최종_백서 표지

Transcription

1 총`론 제 제 제 제 제 장 장 장 장 장 국가정보보호백서의 주요 내용 정보보호 환경 현황 및 전망 국가 정보보호 체계 정보보호 담당기관 정보보호 법제도

2 제 장 는 총 4개의 독립된 편과 특집 및 부록으로 구성되어 있으며, 이 밖에 정보보호 연혁, 정보보호 10대 이슈를 별도로 수록하고 있다. <정보보호 10대 이슈>에서는 2013년 주요 언론매체에 보도된 정보보호 관련 기사들을 토대로 정보보호 전문가들의 의견수렴을 통해 선정한 내용들을 소개하고 있다. <제1편 총론>에서는 정보화 환경과 역기능 및 향후 전망, 정보보호 담당기관, 정보보호 법제도를 다루고 있다. 정보보호 담당기관 은 국가기관, 전문기관, 민간협력단체로 나누어 소개하고 있으며, 정보보호 법제도 에서는 정보보호 법제도 발전과정과 2013년 주요 제 개정 법령을 소개하고 있다. <제2편 정보보호 활동>에서는 인터넷 침해사고 대응 및 예방 활동, 정보통신서비스 제공자 등의 정보보호, 주요정보통신기반시설 보호 활동, 전자정부 정보보호 활동, 개인정보보호 활동, 대국민 정보보호 활동을 다루고 있다. 인터넷 침해사고 대응 및 예방 활동 에서는 인터넷 침해사고 동향, 인터넷 침해사고 대응 및 예방 활동을 소개하였다. 정보통신서비스 제공자 등의 정보보호 에서는 정보보호 관리체계 인증 및 정보보호 사전점검을 소개하였다. 주요정보통신기반시설 보호 활동 에서는 관련 추진체계와 함께 전자적 제어시스템 위협 및 피해 사례, 주요정보통신기반 보호체계 강화 활동을 소개하였다. 전자 정부 정보보호 활동 에서는 대민서비스 정보보호 수준진단, 안전한 전자인증체계, 정보시스템 SW 개발 보안제도 도입 등을 살펴보았다. 개인정보보호 활동 에서는 개인정보보호 환경 변화, 개인정보 침해 현황, 개인정보보호 추진 현황 및 성과, 향후 계획에 대해 다루고 있다. 대국민 정보보호 활동 에서는 불법스팸메일 방지, 불건전 정보유통 대응, 정보보호 상담 및 처리, 정보보호 홍보 및 인식제고 활동, 대국민 정보보호 교육사업에 관하여 기술하였다. <제3편 정보보호 기반조성>에서는 정보보호산업분야, 정보보호 기술개발 현황, 정보보호 교육 및 인력 분야를 다루고 있다. 정보보호산업분야 에서는 정보보호산업 현황과 관련 제품의 수출 현황, 정보보안서비스 전문업체 지정제도 및 현황도 함께 다루었다. 정보보호 기술개발 현황 에서는 정보보호 원천기술 개발전략과 현황, 정보보호기업 기술개발 운영 현황을 소개하고 있다. 정보 보호교육및인력분야 에서는 정규교육과정 및 전문기관에 의한 인력양성 현황, 정보보호 자격증 제도, 정보보호 인력 현황을 분석한다. <제4편 통계로 보는 정보보호>에서는 우리나라의 정보보호 수준을 파악하기 위해 국가 민간분야 정보보호 담당자를 대상으로 설문조사를 실시, 이를 통해 획득한 각종 관련 수치들을 국가 공공 및 민간부문으로 나누어 제공하고 있다. <특집>에서는 국가차원의 정보보호 종합대책과 IoT 환경에서의 보안 이슈, 2013년 사이버스페이스 총회를 다루고 있다. <부록>에서는 2013년 주요정보보호 행사, 국내 정보보호 관련 업체 현황, 정보보호 인증 및 검증필 제품 목록, 용어를 정리 소개하고 있다. 정보보호 10대 이슈는 2013년 한 해 동안 주요 관심사로 주목받은 주제에 대해 정보보호 전문가들의 의견을 수렴하여 2013년의 정보보호 기술 및 정책 동향을 확인할 수 있는 주제를 선정하였다. 또한 정보보호 활동을 보다 자세히 소개하여 독자들이 우리나라의 정보보호 활동 현황을 파악하는 데 어려움이 없도록 하였고, 정보보호 기술개발 현황을 별도의 장으로 편성하여 자세히 소개함으로써 우리나라의 정보보호기술 현황을 구체적으로 살펴볼 수 있도록 하였다. 정보보호 설문조사는 최신 동향을 반영한 설문지를 조사에 활용하고 보다 정확한 통계를 산출하여 독자들에게 양질의 정보를 제공하는 데 주안점을 두었다. 한편 특집 제1장에서는 국가 안보를 위협하는 사이버공격에 체계적으로 대응하고 정보보호산업을 신성장동력으로 육성하는 한편 금융권 전산보안 전반을 강화하는 등 국가차원의 정보보호 종합 62 국가정보보호백서의 주요 내용 63

3 대책에 대한 내용을 담았다. 국가 사이버안보 종합대책과 그 후속으로 발표한 정보보호산업 발전 종합대책, 금융전산 보안강화 종합대책 등을 차례로 설명하여 독자들의 이해도를 높이는 데 도움이 될 수 있도록 구성하였다. 제2장에서는 새로운 ICT 트렌드인 IoT(Internet of Things) 환경에서의 보안 이슈를 담았다. 오늘날 정보통신기술의 발전으로 통신 주체가 사람뿐 아니라 모든 사물까지 가능해지는 사물인터넷(IoT) 환경이 확대됨에 따라 IoT 시장 전망과 IoT 환경에서의 다양한 보안 위협 요인과 유형, 이에 대응하기 위한 보안요구 사항 등에 대해 설명하였다. 제3장에서는 사이버 공간의 경제 사회적 혜택, 사이버보안 및 범죄, 국제안보 등 사이버 주요 이슈를 포괄적으로 다루는 국제포럼인 2013 사이버스페이스 총회(Seoul Conference on Cyberspace 2013)에 대해 자세히 설명하였다. 2013년 10월 17일~18일 양일간 서울에서 열린 이번 사이버스페이스 총회에서 개방되고 안전한 사이버공간을 통한 글로벌 번영(Global Prosperity through an Open and Secure Cyberspace) 을 주제로 글로벌 인터넷 경제의 지속적인 성장과 번영을 위한 사이버안보 국제협력 논의 내용을 수록하였다. 제 장 정보통신기술(ICT)은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 ICT는 경제 성장의 원천이 되고 있으며, 사회 시스템의 효율성을 높이고 기업의 역량을 효과적으로 발휘할 수 있게 해준다. 이렇듯 ICT의 발전으로 말미암아 오늘날 사회적, 경제적, 생활 문화적 양태는 하루가 다르게 변화하고 있다. 사회 경제 활동에서의 정보통신기술의 활용도는 더욱 높아져 항공 철도 전력 가스 행정서비스 등 국민 생활에 편의를 제공하는 다양한 분야에서 필수적으로 활용되고 있다. 언제 어디에서나 정보통신 기기를 사용할 수 있고, 일상생활 전반에 걸쳐 ICT가 접목되어 삶의 질을 높여주는 등 활용범위는 지속적으로 확장될 것이다. 