1. 수요동향
□ 시장현황
○ 현재 중국의 암호화가 필요한 분야(군대, 정부, 금융, 보험, IT 등) 중 80% 이상의 응용시스템에 외국의 데이터베이스(DB) 제품을 사용하며 미국 Oracle사의 비중이 가장 큼. 그리고 중국은 네트워크, 호스트 접속, 애플리케이션 서버 위주로 보안을 진행하고 진정한 핵심인 데이터를 저장 관리하는 DB에 대해서는 유효한 보안조치가 없는 상황임.
- 네트워크 보안제품: 방화벽, 네트워크격리 설비, 침입탐지, 바이러스 방지
- 응용층 보안제품: 보안인증, authorization 등
- 서버 보안제품: 서버보안, 바이러스 예방, 침입탐지, Host audit 등
- 데이터 보안제품: DB 보안강화, database audit, document protection 등
○ 현재 중국에서 제일 많이 사용되는 데이터베이스 제품인 Oracle의 보안강화 방안은 Lead agency, 애플리케이션 암호화 및 오라클 자체의 옵션 DTE(Data Terminal Equipment) 등이 있음.
- Lead agency 방안은 애플리케이션 변동이 필요하고 Oracle의 대부분 기능을 사용할 수 없게 됨.
- 애플리케이션 암호화 방안은 암호화한 데이터를 검색할 수 없고 기존 시스템이 투명하게 이식될 수 없음.
- DTE 방안은 중국의 암호화 알고리즘을 집적할 수 없어 중국의 암호정책에 부합하지 않음.
- 이에 상기의 암호화 솔루션은 중국에서 보급이 안 되고 있음.
○ 네트워크 정보화시대에서 정보시스템에서 가장 중요한 자원은 하드웨어 설비가 아닌 데이터 및 데이터를 저장하는 데이터베이스(DB)임.
- 그러나 현재 중국의 대부분 업체와 기관들은 네트워크와 운영체제의 안전에만 관심을 두고 있음.
○ 현재 다양한 암호화 알고리즘(Encryption algorithm)과 암호화 저장방식(Encrypted storage)이 사용되면서 데이터베이스의 안정성 문제가 대두되고 있음.
□ 수요동향
○ IDC에서 발표한 "중국 2007-2011년 IT 안전시장 분석과 예측"에 의하면 2006년 중국의 IT안전시장 총 규모는 5억7600만 달러임.
- 2007-2011년 전반 정보안전시장의 연평균 복합성장률은 23.5%, 2010년 중국 IT안전시장규모는 9억7650만 달러에 이를 것으로 예측함(IT안전시장에는 정보안전 소프트웨어, 정보안전 하드웨어와 정보안전 서비스가 포함됨).
○ 2010년 PWC(Price Waterhouse Coopers)에서 발표한 세계정보안전 리포트에 따르면 중국기업의 정보 안전 사고발생률은 세계 평균치를 넘어서고 있음.
- 가장 많이 발생하는 정보안전사고는 네트워크, 데이터, 시스템에서 주로 발생하는데, 세계 평균 사고발생률은 25%, 27%, 23%인 반면 중국기업의 사건발생률은 각각 51%, 45%, 40%로 세계 정보안전사고 발생률의 거의 2배에 가까우며 이는 전년도에 비해서도 증가한 수치임.
○ CCID Consulting의 통계에 따르면 2006년부터 2010년까지 중국의 데이터보안관리 시장규모는 1억9500만 위안에서 4억900만 위안으로 연평균 복합성장률이 20.34%에 달함.
- 현재 중국에서 데이터보안관리 제품은 주로 정부, 군대, 군수공업 및 제조업 등 정보에 비교적 민감한 분야에서 사용되고 있음.
- 전문조사기관의 통계에 따르면 2012년 금융과 에너지 산업의 데이터누출방지 제품에 대한 수요는 정부, 군대와 군수공업을 초과하여 각각 21%, 17%에 달하게 될 것임.
- CCID Consulting은 2013년 중국의 데이터보안관리 시장규모가 7억9300만 위안에 달할 것으로 예측하고 있음.
○ 중국의 대부분 데이터보안 관련 분야에 종사하는 업체들은 정부, 군대, 안보산업에 치중되어 있어 있으며 최근 들어 개인정보와 관련한 정보보안제품 분야까지 확대하고 있음.
- CNNIC의 조사에 의하면 2011년 상반기 중국의 바이러스나 악성코드의 공격을 받은 네티즌 수는 2억1700만 명으로 총 네티즌 수의 44.7%, ID 혹은 비밀번호 도난경력이 있는 네티즌 수는 1억2100만 명으로 총 네티즌 수의 24.9%로 2010년 대비 3.1% 증가함.
○ 정보화 확산과 더불어 정부기관, 기업과 사업 단위 등의 데이터는 점차 전자문서형식으로 저장, 전달하고 있음.
- 이러한 정보기술이 광범위하게 활용되면서 내부 도난, 외부 침입 등 데이터 누설 가능성이 증가하고, 바이러스 교차 감염, 저장설비 도난, 부적절한 관리 등의 문제도 증가하고 있음.
- 중국은 현재 정보화가 빠른 속도로 확산되는 상황으로 특히 데이터 안전에 대한 의식 제고가 필요함.
