미국 상무부의 새로운 규칙: 승인 없이 보안 취약점을 중국에 공유하는 것은 금지되며 Microsoft의 이의는 무효입니다.

​최근 미국 상무부 산업안보국(BIS)은 사이버 보안 분야의 최신 수출 통제 규정을 공식 발표했습니다.

네, '단체 목록'과 '무역 블랙리스트'를 발행하는 곳이 바로 BIS입니다. 최근에는 '중국 네티즌들의 오랜 친구'라고 볼 수 있습니다.

이번엔 뭐지? 주로 네트워크 보안 및 취약점 정보의 관리 및 제어에 관한 것입니다.

간단히 말하면, 미국 법인이 중국 정부와 관련된 조직 및 개인과 협력할 때 보안 취약점이나 정보가 발견되면 직접 공개할 수 없으며 먼저 상무부의 검토를 거쳐야 합니다.

그 이유는 검증된 '국가 안보'와 '대테러의 필요성'입니다.

사실 이번에 발표된 새로운 규정은 2021년 10월 임시 규정(의견 초안)의 최종 확정입니다. 이 규정은 전 세계 국가를 A, B, D, E의 네 가지 범주로 분류하며 제한 조치와 엄격함이 점차 강화되고 있습니다.

중국은 "제한된 국가 및 지역"인 카테고리 D로 분류되고, 카테고리 E는 "포괄적 수출 금지 국가"로 분류됩니다.

이 규정은 "국가 안보 및 대테러 고려 사항"을 목적으로 특정 네트워크 보안 프로젝트에 대한 새로운 제어 방법을 설정합니다.

​동시에 BIS는 사이버 보안 종료를 승인하는 새로운 예외도 추가했습니다. 핵심 내용은 이러한 사이버 보안 품목을 대부분의 목적지로 수출하는 것을 승인하는 것이지만 위에서 언급한 예외를 제외하고는 그렇지 않습니다.

BIS는 이러한 통제된 프로젝트가 감시, 간첩 활동 또는 방해 행위를 목표로 하는 기타 행위에 사용될 수 있다고 믿습니다.

또한 규정에 따라 상업 통제 목록의 수출 통제 분류 번호도 수정됩니다.

새로운 BIS 규정은 전 세계 국가를 A, B, D, E의 네 가지 범주로 나눕니다. 범주 D는 가장 우려되고 제한되는 국가 및 지역입니다.

위 사진처럼 중국은 카테고리 D로 분류됩니다.

새로운 규정의 요구 사항에 따라 기업이 D 등급 국가 및 지역의 관련 정부 부서 또는 개인과 협력하는 경우 잠재적인 네트워크 취약성 정보를 국경을 넘어 전송하기 전에 사전에 신청하고 허가를 받아야 합니다.

물론, 취약점 공개나 사고 대응 등 적법한 사이버 보안 목적인 경우에는 사전 신청이 필요하지 않습니다.

​보시다시피 중국은 국가 안보, 생화학, 미사일 기술, 미국의 무기 금수 조치 등 4가지 범주에 X 표시가 되어 있습니다.

​이 문서에는 그룹 D 국가에서 정부를 대신하여 행동하는 사람이 미국 국가 안보 및 외교 정책 이익에 반하는 활동에 참여하여 "사이버 보안 프로젝트"를 받는 것을 방지하려면 정부를 대신하여 행동하는 개인에 대한 라이선스 요구 사항이 필요하다고 명시되어 있습니다.

이 요구 사항이 없으면 D등급 국가 정부가 이러한 프로젝트에 접근할 수 있습니다.

BIS가 채택한 이 요구 사항은 수출업체가 어떤 경우에는 함께 일하는 개인 및 회사의 정부 소속을 확인해야 함을 의미합니다.

​그러나 라이선스 요구 사항의 제한된 범위와 적용 가능성으로 인해 BIS는 해당 요구 사항이 합법적인 사이버 보안 활동에 부당한 영향을 주지 않으면서 미국 국가 안보 및 외교 정책 이익을 보호할 것이라고 믿습니다.

동시에 BIS는 § 740.22(c)(2)(i) 조항도 개정하여 실제로 예외 범위를 확대했습니다.

현재 조건에서는 디지털 제품을 그룹 D 국가로 수출하거나 경찰이나 사법 기관을 위해 그룹 D 국가로 사이버 보안 품목을 수출하는 것을 허용합니다.

그러나 BIS는 실제로 형사 또는 민사 수사 또는 기소 목적으로 그룹 D 국가의 경찰 또는 사법 기관에 디지털 제품을 수출하는 것을 허용할 계획입니다.

이러한 변화는 예상되는 의견을 반영한 것이라고 할 수 있습니다.

Microsoft 개체가 잘못되었습니다!

BIS의 새로운 규정에 대해 미국의 국내 기술 대기업들은 획일적이지 않습니다. 소프트웨어 대기업인 마이크로소프트는 분명히 반대 의사를 밝혔습니다.

작년 초 이 규정이 협의를 위해 발표된 후 Microsoft는 의견란에 서면 의견 형식으로 이 문서에 대한 이의를 제출했습니다.