한편 클라우드 컴퓨팅, 스마트플랫폼, 빅데이터 등의 새로운 정보통신 기술의 발전과 활용은 우리의 삶을 풍요롭게 하는 기반이다. 현재 우리나라는 정보통신에 대한 의존도가 상당히 높다. 우리나라의 2013년 연간 전자상거래 총 거래액은 약 1,204조 원으로 전년도에 비해 5.0% 증가하여 지속적인 증가세를 유지하고 있으며, 모바일뱅킹을 포함한 인터넷뱅킹 이용자 수는 9,549만 명으로 전년도보다 10.5% 증가하였다. 이렇듯 사이버공간은 21세기 인적 소통과 경제적 번영의 공간으로서 제5의 영토라고 불릴 만큼 국가와 국민생활에 큰 영향력을 끼치고 있다. 우리나라는 정보통신을 활용하여 보다 나은 삶을 만들어가고 있으며 국가 발전에 많은 순기능적 효과를 가져왔다. 하지만 정보통신에 대한 높은 의존도는 정보통신에 대한 침해사고 발생시 우리의 삶에 대한 직접적인 위해를 가하며, 때로는 단지 개인과 기업에 한정되는 위해가 아니라 국가를 대상으로 하는 공격 형태로 확장되기도 한다. 특히 새로운 IT서비스가 등장할 때마다 그에 따른 보안문제 해결은 중요한 과제로 떠오르게 된다. 정보보호는 이러한 기반을 보호하여 국민의 삶을 64 국가정보보호백서의 주요 내용 65

4 유지하고 보다 발전시키는 역할을 한다. 또한 정보보호는 창조경제에서 중요한 부분을 차지한다. 사이버공간은 창조와 혁신의 무대이며, 정보보호의 발전을 통한 안전한 ICT 세상의 실현은 창조경제의 밑거름이 된다. 그리고 정보보호는 완벽을 향해 달리는 영원한 레이스로서 블루오션의 성격을 지니고 있으며, 정보보호산업은 고부가가치 산업으로서 그 자체가 창조경제의 한 형태가 된다. 정보보호산업은 새로 등장하는 사이버공격이라는 창을 방어하는 방패로써 끊임없이 진화 발전하는 미래의 새로운 성장산업이다. 또한 국민생활에 필수적인 사회안전 산업이자 국가의 존폐를 좌우하는 방위산업이다. 국가성장과 삶의 질 향상의 원동력이 되는 사이버세상의 안정적 발전과 진화는 정보보호산업을 동반하지 않고는 불가능하다. 따라서 정보보호는 창조경제를 견인하는 동력의 기능을 하며, 국가 발전에 중요한 의미를 지닌다. 발생하여 검찰이 유출사고 수사를 진행하였으며 수사결과 약 8,500만여 건의 개인정보가 유출된 것으로 밝혀졌다. 이에 따라 향후 개인정보보호를 위한 대책이 집중적으로 마련될 것으로 예상되며 개인정보에 대한 암호화, 내 외부 직원의 접근 통제, 규정위반에 따른 강력한 규제 등을 위한 대책이 구체화될 것이다. 한국은 UN과 ITU에서 발표하는 ICT 수준에서 최상위를 차지하는 국가다. 따라서 대외적 위상이 높지만 각종 사이버공격과 역기능도 지속적으로 나타났다. 특히 2013년에 발생한 3.20 사이버테러, 6.25 사이버공격 등 일련의 대규모 피해발생은 북한의 소행으로 규명되었으며, 국가안보차원의 강력한 사이버위협 대응이 필요하다는 의견이 제기되었다. 이에 따라 국가차원의 사이버안보 강화를 위해 국가 사이버안보 종합대책이 마련되었으며, 이와 함께 보다 세부적인 분야별 대책도 마련되었다. 금융분야에서는 금융전산 보안강화 종합대책이 마련되었고, 정보보호 역량강화를 위해 정보보호산업의 뒷받침이 필요하다는 인식에 따라 정보보호 산업 발전 종합대책도 마련되었다. 이러한 조치를 통해 정부는 청와대가 심각한 사이버위협 발생시 상황을 통제하고 지휘한다는 부분을 명확히 하였으며, 향후 기관 간 상호협력과 공조가 강화될 것으로 기대되고 있다. 정보화 사회의 진전에 따라 정보화 역기능도 지속적으로 확대되어 해결되지 않는 사회문제가 되고 있다. 악성댓글, 스팸메일, 개인정보 유출, 금전적인 목적을 대상으로 하는 피싱(Phishing)이나 파밍(Pharming)에 따른 개인적인 피해가 증가하고 있으며, 불건전 정보유통, 개인 사생활 침해 등과 같은 부작용이 심각한 사회문제가 되었다. 특히 2013년에는 카드사 고객정보 대량 유출사고가 세계 각국은 정보보호의 중요성을 인식하고 정보보호 강화가 필요하다는 데 인식을 같이하고 있다. 이에 따라 국제적 논의가 활발히 이루어지고 있으며, 의미 있는 결과들이 도출되고 있다. 2013년 3월 북대서양조약기구(NATO) 산하 CCD COE(Cooperative Cyber Defence Centre of Excellence)는 탈린매뉴얼을 공식적으로 발표하였다. 탈린매뉴얼은 현존하는 국제법을 기준으로 하여 사이버전쟁에 적용될 수 있는 부분을 정리한 것으로서 전쟁선포 및 전쟁행위의 정당성, 사법권, 국가 책임, 자위권, 무력분쟁, 맞대응 원칙, 사이버공격 대상의 제외, 사이버공격시 전쟁포로 보호, 인프라 공격시 주의, 중립지역에서 공격권 행사금지 등을 다루고 있다. 탈린매뉴얼을 마련하는 과정에서 세계 각국의 전문가 40여 명이 참여한 국제적 논의가 진행되었으며, 그 결과물이 국제규범안의 형식으로 도출되었다는 점에서 큰 의미가 있다. 2013년 6월 제3차 UN 정부전문가그룹(UN GGE)에서는 참여국들이 온라인상에서도 기존의 국제법이 적용될 수 있다는 점에 합의하고 이에 대해 지속적으로 연구하기로 하는 등의 의견일치를 보았다. 2013년 10월 서울에서 개최된 2013년 세계사이버스페이스 총회에서는 정보보호 관련 토론 이 활발히 이루어졌으며, 그 결과 각국이 정보보호 강화를 위해 노력하고 국제협력을 증진할 것에 합의하 는 내용의 서울 프레임워크 및 공약 이 발표되었다. 향후 정보보호를 위한 국제적 논의는 계속될 것이며, 우리나라는 국제협력에 대한 전략을 수립하고 논의에 참여하여 정보보호를 강화시키는 노력을 지속적으로 추진해야 할 것으로 보인다. 이를 위해 각국의 입장에 대한 세밀한 분석이 필요하며, 정보보호 전문가가 국제적 논의에 적극적으로 참여할 수 있도록 해야 한다. 66 정보보호 환경 현황 및 전망 67

