EAR(미국 수출 관리 규정)

EAR 정보

미국 상무부는 BIS(산업안전국)를 통해 EAR(수출 관리 규정)를 시행합니다. EAR는 상업 및 군사 목적과 특정 방위 항목 모두에 사용할 수 있는 '이중 사용' 품목을 포함하여 대부분의 상용 상품, 소프트웨어 및 기술의 수출 및 재수출에 대한 제어를 광범위하게 제어하고 부과합니다.

BIS 지침에 따르면 데이터 또는 소프트웨어가 클라우드에 업로드되거나 사용자 노드 간에 전송될 때 클라우드 공급자가 아닌 고객은 해당 데이터 또는 소프트웨어에 대한 전송, 스토리지 및 액세스가 EAR를 준수하는지 확인할 책임이 있는 '내보내기자'입니다.

BIS에 따르면, 수출은 보호 기술 또는 기술 데이터를 외국 목적지로 전송하거나 미국 외국인에게 공개하는 것을 의미합니다(수출이라고도 함). EAR는 다음을 광범위하게 제어합니다.

• 미국 내보냅니다.
• 미국 원본 콘텐츠의 최소 부분 이상을 사용하여 미국 원본 항목 및 특정 외국 원본 항목을 다시 내보내거나 다시 전송 합니다 .
• 다른 국가의 사람에게 전송 또는 공개.

EAR가 적용되는 항목은 각 항목에 고유한 ECCN(내보내기 제어 분류 번호)이 할당된 CCL(상거래 제어 목록)에서 찾을 수 있습니다. CCL에 나열되지 않은 항목은 EAR99로 지정되며 대부분의 EAR99 상용 제품은 라이선스를 내보낼 필요가 없습니다. 그러나 항목의 대상, 최종 사용자 또는 최종 사용에 따라 EAR99 항목에도 BIS 내보내기 라이선스가 필요할 수 있습니다.

2016년 6월에 발표된 최종 규칙은 FIPS 140-2의 검증된 암호화 모듈을 사용하여 엔드투엔드로 암호화되고 군사 금지 국가 또는 러시아 연방에 의도적으로 저장되지 않은 경우 EAR 라이선스 요구 사항도 분류되지 않은 기술 데이터 및 소프트웨어의 전송 및 저장에도 적용되지 않는다는 점을 분명히 했습니다.

Microsoft 및 EAR

Microsoft 기술, 제품 및 서비스는 EAR(미국 수출 관리 규정)의 적용을 받습니다. EAR에 대한 규정 준수 인증은 없지만 Microsoft Azure, Microsoft Azure Government 및 Microsoft Office 365 Government(GCC High 및 DoD 환경)는 EAR의 적용을 받는 적격 고객이 내보내기 제어 위험을 관리하고 규정 준수 요구 사항을 충족하는 데 도움이 되는 중요한 기능과 도구를 제공합니다.

EAR를 시행하는 미국 상무부는 Microsoft와 같은 클라우드 서비스 공급자가 아닌 고객이 자체 고객 데이터의 수출업체로 간주된다는 입장을 취했습니다. 대부분의 고객 데이터는 EAR 내보내기 제어의 적용을 받는 '기술' 또는 '기술 데이터'로 간주되지 않지만 Microsoft scope 클라우드 서비스는 고객이 직면하는 잠재적인 내보내기 제어 위험을 관리하고 크게 완화할 수 있도록 구조화되어 있습니다. Microsoft는 일반적으로 전용은 아니지만 적격 고객을 위해 정부 클라우드 서비스를 사용하는 것이 좋습니다. 적절한 계획을 통해 고객은 다음 도구와 자체 내부 절차를 사용하여 미국 내보내기 제어를 완전히 준수할 수 있습니다.