​

Microsoft는 정부와의 관계로 인해 사이버 보안 활동에 참여하는 개인 및 단체가 제한된다면 현재 일상적인 사이버 보안 활동을 배포하는 글로벌 사이버 보안 시장의 능력이 크게 억제될 것이라고 밝혔습니다.

상대방이 정부와 관련되어 있는지 여부를 기업이 판단할 수 없을 때, 규정 준수 압력에 직면했을 때 협력을 포기할 수밖에 없는 경우가 많습니다.

Microsoft의 반대는 놀라운 일이 아닙니다.

현재 취약성 공유 메커니즘은 Microsoft의 소프트웨어 개발 생태계에 매우 중요합니다. Microsoft는 관련 패치 및 업그레이드를 출시하기 전에 리버스 엔지니어링 및 기타 기술을 통해 취약점을 분석해야 하는 경우가 많습니다. 취약점 공유 메커니즘이 파괴되면 Microsoft의 취약점 발견 및 복구 속도가 직접적으로 저하됩니다.

Microsoft는 BIS가 "정부 최종 사용자"의 정의를 더욱 명확하게 하거나 적어도 이 정의에 포함될 수 있는 개인 또는 단체를 명확히 해야 한다고 제안했습니다.

BIS는 규정의 최종 초안을 공개하면서 마이크로소프트의 반대 의견을 거명 없이 언급하며 "BIS는 이 의견에 동의하지 않는다"고 밝혔습니다.

문서에 언급된 BIS:

“한 회사는 '정부 최종 사용자'를 대표하는 사람에 대한 제한이 정부에서 연락하기 전에 확인되기 때문에 사이버 보안 담당자와의 국경 간 협력을 방해할 것이라고 말했습니다. 회사는 이 요구 사항을 제거하거나 수정할 것을 권장했습니다.

이 최종 결정은 10월에 발표된 협의 초안과 비교하여 지난 주에 발표되었습니다.

그러나 이 규정은 연구계의 일부 의견을 채택하고 확인해야 할 보안 취약점의 범위를 더욱 좁히고 임시 예외를 추가합니다.

즉, 공개 취약점 공개 또는 보안 사고 대응과 같은 합법적인 사이버 보안 목적인 경우 검토가 필요하지 않습니다.

이 예외조항은 크게 오픈소스 커뮤니티의 정상적인 운영에 필요한 조건을 마련하기 위한 것입니다.

Microsoft는 규칙을 개정한 BIS에 감사를 표하면서도 그러한 예외가 실제 문제를 해결할 수 있을지 확실하지 않다고 밝혔습니다.

"직접 공개가 허용되는 것과 공개가 허용되지 않는 것이 여전히 혼란스러운 상태입니다. 라이센스가 필요한 활동은 현 단계에서 결정할 수 없습니다. 완전히 분류할 수 없는 기술에 대해서는 걱정됩니다." 특정 사용 범주에 대한 라이센스 신청은 "매우 번거로울 것"입니다.

BIS는 Microsoft의 우려를 인정했지만 동시에 이 조항이 미국 국가 안보에 해를 끼치기보다는 유익할 것이라고 주장했습니다.

"바세나르 협정"과 유사

사실 빠르면 2021년 10월 BIS는 미국 기업이 중국과 러시아 네트워크 도구에 공격적인 네트워크 도구를 판매하는 것을 방지하기 위해 "공격적인 네트워크 도구의 수출을 금지하는" 규정을 발표했습니다.

미국 상무부 장관 Gina Raimondo는 "특정 사이버 보안 품목에 대한 수출 통제를 시행하는 것은 악의적인 사이버 행위로부터 미국 국가 안보를 보호하고 합법적인 사이버 보안 활동을 보장하기 위한 적절한 접근 방식"이라고 말했습니다. "

BIS는 또한 현재 규칙이 또한 "바세나르 협정", 즉 "재래식 무기 및 이중 용도 물품 및 기술의 수출 통제에 관한 바세나르 협정"의 틀 내에 있습니다.

​

바세나르 협정은 회원국이 민감한 제품 및 기술의 이중 용도 품목에 대한 수출 허가를 자체적으로 결정하고 자발적으로 관련 정보에 대한 합의를 다른 회원국에 통보해야 한다고 규정합니다. .

사실 이 협정은 실제로 미국이 상당 부분 통제하고 있으며 다른 회원국의 수출 통제 규정에도 영향을 미쳐 서구가 중국에 대한 첨단 기술 독점을 구현하는 중요한 도구가 되었습니다.

이 협정은 "군사 및 이중용도 기술"의 수출 정책을 통제합니다. 미국, 영국, 프랑스, ​​독일, 일본 등 주요 선진국을 포함하여 42개 협정 국가가 있습니다. 러시아도 협정 당사국이지만 여전히 수출 금지 대상 중 하나입니다.

위 내용은 미국 상무부의 새로운 규칙: 승인 없이 보안 취약점을 중국에 공유하는 것은 금지되며 Microsoft의 이의는 무효입니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!