5 제 장 3.20 사이버테러 6.25 사이버공격 등 대규모 사이버공격으로 인한 국가안보 위협이 급격히 증대되면서 범국가차원의 일원화된 대응체계 필요성이 제기되고 있다. 이에 정부는 관계부처 합동으로 국가 사이버안보 종합대책 을 수립하여 사이버안보 업무수행체계를 정립하였다. 사이버위협 대응체계 즉응성 강화를 위해 청와대가 사이버안보 컨트롤타워를, 국가정보원이 실무 총괄을 각각 담당하며 民 官 軍 분야별 책임기관을 확립해 일원화된 합동 대응체계를 마련하였다. 국가안보실은 위기시 컨트롤타워로서 사이버위기 상황 보고 전파 및 대응활동을 총괄하며, 미래 전략수석실은 평시 컨트롤타워로서 정보보호 관련 법 제도 정비, 정책 수립 등 역할을 담당한다. 한편 국가사이버안전에 관한 중요사항을 심의하기 위해 국가정보원장 소속하에 국가사이버안전전략 회의 (이하 전략회의)를 두고 국가사이버안전체계 수립 및 개선, 국가사이버안전 관련 정책 기관 간 역할조정에 관한 사항, 국가사이버안전 관련 대통령 지시사항에 대한 조치방안 등을 심의한다. 전략 회의 의결사항은 국가안보실 미래전략수석실과 협의를 거쳐 최종적으로 대통령에게 보고된다. 국가정보원은 사이버안보 실무총괄 역할을 맡아 국가사이버안전센터 에서 국가 공공부문 사이버 공격 예방 및 침해사고 조사, 사이버위협정보 수집 분석 배포, 국가사이버안전전략회의 운영, 사이버 안전기본계획 수립 등 업무를 수행한다. 또한 국가사이버안전센터에 民 官 軍 사이버위협 합동대응팀 을 운영함으로써 사이버위협에 대한 범국가차원의 체계적인 대응체계를 유지하고 있다. 국방부는 기무사 사이버사를 통해 국방분야의 사이버안보 업무를 담당하는데 국방분야 사이버위 협 예방 및 침해사고 대응, 전시 사이버전 수행 및 관련 기술 개발 등 임무를 수행한다. 민간분야의 사이버안보 활동은 미래창조과학부가 담당하며, 민간분야 사이버공격 예방 및 침해사고 대응, 사이버안보 대국민 홍보, 정보보안산업 인력 육성 및 정보보안 기술개발 등 업무를 수행한다. 한편 사이버공격 등 위기상황 발생 즉시 각급기관은 국가안보실(위기관리센터)과 국가정보원 (국가사이버안전센터)에 동시 최초 상황보고를 하며, 국가정보원은 사이버공격에 의한 피해 및 대응 상황을 국가안보실을 통해 대통령에게 보고한다. 68 국가 정보보호 체계 69

6 제 장 2013년도에는 3.20 사이버테러, 6.25 사이버공격 등 북한의 대규모 사이버공격이 2차례나 발생하였다. 국가안보를 위협하는 사이버공격이 현실화됨에 따라 기존의 사이버안보업무 수행체계 보완 등 범국가 차원의 종합적인 대책방안 마련을 위해 유관부처 합동으로 국가 사이버안보 종합 대책 을 수립하였다. 동 종합대책은 선진 사이버안보 강국 실현 을 목표로 사이버위협 대응체계 즉응성 강화, 유관기관 스마트 협력체계 구축, 사이버공간 보호대책 견고성 보강, 사이버안보 창조적 기반 조성이라는 4대 전략을 담고 있다. 세부 내용은 특집 제1장 을 참고하시기 바란다. 국가정보원은 ICT발전과 더불어 고도화 지능화되는 북한 및 외국의 사이버공격으로부터 대한민국 사이버안보를 수호하기 위해 조직적 역량을 총동원하고 있다. 1. 국가정보원 국가정보원은 국가정보원법, 정보통신기반보호법, 전자정부법, 국가정보화기본법 등관련 법령에 의해 국가정보보안 업무의 기획 조정 및 보안정책 수립 시행 등 국가 공공기관에 대한 정보보안업무를 총괄해 오고 있다. 특히 2005년 1월 제정된 국가사이버안전관리규정 (대통령훈령 316호, 개정)에서 국가의 사이버안전과 관련된 정책 및 관리에 대해 국가정보원장이 관계 중앙행정기관의 장과 협의하여 이를 총괄 조정하도록 규정하였다. 국가정보원은 국가 공공기관 정보시스템의 보안대책 수립 지원, 해킹 및 악성코드 유포 등 사이 버공격에 대한 탐지 대응, 각급기관 전산망에 대한 보안진단, 국가안보와 관련된 정보통신기반시설 보호업무, 국가 공공기관용 암호장비 등 보안시스템 개발 보급, 정보보호시스템의 인증업무 등을 수행해 오고 있다. 한편 2003년 1.25 인터넷대란 발생 등 사이버공격이 증가함에 따라 국가차원의 종합적 체계적인 예방 대응을 위해 2004년 2월 국가사이버안전센터(National Cyber Security Center, 이하 NCSC)를 설립하였다. NCSC는 국가 사이버안전 정책 수립, 국가사이버안전전략회의 및 대책회의 운영, 사이버위기 경보 발령, 사고 조사 분석 및 대응복구 등 사이버안전 총괄기관으로서의 역할을 담당하고 있다. 또한 정보공유 활성화 및 공조체계 강화를 위해 NCSC 내 유관기관이 참여하는 民 官 軍 사이버 위협 합동대응팀 을 운영하고 있으며 종합판단 정보공유 합동분석 합동조사 등 4개 분야에 대한 합동업무를 수행하고 있다. 2. 미래창조과학부 미래창조과학부는 과학기술과 ICT를 세계 최고 수준으로 육성하여 신산업을 창출하고, 각 산업에 융합 확산시켜 창조경제 실현을 조직의 임무로 설정하고, 과학기술과 정보통신기술 융합을 통해 창조경제와 국민행복을 실현한다 는 비전 아래 2013년 새 정부와 함께 출범하였다. 정보보호업무는 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 국가정보화기본법, 전자 서명법, 정보통신기반보호법, 정보통신산업진흥법 에 근거하여 수행되고 있으며, 민간정보보호에 관한 정책의 수립 총괄 및 조정, 민간분야 주요정보통신기반시설의 지정 권고 보호대책 보호 지원 및 보호계획, 민간분야 침해사고 예방 대응체계의 구축 및 운영, 전자인증 관련 정책의 수립 조정 및 총괄, 정보보호산업 관련 주요 정책의 수립 및 추진 등 민간정보보호 및 정보보호산업 업무를 총괄하고 있다. 그동안 안전행정부, 산업통상자원부, 방송통신위원회에 나뉘어 있던 정보보호 일부 업무가 미래 창조과학부로 이관됨으로써 사이버 보안위협의 선제적 대응능력을 높이고 안전한 사이버세상의 리더십과 창조경제의 첨병으로서 정보보호산업을 신성장 산업으로 육성할 것이다. 미래창조과학부의 정보보호 주요 업무 추진사항을 살펴보면 다음과 같다. 안전한 인터넷 사회 구현을 위해 국내 인터넷 이상징후를 24시간 365일 상시 모니터링하고 국내 230만 개 홈페이지의 악성코드 탐지 및 악성코드에 PC가 감염될 경우 해당 사실을 개인에게 통지함으로써 3.20 사이버테러 및 6.25 사이버공격 발생시 신속하게 대응 조치하는 등 피해 최소화에 기여하였다. 또한 APT(지능형 지속위협, Advanced Persistent Threat) 등 날로 지능화 70 정보보호 담당기관 71