• 데이터 위치에 대한 컨트롤입니다. 고객은 데이터가 저장되는 위치를 파악하고 스토리지를 제한하는 강력한 도구에 액세스할 수 있습니다. 따라서 데이터가 미국 저장되도록 하고 미국 외부에서 제어된 기술 또는 기술 데이터의 전송을 최소화할 수 있습니다. 또한 고객 데이터는 데이터가 '의도적으로 저장'되는 위치에 대한 EAR 금지와 일치하는 비규격 위치에 저장되지 않습니다. 25개 그룹 D:5 국가 또는 러시아 연방에 Azure 데이터 센터가 없습니다.
• 엔드 투 엔드 암호화. EAR에 지정된 물리적 스토리지 위치에 대한 엔드투엔드 암호화 안전 항구를 활용하여 Microsoft scope 클라우드 서비스는 내보내기 제어 위험으로부터 보호할 수 있는 암호화 기능을 제공합니다. 또한 전송 중 및 미사용 데이터를 암호화하기 위한 다양한 옵션과 암호화 옵션 중에서 선택할 수 있는 유연성을 고객에게 제공합니다. 자세한 내용은 다음을 참조하세요.
  • Azure 암호화 개요
  • Microsoft Purview Information Protection
  • 고객 키를 사용하여 테넌트 수준 암호화
• 무단으로 간주되는 내보내기를 방지하기 위한 도구 및 프로토콜입니다. 또한 암호화를 사용하면 미국 이외 사용자가 암호화된 데이터에 액세스할 수 있더라도 암호화된 동안 데이터를 읽거나 이해할 수 없더라도 아무 것도 표시되지 않으므로 EAR에서 잠재적인 내보내기(또는 다시 내보내기로 간주됨)로부터 보호하는 데 도움이 됩니다. 따라서 제어된 데이터의 '릴리스'가 없습니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

• Azure 및 Azure Government
• Office 365 Government(GCC-High 및 DoD)
• Intune

구현 방법

EAR에 따라 의무를 평가하는 고객을 위한 미국 수출 통제 및 지침 개요입니다.

• Azure
• Office 365

자주하는 질문

Microsoft 클라우드 서비스를 사용할 때 내보내기 제어를 준수하려면 어떻게 해야 하나요?

EAR에서 데이터가 Microsoft 클라우드와 같은 클라우드 서버에 업로드될 때 클라우드 서비스 공급자가 아닌 데이터를 소유한 고객은 내보내기로 간주됩니다. 이러한 이유로 데이터 소유자( 즉, Microsoft 고객)는 Microsoft 클라우드를 사용하는 것이 미국 내보내기 컨트롤을 어떻게 연루시킬 수 있는지 신중하게 평가하고 사용하거나 저장하려는 데이터가 EAR 컨트롤의 적용을 받을 수 있는지 여부와 적용되는 컨트롤을 결정해야 합니다. Azure 및 Office 365 클라우드 서비스가 고객이 미국 내보내기 제어를 완전히 준수하는 데 어떻게 도움이 되는지 자세히 알아봅니다.

Microsoft 기술, 제품 및 서비스는 EAR의 적용을 받나요?

대부분의 Microsoft 기술, 제품 및 서비스는 다음과 같습니다.

• EAR의 적용을 받지 않으므로 상거래 제어 목록에 없으며 ECCN이 없습니다.
• 또는 EAR99 또는 5D992 매스 마켓은 Microsoft에서 자체 분류할 수 있으며 NLR(라이선스 필요 없음)으로 라이선스가 없는 비금지 국가로 내보낼 수 있습니다.

즉, 일부 Microsoft 제품에 라이선스가 필요하거나 필요하지 않을 수 있는 ECCN이 할당되었습니다. 수출 목적으로 적절한 라이선스 유형 및 적격 국가를 확인하려면 EAR 또는 법률 고문에게 문의하세요.

EAR와 ITAR(국제 무기 규정)의 차이점은 무엇인가요?

가장 광범위한 애플리케이션을 사용하는 미국의 주요 수출 통제는 미국 상무부에서 관리하는 EAR입니다. EAR는 상용 및 군사 응용 프로그램이 모두 있는 이중 사용 항목과 순전히 상용 애플리케이션이 있는 항목에 적용할 수 있습니다.

또한 이 미국 가장 중요한 항목과 기술을 제어하는 ITAR과 같은 별도의 특수 수출 제어 규정도 있습니다. 미 국무부가 관리하는 이들은 관련 기술 데이터를 포함하여 많은 군사, 국방 및 정보 항목('국방 문서'라고도 함)의 수출, 임시 수입, 재수출 및 전송에 대한 통제를 부과합니다.

리소스

• Microsoft 제품 내보내기
• 암호화에 대한 내보내기 제한 사항
• Microsoft 및 FIPS 140-2
• Microsoft 및 ITAR
• Microsoft 보안 센터에 대한 규정 준수