○ 향후 중국 네트워크 보급 확장, 스마트폰 및 통신원가의 하락, 3G 사용 확대 등으로 중국 네티즌 인구가 2011년 5억1300만 명에서 점차 확대될 예정임.
- 최근 들어 온라인 결제, 인터넷뱅킹, SNS 등이 확산되면서 개인데이터보안관리 제품에 대한 수요가 확대되고 있음.
2. 관련 제도/인증 제도
(제도/인증 관련 번역 자료는 참고용으로 제공된 것으로 번역 내용에 대한 책임을 지지 않습니다.)
□ 중국
○ 계산기 정보시스템 안전보호등급 구분준칙(GB17859-1999)
- 제1급: 사용자 자체 보호등급
- 제2급: 시스템감사 보호등급
- 제3급: 안전표기 보호등급
- 제4급: 구조화 보호등급
- 제5급: 접근검증 보호등급
안전보호등급별 제공 솔루션
○ 보호등급 평가기관
- 국가기관과 지역별 지정 기관으로 구분되며 총 114개 추천기관이 있으며 하기의 리스트는 국가기관과 베이징, 상하이에 소재한 기관임.
□ 중국 - 안전DB시스템제품
○ 적용범위
- 이 규칙에서 안전데이터베이스(DB) 시스템은 시스템의 설계, 실현, 사용과 관리 등 모든 단계에서 시스템안전 책략을 준수하고 또한 GB17859-1999에서 규정한 안전등급 3급 이상(3급 포함)인 DB 시스템을 이름.
- 이 규칙에 적용되는 제품 범위는 (1) 독립된 안전DB시스템 소프트웨어제품; (2) 기타 제품에 집적되어 있거나 내장되어 있는 안전DB시스템임.
- 기밀정보시스템에 사용하는 상기 제품에 한해서 국가의 유관 기밀규정과 표준에 근거하여 실행하며, 이 규칙에 적용하지 않음.
○ 인증방식
- 테스트+초기공장검사+인증 취득 후 감독
○ 인증의 기본절차
○ 제출서류(www.isccc.gov.cn)
- 신청서(첨부, 암호기술이 포함된 제품은 國家密碼管理局에서 지정한 테스트기관에 암호기술 테스트신청을 해야 함)
- 신청인의 기본정황 설명
- 신청인의 유관 자질증명서류(복사본)
- 신청인의 품질체계관련 자료
- 신청인의 성명
- 제품 기능에 대한 중국어 설명서와/혹은 사용매뉴얼
- 인증표준 적용에 대한 설명
- 제품을 개발한 주요기술인원의 인적사항
- 제품테스트 기술인원 인적사항
- 제품테스트에 사용된 주요 설비리스트(적용 시)
- 중국어 라벨과 경고표시(적용 시)
- 한 개의 인증 유닛(Unit)에 포함되는 여러 개의 모델명/버전의 차이설명 및 유관 자체 테스트리포트(적용 시)
- 제품 비밀번호 테스트증서
○ 테스트 샘플선택 및 수량
- 인증유닛에 한 개의 모델명/버전이 있을 경우 해당 모델명/버전을 샘플로 송부하면 됨.
- 한 개의 인증유닛에 여러 개의 모델명/버전이 있을 경우 전형적인 모델명/버전을 선택하여 샘플로 송부함.
- 샘플은 신청인이 선택하여 송부하되 4세트/품종 필요함.
- 인증 취득 후 신청인은 테스트기관에서 샘플을 돌려받을 수 있고 유관 신청서류는 인증기관과 테스트기관에서 처리함.
○ 인증결과 평가와 비준
- 인증기관은 샘플테스트와 초기공장검사결과에 대하여 평가를 진행하고 평가에서 합격하면 인증서를 발급함. 평가에서 합격하지 못한 경우 기한 내에(3개월 내) 수정 후 재차 심사를 거쳐 인증서를 발급함.
○ 인증기간
- 인증기간은 신청인의 신청이 접수된 날로부터 시작하여 인증서 발급일까지 실제발생 기간(휴무 제외)을 가리키며 테스트 기간(워킹데이 약 90일), 초기공장검사(합격 시 검사 후 워킹데이 5일 내 검사보고서 제출, 4-6인·일) 및 보고서 제출시간, 인증결론 평가와 비준, 인증서 제작시간(3가지 절차 포함하여 워킹데이 5일)이 포함됨.
- 인증서 취득 12개월 후 첫 인증서 감독을 진행하고 그 후로부터 매 12개월마다 인증서 취득 후 감독을 진행함.
○ 강제인증 마크사용
- 국가에서 통일적으로 인쇄 제작하는 표준규격의 마크, 몰드 혹은 제품명판에 인쇄하는 3가지 방식 중에서 한 가지를 채택할 수 있음. 몰드 혹은 제품명판에 인쇄하는 방식을 채택할 경우 반드시 국가인증허가감독관리위원회(国家认证认可监督管理委员会) 제품인증마크를 발급 받고 관리기관(强制性产品认证标志发放与管理机构)의 허가를 받아야 함.
- 마크 부착위치: 소프트웨어 제품은 포장/정보저장장치에 부착, 만약 포장/정보저장장치가 없을 경우 프로그램을 사용하는 허가 협의서의 눈에 띄는 위치에 중국강제성인증(CCC인증) 취득 제품임을 표기해야 함.
○ 테스트비용
○ 정보안전제품 인증서 양식