7 고도화되고 있는 민간분야 대상 사이버공격을 예방 대응하기 위해 범국가 정보보호시스템 확충 등으로 악성코드 및 악성앱 차단을 높이고, 파밍(Pharming) 차단시스템을 구축하여 파밍 피해액을 감소시키고 금융사기로부터 국민을 보호하기 위해 노력하였다. 특히, 기업 정보보호 대응역량 강화를 위해 정보보호관리체계 인증제도 의무화, 정보보호조치 강화, 사전점검 활성화 등 기업 스스로 침해사고 발생을 예방하고 정보보호 대응능력을 제고할 수 있도록 지속적으로 유도하고 있으며, 2013년에는 정보보호관리체계 인증 및 보안서버 보급 확대, 정보통신, 에너지(전기 가스), 교통(전철 항공), 상하수도, 병원 등 기반시설 신규 지정을 통해 정보보호 환경을 개선하고 국민생활 인프라에 대한 사이버 안전망 확충에 기여하였다. 또한 기업의 정보보호 인식 제고와 투자 촉진을 위해 정보보호최고책임자(CISO)협의회를 출범시켰다. 사이버세상의 안정적 발전을 도모하고 정보보호산업을 미래 먹거리산업으로 육성하기 위해 정보보호산업 발전 종합대책 을 수립(2013년 7월 4일)하여 이행함으로써 전년 대비 국내 정보보호 시장 매출 14.5%, 신규 고용 55.8%의 성장을 견인하였다. 또한 정보보호산업의 성장동력 확보 및 10대 세계 일류 정보보호제품 개발을 위한 연구개발 로드맵을 수립하였고, 범국가적 사이버위기에 대비하고 글로벌 정보보호산업을 리드할 수 있는 화이트 해커 수준의 정보보호 전문인력을 양성 하였다. 아울러 제품 위주의 정보보호시장을 탈피하고 부가가치의 서비스산업을 육성하기 위해 지식정보보안 컨설팅전문업체 지정 관련 법제도를 개선하였으며, 국내 중소형 정보보호기업의 맞춤형 해외진출 지원 및 개도국 대상 글로벌 정보보호 프로젝트를 기획하여 좁은 국내 정보보호 시장을 전 세계로 확대하는 노력을 지속하고 있다. 공인인증서는 2013년 7월에 누적 발급 건수 3,000만 장을 돌파(경제활동 인구의 115% 수준)하여 1인 1인증서 시대를 열었으며, 온라인 모바일뱅킹, 전자민원 처리, 전자조달, 연말정산 등 국민들의 편리한 e-경제활동을 가능케 하는 핵심 인프라로 기능하고 있다. 공인인증서의 중요성 및 활용이 증대됨에 따라 안전한 공인인증서 이용환경을 구축하기 위해 5개 공인인증기관에 대하여 매년 정기 점검을 실시하고, 3년마다 엄격한 심사를 통해 공인인증기관 지정을 재검토하고 있으며, 안전한 저장매체의 보급 등을 위해 노력하고 있다. 2013년도 1월에는 재외국민들이 편리하게 공인인증서를 발급받을 수 있도록 오사카, 시카고 등 7개 재외공관에 공인인증서 발급시스템을 구축하였으며, 2014년 2월에는 LA, 뉴욕, 후쿠오카 등 10개 공관에 추가적으로 발급시스템을 구축하여 재외국민의 편의를 도모하고 있다. 또한 정보보호 대국민 인식 제고를 위해 메시지 파급력이 큰 TV, 라디오, 인터넷 등 대중매체를 활용한 정보보호 홍보를 강화하고 생활 속에서 정보보호를 실천할 수 있는 슬로건인 STOP THINK CLICK 등 다양한 캠페인을 실시하여 국민과 함께하는 참여의 장을 마련하였으며, 국민 누구나 일상생활에서 실천 가능한 정보보호 생활수칙 안내 및 정보보호 이벤트, 공모전 등을 통해 국민 참여를 유도하였다. 특히 정부부처 합동으로 사이버공격 예방 및 국민들의 정보보호 생활화를 위해 정보보호의 날 달 행사 및 국제컨퍼런스를 개최하여 대국민 정보보호 인식 제고 및 실천력을 강화하였다. 3. 방송통신위원회 방송통신위원회는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 의해 개인정보보호에 관한 업무를 수행하고 있다. 최근 사회 전반에 걸쳐 변화를 주도하고 있는 스마트 혁명 속에서 국민들은 새로운 서비스의 혜택과 편익을 누리고 있다. 그러나 동시에 개인정보 침해의 위험성도 그만큼 높아졌다. 이에 방송통신 위원회는 국민의 소중한 개인정보를 안전하게 보호하기 위해 개인정보 침해사고를 사전에 예방하고 유 노출 사고에 신속히 대응할 수 있는 개인정보보호체계를 구축 운영하고 있다. 2011년 7월 SK커뮤니케이션즈의 대량 개인정보 유출사고 발생을 계기로 방송통신위원회는 개인 정보 유출방지 및 2차 피해 예방을 위한 인터넷상 개인정보보호 강화방안 을 마련하였다. 이를 바탕으로 과도한 개인정보 수집 이용 제한, 기술적 관리적 보호조치 기준 강화, 개인정보 이용내역 통지 등 이용자의 개인정보 자기결정권을 강화하는 방향으로 정보통신망 이용촉진 및 정보보호 등에 관한 법률 을 개정한 바 있다. 2012년 8월 시행된 이 법률에 따라 정보통신서비스 제공자는 온라인상 주민등록번호의 수집이 전면 금지되었고 이미 수집한 주민등록번호도 2014년 8월 18일까지 모두 파기하여야 한다. 방송통신위원회는 교육 홍보 및 현장조사 등을 통해 온라인상 주민등록번호 미사용 환경의 조기 정착을 위해 노력하고 있다. 특히 기술 인력 부족 등으로 개정 법률을 이행하는 데 어려움을 겪고 있는 영세 중소기업에게 기술지원 및 인터넷 주민등록번호 클린센터 를 통해 컨설팅을 제공하고 있다. 또한 주민등록번호 사용 제한으로 국민들이 인터넷서비스를 이용하는 데 불편을 겪지 않도록 본인확인기관을 지정해 대체 수단인 아이핀 범용공인인증서 휴대폰인증 등을 보급함으로써 안전하게 인터넷서비스를 이용할 수 있도록 돕고 있다. 또한 방송통신위원회는 기업 스스로 자율적인 개인정보보호 활동을 강화하도록 하는 PIMS(개인 정보보호 관리체계, Personal Information Management System) 인증제도를 도입 운영하고 있다. 72 정보보호 담당기관 73

