 하는 상업적 암호의 수출 통제를 구현해야 한다. 상용 암호 수입 라이선스 목록 및 수출 통제 목록은 국가 암호 관리 부서 및 관세청과 함께 국무원의 상무 부서에서 공식화하고 발표한다. 대중 소비 유형의 제품에 사용되는 상용 암호에는 수입 라이선스 및 수출 통제 시스템을 실행하지 않는다.
第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
29조 주 암호 관리 부서는 상용 암호 기술을 사용하여 전자 정부 서비스 및 전자 인증 서비스에 참여하는 조직에 대해 인증을 실시하고 관련 부서와 함께 정부 업무에서 사용되는 전자 서명 및 데이터 메시지를 관리한다.
第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
30조 법률, 행정 규정 및 협회 조항에 따라, 상업 암호 분야의 산업 협회 등 조직은 정보, 기술, 교육 및 기타 서비스를 상업적 암호 전문가에게 제공하고, 상업적 암호 전문가가 법에 따라 상업적 암호 활동을 수행하도록 안내하고 촉진하고, 산업 자율을 강화하여 산업이 성실하게 구축되고 건전한 발전을 이루도록 촉진한다.
第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
31조 암호 관리 부서 및 관련 부서는 일상 감독 및 불시 조사를 결합한 상용 암호에 대한 사후 현장 감독 제도를 구축하고, 통일된 상용 암호 감독 및 관리 정보 플랫폼을 구축하여, 현장 감독 및 사회 신용 시스템의 통합을 촉진하며, 상용 암호 업계의 자율 및 사회 감독을 강화한다. 암호 관리 부서와 관련 부서 및 직원은 상용 암호 전문가 및 상용 암호 테스트 및 인증 기관이 소스 코드와 같은 암호 관련 독점 정보를 공개하고 업무 수행 시 배운 영업 비밀과 개인 정보를 노출하도록 요구해서는 안된다. 비밀을 유지해야 하며 다른 사람에게 공개하거나 불법적으로 제공해서는 안된다.
4장의 법률 책임과 5장의 부칙은 생략한다. 독자 여러분들은 이상과 같은 중국의 암호법에 대해 어떤 생각이 드시는가? 중화권에서는 지금까지 중국은 사실 상 인터넷 상의 활동을 모니터링하고 감시해 왔는데 왜 구태여 다시 암호법을 시행하는가에 대해 여러 관측이 나오고 있다. 이중 가장 많이 지적하고 있는 사항이 블록체인 기술이 원인이라는 것이다. 또는 여기에 빅 데이터의 영향이라는 해석도 있다. 그리고 중국 정부가 보다 인민들의 사생활을 들여다 보고 통제하려 하는 것이라고 지적하고 있다.
중국 정부의 목적이 어디에 있던지 간에 이 암호법이 중국에 있어서의 개인 통신의 비밀과 자유에 심각한 영향을 줄 것이라는 데에는 이론의 여지가 없다. 그러나 필자는 내용 상으로 볼 때에는 중국 정부가 타인의 비밀과 프라이버시를 들여다보고 싶은 목적보다는 오히려 남이 중국 정부나 중국 내 정보를 들여다볼까 걱정하는 것이 아닌가 하는 인상을 받았다. 즉 공격이 아닌 수비로 보이는 것이다.
암호법이라는 명칭에서 필자를 포함한 많은 사람들은 IT와 인터넷을 사용하는 모든 사용자의 아이디와 암호를 중국 정부가 통제하려 한다고 생각했다. 필자가 가입한 중국의 여러 사이트, 은행 온라인 뱅킹, 메신저 등의 암호를 중국 정부가 알아내고 통재하려 한다고 생각한 것이다. 그러나 곰곰이 생각해 보면 중국 정부는 이미 이런 권한을 모두 보유하고 있다. 중국 정부가 요구하는 정보를 중국의 인터넷 사업자, 은행, 메신저 서비스 업체들이 제공하고 있다는 것은 주지의 사실이다. 지금도 다 들여다보고 있는데 무엇을 더 요구하겠는가 말이다.
그리고 법안에서 설명하고 있는 "암호"라는 단어는 사실 "암호화 기술"이다. 즉 데이터를 보호하기 위한 encryption 기술을 말하는 것이지 일반 사용자들이 사용하는 "패스워드"의 개념이 아닌 것이다. 그리고 지적했듯이 중국 정부는 이미 그런 일반 사용자들의 "패스워드"는 문제가 되지 않는다. 이미 모든 서버와 데이터에 대한 접근 권한을 가지고 있기 때문이다.
암화화 관련해서 중국 정부는 지난날 모든 암호화 관련 기술, 제품 등에 대해서는 일체의 외국산 기술을 허용하지 않았다. 그러나 이번 암호법에서는 해외 암호 기술 및 제품의 수입에 대한 규제와 통제 이야기가 나온다. 그것은 외국산 암호 기술의 도입을 허용한다는 말이 된다. 그럼 왜 중국 정부는 외국산 암호화 기술을 도입 허용하고 여기에 대해서 이렇게 법을 만들고 각급 지방 정부의 제도를 정비하고 있는 것일까? 중국 정부가 원해서 하는 일은 아닐 테고 중국 정부로 하여금 하기 싫은 일을 하게 만드는 주체는 미국 외에는 없다고 본다.
그러니 미국의 요구에 의하여 중국 정부는 외국 보안 기술, 암호화 기술을 허용한다는 의미가 된다. 그리고 외국 보안 기술과 암호화 기술이 들어온다는 것은 미국의 서버와 정보 통신 인프라가 중국에 진출한다는 시사이다. 이미 중국의 리커창 총리는 마이크로소프트나 애플에게 일부 미국의 클라우드 서비스를 파일롯으로 허용할 수 있다는 입장을 밝힌 바 있다. 미국의 클라우드 서비스가 들어오면 이제까지 중국 정부가 막아온 서방 세계의 인터넷 서비스, 예를 들어 페이스북이나 유튜브 같은 서비스에 대해 중국 국민들이 접근 가능하게 될 가능성이 생긴다. 중국 정부는 이를 우려하는 것이 아닐까? 아직은 어느 것도 단정하기에는 이르다. 하지만 무엇인가 중국의 인터넷 만리장성에 구멍이 생기는 것 같은 그런 장면이 떠오른다. 기다려 보자.