8 2013년은 PIMS 제도 시행의 원년으로 PIMS 구축 운영에 대한 교육과 자가진단 도구의 개발 보급을 통해 기업의 자율적인 개인정보보호 관리체계 구축을 돕고 있다. 아울러 방송통신위원회는 국내외 개인정보 유 노출 사고에 신속히 대응하고 추가 피해를 방지하기 위해 인터넷에 노출된 개인정보를 찾아 신속히 삭제하는 개인정보 유 노출 대응시스템을 운영하고 있다. 우리 국민의 개인정보 유출 사례가 증가하고 있는 중국과는 현지 개인정보 보호기구와 MOU를 체결하여 개인정보 노출사고에 신속히 대응하고 개인정보보호 관련 국제 동향 이슈 등을 공유하는 등 협력체계를 유지 강화하고 있다. 끝으로 방송통신위원회는 다양한 매체를 통한 교육 및 홍보 실시와 기업을 대상으로 하는 워크숍 개최 등으로 대국민 인식 제고 활동도 지속적으로 전개하고 있다. 특히 국민들에게 친숙하고 메시지 전달력이 높은 인터넷포털( TV를 활용하여 대국민 인식 제고 활동을 지속적으로 추진하고 있다. 4. 안전행정부 안전행정부는 국가정보화기본법, 전자정부법, 개인정보 보호법 에 의해 소관 정보보호 및 개인정보보호정책 업무를 수행한다. 정보화사회 발전에 따라 증가되고 있는 사이버위협과 침해에 대한 선제적 예방 및 대응체계를 강화하여 안전한 정보사회를 구현하고 있다. 또한 공공 민간 등이 보유하고 있는 개인정보 유출로 인한 피해를 방지하고 국민 불안감 해소를 위한 개인정보보호 체계를 강화하기 위해 법제 체계 정비, 관리 기술적 보호 강화, 교육 확대 피해구제 강화 등 다각적인 대책을 수립 추진하고 있다. 국가기관의 사이버침해 대응역량 강화를 위해 정부통합전산센터와 한국지역정보개발원 및 17개 시 도에 사이버침해대응센터를 구축하여 각종 사이버공격에 공동대응하고 있으며, 7.7 DDoS(분산 서비스 거부, Distributed Denial of Service) 침해사고 이후 국가적인 사이버위기에 대응하기 위해 유관기관과 합동으로 범정부적인 공조체제를 가동하고 있다. 특히 국가정보통신망 내 정보시스템에 대한 DDoS 대응역량 강화를 위해 실시간 패킷 분석, DDoS 공격 차단, 사이버대피소 등 다단계 방어체계를 구축하였고, 46개 중앙부처 소속기관 및 시군구에 방화벽, 침입차단시스템을 설치 보급하여 정보보호 인프라 수준을 향상시켰다. 또한 DDoS 공격의 근본 원인인 좀비PC 제거를 위해 2011년 10개 중앙부처와 16개 시 도에 좀비PC 제거시스템을 구축하였고, 2013년 1월 32개 중앙 부처 및 230개 시 군 구를 대상으로 좀비PC 제거시스템 확충을 완료하였으며, 보다 효율적이고 더 높은 수준의 정보보호관리 추진을 위해 대민서비스 중요도에 따라 3등급으로 분류, 맞춤형 보안 관리를 추진하고 있다. 최근 급증하고 있는 홈페이지 해킹에도 효과적으로 대응하기 위해 홈페이지 취약점을 점검하여 그 결과를 관계기관에 통보하여 보완하도록 하고, 소프트웨어 개발단계에서도 보안약점을 진단 보완하기 위해 소프트웨어 개발보안이 적용되도록 추진하고 있다. 안전행정부는 개인정보 보호법 의 본격 시행에 따라 보다 안정적으로 법제도가 조기 정착될 수 있도록 법령 정비 및 분야별 업종별 특성을 반영한 가이드라인 등을 마련하여 제도적 기반을 공고히 하였으며, 모든 개인정보 처리자에 대하여 원칙적으로 주민등록번호의 수집을 금지하고, 주민등록 번호를 유출한 기업(기관)에 대해 5억 원 이하의 과징금 부과와 함께 해당 기업 CEO 등에 대한 징계 권고 조항을 신설하는 등 개인정보보호의 책임이 대폭 강화되는 내용으로 법을 개정하였다. 더불어 개인정보보호에 대한 인식을 제고하기 위해 공공기관과 민간사업자 등을 대상으로 지역별 순회교육을 실시하고, 창업자 개인정보보호 현장방문 지원, 중소 영세 소상공인에 대해 보호조치 컨설팅 및 개인정보수집 웹사이트 취약점 점검 등을 통한 기술 지원을 실시하였다. 또한 개인정보보호 합동점검단 중심으로 개인정보 불법 매매 유출 등 국민생활 불편, 사생활 침해 유발 업종 대상에 대한 단속과 처벌을 강화하여 개인정보보호 제도와 문화가 우리 사회에 조기에 정착될 수 있도록 다각적인 노력을 병행하였다. 정부통합전산센터(NCIA) 가. 일반 현황 정부통합전산센터(NCIA, National Computing Information Agency)는 국가정보자원의 효율적 관리와 안정적 운영을 위하여 2005년 11월 출범하였으며 국세 외교 공안 경찰 등 국가안보 사회 질서 및 주민등록 조달 관세 등 국민생활 기업활동과 관련된 중앙행정기관의 정보시스템을 관리 운영하고 있다. 또한 중앙행정기관, 지자체, 입 사법부, 교육기관 등 700여개 국가기관이 사용하는 주요 정보통신망을 관리하고 있으며 24시간 365일 사이버 위협정보 수집 분석을 통해 사이버공격에 대응하고 있다. 74 정보보호 담당기관 75

9 나. 실시간 사이버위협 대응 정부통합전산센터는 자체 침해대응체계인 8방어 4분석 체계를 활용하여 365일 24시간 사이버 위협 관제를 수행하고 있다. 특히, 2012년 10월 2일자로 정보보호 전담조직인 사이버안전과 를 신설해 침해사고 대응팀, 유관기관과 정보 공유, 탐지 차단패턴 개발 등의 정보보호 업무를 더욱 강화하였다. 아울러, 보안인프라 등이 상대적으로 열악한 센터 미 입주기관의 정보시스템을 보호하기 위해, 중앙 부처 소속기관 등 300여개 기관을 대상으로 DDoS 방어체계를 2012년에 확대 구축하였고, 2013년 부터는 방어 서비스를 제공 중이다. 다. 사이버 위협요소 발견 및 제거 정부통합전산센터는 중앙행정기관 정보시스템 및 통신망의 취약점 점검을 연 2회 이상 실시하고 부처별 방문을 통해 현장에서 기술을 지원함으로써 발견된 취약점을 개선하는 등 지속적으로 보안을 강화하고 있다. 또한 정기점검 외에도 각 기관에서 별도 요청시 보안진단을 하여 사이버침해 시도로부터 웹서버의 보안성을 강화해 나가고 있다. 한편 정기적으로 사이버공격 대응기술을 활용 해 관계기관과 공동으로 사이버침해 대응훈련을 실시함으로써 대규모 DDoS 등 주요 사이버침해 에 대비하였으며 취약점종합이력관리시스템을 도입하여 취약점 이력 관리를 하고 있다. 라. 정보보호 관리체계 확립 정보자원 통합에 따른 사이버침해 증가에 대비하여 관련 법령에 따라 자체 정보보호 관리항목 (정보시스템 정보통신망 등 17개 분야, 204개 항목)을 도출하고 내부 점검 체계 및 절차를 수립하여 자체 보안활동을 강화하였다. 그리고 개인정보 보호법 시행에 발맞춰 개인정보 내부관리계획 수립, 개인정보 보호지침 정비, 접근통제 및 암호화 시스템 운영 등 관리적 기술적인 보호체계를 확립하였으며 정기적인 개인정보 관련 교육 및 이행실태를 실시하고, 데이터베이스 암호화 구축 가이드 마련 등 지속적인 개인정보보호 활동을 추진할 예정이다. 마지막으로 용역업체 등 내부자에 의한 정보유출을 방지하기 위해 용역사업 준비 계약 수행 종료 단계별 보안관리 절차를 마련하고 아울러 보안위규자 및 해당업체에 대한 내부정보유출방지체계도 개선하였다. 게다가 상주인력 및 유지보수 인력이 정보시스템에 무단으로 접속하지 못하도록 기술적 접근통제를 한층 더 강화하여 시행하고 있다. 5. 금융위원회 가. 소관 법규 및 제도 개선사항 금융위원회는 전자금융거래법, 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 등에 따라 전자금융분야에서의 보안정책의 수립 및 제도개선에 관한 사항, 전기통신금융사기 피해 방지와 피해금 환급에 관한 정책 및 제도 개선사항 등을 관장하고 있다. 또한 정보통신기반보호법, 재난 및 안전관리기본법 등에 따라 금융분야 주요정보통신기반시설과 국가기반체계에 대한 보호정책 등의 업무를 수행하고 있다. 전자금융거래법 은 전자금융업무 등을 수행하는 금융회사 전자금융업자의 자동화된 비대면 금융거래에서의 법률적 관계와 더불어 거래의 안전성을 확보하기 위한 사항들을 규율하고 있다. 2011년 농협 전산사고 이후에는 금융회사 내에 정보보호최고책임자(CISO) 지정을 의무화하여 전자금융거래의 안전성을 확보하고 이용자 보호를 보다 체계적으로 수행하도록 동법을 개정하였 으며, 2013년 3.20 사이버테러 이후에는 침해사고에 대한 예방 및 대응이 강화될 수 있도록 전자 금융기반시설에 대한 취약점 분석 평가 의무화, 전자적 침해행위 금지 및 침해사고 대응 등에 관한 내용을 동법에 추가하여 지능화되고 빈발하는 금융 사이버공격에 대한 대응을 강화하는 정책을 추진 하였다. 전기통신금융사기 피해금 환급에 관한 특별법 은 보이스피싱으로 인한 피해가 빈발하는 상황에서 사기이용계좌에 남아 있는 피해금을 소송 없이 간소화된 절차를 거쳐 환급받게 할 목적으로 제정 되었다. 금융위원회는 피해금을 환급하는 사후적 대책에 그치지 않고 사전에 피해를 예방하는 정책을 강화하기 위해 2012년 1월 보이스피싱 피해 방지 종합대책 을 마련하고 금융 통신 사법 경찰 분야에서의 피해 방지대책을 관계기관과 함께 추진하였다. 이에 따라 법률 제명도 전기통신금융사 기 피해 방지 및 피해금 환급에 관한 특별법 ( 시행 예정)으로 변경하고 피해를 예방하기 위한 노력을 강화하고 있다. 또한 금융위원회는 정보통신기반 보호법 에 따라 금융분야 주요정보통신기반시설 49개에 대한 76 정보보호 담당기관 77

10 보호업무를 수행하고 있으며, 재난 및 안전관리기본법 등에 따라 소관 금융분야의 국가기반체계 보호업무, 금융전산분야에 대한 위기관리 업무 등 다양하고 방대한 업무를 수행 중이다. 나. 소관분야대책추진실적 2013년 3월 20일에 북한의 지능형지속위협(APT) 공격을 받아 KBS, MBC, YTN 등 방송사들과 농협, 신한, 제주은행 등 금융사들이 대규모 전산장애로 영업이 중단되는 사태가 발생하였다. 이에 따라 지능화 고도화되는 사이버공격에 대응하고자 금융위원회는 금융전산 보안강화 종합대책 (2013.7) 을 마련하였다. 동 대책은 금융전산 위기대응체계 강화, 금융회사의 전자금융기반시설 보안 강화, 금융회사의 보안조직 인력 역량 강화, 금융 이용자 보호 및 감독 강화, 금융회사의 자율적 보안노력 지원 등 5개 분야의 30개 과제로 구성되어 있다. 각 과제가 완료되는 즈음에는 금융회사들의 사이버위협에 대한 대응능력이 한층 강화되어 전자금융거래의 안전성과 신뢰성이 제고될 수 있을 것으로 기대된다. 동 대책에 따라 금융회사 내부의 업무망과 인터넷망 분리, 침해사고 대응 강화를 위한 침해사고 대응기관 지정 등 금융전산 보안강화를 위한 핵심적인 정책들이 추진 중에 있다. 금융위원회는 미래부, 법무부, 경찰청, 해양경찰청, 금감원 등과 범부처 대책협의회를 구성하여 보이스피싱을 예방하기 위한 보이스피싱 피해방지 종합대책(2012.1) 을 마련 추진하였고, 그 결과 보이스피싱 피해는 지속 감소하고 있다. 그러나 최근 메모리해킹, 스미싱 등 인터넷 및 스마트폰 기반의 고도화된 기법을 활용한 신 변종 전자금융사기가 증가하고 있다. 이에 대응하기 위해 신 변종 전기통신금융사기 피해방지 종합대책( ) 을 마련 추진하였다. 동 대책은 정보탈취 차단을 위한 사전대응 강화, 이체 및 결제단계의 예방 절차 강화, 국제공조 강화 및 기획수사 확대, 사기예방 홍보 등 4개 분야의 약 32개 과제로 구성되어 있다. 전기통신금융사기 방지대책협의회 규정 에 따라 운영되고 있는 금융위원회 주관의 전기통신금융 사기 방지대책협의회에서는 보이스피싱 피해방지 종합대책과 신 변종 전기통신금융사기 피해방지 종합대책의 추진상황을 점검 및 보완하고, 새로운 대책을 발굴하는 등 전기통신금융사기에 대응하기 위한 노력을 지속적으로 하고 있다. 반기별로 협의회를 개최하고, 협의회 안건 조율을 위한 실무 협의회를 필요할 때마다 개최하고 있다. 다. 금융전산보안 전담기구 설치 2011년 농협 전산사고, 2013년 3.20 사이버테러 등 금융분야 대형 전산사고가 지속 발생하고 있고 전자금융사기의 지능화 다양화로 국민 불안 및 피해가 급증하고 있어 보다 신뢰성 있는 전자금융거래 제도 구축, 사이버침해 대응능력 강화, 전자금융사기 피해방지 등을 획기적으로 개선할 수 있는 체계의 마련이 시급한 과제로 떠올랐다. 이에 따라 금융감독원, 금융ISAC(금융결제원, 코스콤), 금융보안연구원에 산재 중복되어 있는 금융보안 기능을 조정하고 극소수의 인력으로 수행하고 있는 금융 IT 정책 감독을 보완할 수 있는 전담기구의 필요성이 대두됨에 따라 금융전산보안 전담 기구 설치를 추진할 계획이다. 전담기구는 금융전산에 대한 수준 높은 보안관제, 금융보안 인증제 운영, 금융보안정책 연구 교육, 금융보안 전문인력 양성 등 금융전산보안에 관한 종합서비스를 제공하게 될 것이다. 6. 개인정보보호위원회 엄청난 양의 정보가 공유되고 활용되는 첨단 지식정보화 사회에서 개인정보의 오 남용 및 유출 위험이 커지고 있다. 이러한 개인정보의 침해 위협으로부터 국민의 프라이버시와 권익보호를 위해 2004년 국회에서 개인정보 보호법 제정 논의가 시작되었고, 7년간의 신중한 논의 끝에 2011년 개인정보 보호법 이 제정되고 같은 해 9월 30일 시행된 법에 따라 개인정보보호위원회가 출범하였다. 개인정보보호위원회는 개인정보보호에 관한 사항을 심의 의결하는 대통령 소속의 합의제 행정기관으로서 그 권한에 속하는 업무를 독립하여 수행한다. 개인정보보호위원회의 구성 에는 입법, 행정, 사법의 삼부가 참여하고 있다. 위원장 1명, 상임위원 1명을 포함한 15명의 위원 중 5명은 대통령이, 5명은 대법원장이 각각 지명하며, 5명은 국회에서 선출한다. 위원들은 학계, 법조계, 시민사회단체 등 다양한 분야의 개인정보에 관한 학식과 경험이 풍부한 사람들로서 대표성과 전문성을 갖추고 있다. 또한 위원회의 사무를 지원하기 위한 사무국이 설치되어 있으며, 위원회 심의 의결 사항을 사전에 전문적으로 검토하기 위하여 각계 전문가로 구성된 분야별 전문위원회를 구성 운영하고 있다. 개인정보보호위원회는 개인정보 보호법 에 따라 정부의 개인정보보호 기본계획과 각 중앙행정 기관의 개인정보보호 시행계획, 개인정보보호 관련 정책 제도 및 법령 개선, 개인정보처리에 있어서 78 정보보호 담당기관 79

11 공공기관 간의 의견조정, 개인정보보호에 관한 법령의 해석 운용, 공공기관의 개인정보 침해 등에 대한 시정조치 권고, 개인정보보호 시책 수립과 시행 등에 대한 연차보고서의 작성과 국회보고, 대통령이나 개인정보보호위원회 위원장 및 위원 2인 이상이 제기한 사항, 기타 관계 법령과 기관에서 위임한 사항 등을 심의 의결한다. 개인정보보호위원회의 2013년도 주요성과를 살펴보면 년도 국가의 개인정보보호 비전 목표 추진방향 등을 담은 개인정보보호 기본계획과 동 기본 계획을 토대로 46개 중앙행정 기관의 개인정보보호 현황과 목표, 추진과제를 담은 2014년 개인정보보호 시행계획을 심의 의결한 바 있다. 아울러 개인정보보호 정책환경, 개인정보보호에 대한 인식, 권리침해 및 분쟁조정 현황 등 주요 현황, 개인정보보호 관련 2012년도 성과 및 2013년도 추진계획 등을 총망라한 2013 개인정보 보호 연차보고서를 작성하여 국회에 제출하였다. 또, 스마트폰으로부터 처리(전송)되는 개인정보의 보호방안, 지하철 전동차내 CCTV 운영관련 개선, 유치원 입학원서 접수시 과도한 개인정보 수집, 피의자 신문조서 작성시 수집되는 개인정보의 항목에 대한 개선 등에 대해 심의를 거쳐 제도개선 권고 및 의견을 제시하는 등 국가의 개인정보보호 정책을 총괄 조정하는 역할을 적극 수행하였으며, 이와 함께 개인정보보호 현황과 문제점 파악을 위해 개인 정보보호법 이행실태, 목적외 이용 및 제3자 제공 실태 등에 대한 조사 분석을 실시하고, 개인정보 보호 관련 주요 현안 등을 중점 정책연구과제로 선정, 이에 대한 연구 및 개선과제를 발굴하는 등 국내 개인정보보호 정책 및 제도 개선을 위한 활동을 지속적으로 추진하였다. 그리고 국경을 초월하여 이동하는 개인정보보호를 위한 국제적 이슈에 공동 대응하기 위하여 APPA(Asia Pacific Privacy Authority), ICDPPC(International Conference of Data Protection and Privacy Commissioners) 등 개인정보보호 관련 국제기구에 가입하여 2013년 여섯 차례에 걸쳐 관련 국제회의체에 참석하는 등 적극적으로 국제협력 활동을 추진하고 있으며, APPA 회의를 유치하여 2014년 6월 위원회 주관으로 개최할 예정이다. 1. 한국인터넷진흥원 한국인터넷진흥원(KISA, Korea Internet and Security Agency)은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제52조에 의거하여 정보통신망의 고도화 및 안전한 이용 촉진, 방송통신과 관련한 국제협력 국외진출의 효율적인 지원 등을 목적으로 설립된 인터넷 및 정보보호 전문기관이다. 주요 업무는 크게 인터넷 침해사고 예방 및 대응, 개인정보보호 및 피해 대응, 건전한 인터넷 윤리 및 문화 조성, 정보보호 대국민서비스, 국가도메인(.kr/.한국)서비스, 방송통신서비스 국외홍보 및 해외진출 지원 등이다. 우선 인터넷 침해사고 예방 및 대응을 위해 365일 24시간 인터넷 이상징후를 실시간 모니터링하고, DDoS 대응시스템 및 사이버대피소를 구축 운영하며, 주요 취약점을 모니터링하여 보안권고문을 배포하고 있다. 또한 침해대응 관련 국내외 관계기관 협력체계도 구축하고 있다. 또한 개인정보보호 및 피해 대응을 위해 개인정보 노출 대응상황실 및 핫라인을 운영하고 국내외 웹사이트를 대상으로 개인정보 노출 검색 및 삭제 처리, i-pin 도입 웹사이트 및 주민등록번호 미수집 사이트를 확대 추진하고 있다. 특히 정보보호 대국민서비스로 일환으로 118상담센터를 운영하고 있다. 24시간 365일 전국 어디에서나 국번 없이 118로 연결되는 무료 전화상담과 더불어 118웹사이트( 를 통해 온라인으로도 해킹, 스팸, 개인정보침해 등 인터넷 관련 모든 문제를 신고받고 있으며, 무료 백신 다운로드, 좀비 감염 여부 실시간 확인, 원격 PC진료서비스를 제공하고 있다. 또한 국가도메인(.kr/.한국 도메인)서비스 운영 및 활성화, 도메인 국제기구 활동 및 분쟁조정제도 운영, IP주소자원 관리 및 IPv6주소 보급 활성화, 무선인터넷 활성화 등을 추진하고 있다. 마지막으로 방송통신서비스 국외홍보를 위해 방송통신 전략품목의 해외진출 지원 활동, 해외 로드쇼 및 쇼케이스 등 방송통신융합서비스의 글로벌 마케팅 활동, 해외방송통신 전문가 초청연수사업, ITU 및 방송통신 장관회의 등의 국제회의 개최 및 국제기구 활동 등을 하고 있다. 80 정보보호 담당기관 81

12 가. 인터넷침해대응센터 인터넷침해대응센터(KISC, Korea Internet Security Center)는 2003년 12월 KISA 인터넷 침해사고대응지원센터로 설립 및 개소하였고, 2009년에 한국인터넷진흥원 출범에 따라 인터넷 침해대응센터로 명칭 변경 및 조직 강화를 통해 국내 인터넷 침해사고 사전예방 및 침해사고 발생시 신속대응으로 피해를 최소화하기 위한 다양한 업무를 수행하고 있다. 특히 종합상황실 운영을 통해 국내 주요통신사업자 및 보안관제업체와 연계하여 24시간 365일 인터넷트래픽상의 이상징후를 모니터링하고 보안취약점 및 악성코드 등 보안위협에 대한 정보를 수집 분석하는 한편 국내외 유관기관과 상시적인 정보공유, 신속한 공동대응을 통해 침해사고로 인한 사회적 경제적 손실을 최소화하고자 노력하고 있다. 나. KISA아카데미 KISA아카데미는 일반인의 정보보호 인식 제고 및 지식정보보안 분야 산업체의 전문인력 양성을 위해 최고의 정보보호 교육서비스 제공을 목표로 다부처 수요맞춤형 교육과정을 운영하는 등 분야별 정보보호 인력의 수급차 해소에 기여하고 있다. 관련 시설로는 약 130명을 수용할 수 있는 강의장과 약 50명을 수용할 수 있는 정보보호 실습장을 갖추고 있으며 최근에는 정보보호에 관심 있는 학생, 일반인, 재직근로자, 공무원 등 다양한 계층을 대상으로 정보보호교육을 확대 실시하고 있다. 다. 정보보호산업지원센터 정보보호산업지원센터(KISIS, Knowledge Information Security Industry Support Center)는 상대적으로 규모가 영세한 국내 중 소 벤처 정보보안기업의 자생력 배양을 목적으로 설립되었다. 국산 정보보호제품의 연구 개발을 지원하기 위해 자체 구입이 어려운 고가의 시험기기를 구비하여 공동으로 이용할 수 있는 인프라를 구축 운영함으로써 산업발전을 위한 기초여건 조성에 이바지하고 있다. 정보보안(네트워크 시스템 보안, 모바일 보안 등), 물리보안(바이오인식, CCTV 등), 융합보안 등 8개의 Test-Lab실을 구축하여 서비스를 제공하고 있다. 2. 국가보안기술연구소 국가보안기술연구소(NSRI, National Security Research Institute)는 과학기술분야 정부 출연연구기관 등의 설립 운영 및 육성에 관한 법률 제8조 제1항의 규정에 의해 2000년에 설립된 정보보호 전문연구기관이다. 국가보안기술연구소는 공공분야의 사이버안전을 위한 연구 개발을 수행하고 있다. 이에 따라 국가 암호기술 연구, 해킹 대응 등 각종 정보보안기술 개발 및 정책 연구, 관련 기반 구축 및 지원 활동 등을 통해 국가보안기술 발전에 앞장서 왔다. 국가보안기술연구소는 매년 정보보호와 암호에 관한 학술대회(WISC, Workshop on Information Security and Cryptography) 를 개최해 왔다. 이를 통해 행정부처 및 산하기관, 전문연구기관, 기간통신사업자, 학계 등 국내 정보보호업무 관계자와 정보보호 관련 각종 최신 동향 정보를 공유하고 유기적인 협력관계를 구축하고 있다. 그 밖에도 국내외 정보보호 관련 최신 기술 및 정책 동향 등을 수집 분석해 유관기관에 제공하고 관련 연구를 수행하여 정보보호정책 발전을 이끌어 가고 있다. 또한 보안관제기술지원센터, 국가 정보보안교육원, IT보안인증사무국을 운영함으로써 국가정보보호 발전에 기여하고 있다. 국가보안기술연구소는 정보보호라는 시대적 사명과 역할을 수행하기 위해 관련 분야 연구 개발에 끊임없이 매진하여 국가정보보안 발전에 이바지하고 있다. 가. 보안관제기술지원센터 보안관제기술지원센터는 부문별 보안관제센터의 하나로서 사이버안전 서비스를 제공하고 있다. 동 센터는 사이버공격 정보를 탐지 분석하여 즉시 대응할 수 있는 역량을 갖추고 있으며, 경제인문 사회연구회와 그 소속 정부 출연 연구기관을 포함한 27개 기관의 전산망을 대상으로 24시간 365일 철통같은 보안관제를 유지하고 있다. 나. 국가정보보안교육원 국가정보보안교육원(NISA, National Information Security Academy)은 최근 미국, 중국 등세계 각국이 사이버전 수행을 위한 전문인력 양성을 적극 추진함에 따라 이에 대응하는 사이버보안 전문 교육기관으로서 설립되었다. 국가정보보안교육원은 종래 실시해 오던 국방분야의 보안시스템 교육과 82 정보보호 담당기관 83

13 국가 공공기관분야의 사이버보안 교육을 발전시켜 보다 전문화된 교육과정들을 신설하여 운영 중이며, 서울과 대전에 교육시설을 확보하고 있다. 또한 국가 공공기관 대상 사이버공격이 증가하고 공격기법도 지능화 고도화됨에 따라 관련 대응업무를 수행하는 공직자와 전문인력 대상의 교육을 강화하고 양질의 교육을 제공하고자 노력하고 있다. 다. IT보안인증사무국 IT보안인증사무국(ITSCC, IT Security Certification Center)은 국가보안기술연구소에 설치된 인증기관이다. 동 사무국은 그동안 연구소에서 축적한 시험평가 및 취약성 분석 기술들을 기반으로 세계 최고의 정보보호제품 인증업무를 수행하고 있다. 또한 국내 정보보호제품의 안전성 및 품질 향상을 위해 정보보호업계 및 평가기관에 대한 체계적인 기술지원과 함께 국제상호인정협정 (CCRA, Common Criteria Recognition Arrangement) 활동을 강화함으로써 국내 정보보호 제품의 세계시장 진출에 이바지하고 있다. 3. 한국전자통신연구원 한국전자통신연구원(ETRI, Electronics and Telecommunications Research Institute) 소프트 웨어콘텐츠연구소 사이버보안연구본부는 1999년 민간부문 정보보호 핵심 원천 기술을 개발하기 위해 정보보호기술연구본부가 설립된 이래 다양한 정보보안 관련 핵심 기술을 개발하여 민간 등에 이전하는 등 정보보안 관련 기술 연구 및 개발을 선도하고 있는 연구조직이다. 사이버보안연구본부는 세계 IT보안 트렌드가 사이버보안 위협 대응 측면에서는 산업적 문제에서 국가안보적 문제로, 보안기술 및 시스템 측면에서는 다기능 속도 경쟁에서 소프트웨어 지능 경쟁으로 변화되고 확대되는 추세에 따라 무범죄 안전국가 건설을 위한 국가사회의 현안 문제를 해결하고 산업경쟁력을 제고하는 R&SD 역량 확보 를 목표로 다양한 정보보호 영역에 대한 연구 개발을 중점 추진하고 있다. 첫째, 사이버보안 기반 기술을 연구 개발하고 있다. 연구 및 개발 중인 사이버보안 기반 기술로는 암호기술, 인증기술, 디바이스 보안 분석기술, 영상보안기술 등이 있다. 암호기술로는 스마트 환경을 전제로 한 데이터 프라이버시 강화기술 및 데이터베이스용 암호기술을 개발하고 있으며, 사이버범 죄의 예방 및 디지털 증거 확보를 위한 디지털포렌식 기술을 연구 개발하고 있다. 인증기술로는 사용자 정보의 안전한 관리를 위해 시큐리티 큐레이션을 제공하는 프라이버시 강화형 개인정보 유통 플랫폼 기술을 연구 개발하고 있으며, 빅데이터 환경에서의 프라이버시 보호를 위한 기술도 연구하고 있다. 디바이스 보안기술로는 각종 모바일 디바이스에 대한 공격 탐지 대응 및 정보유출 방지를 위한 암호키 누출 검증 및 방지 기술이 있으며, 영상보안기술로는 정보보안이 안전한 생활환경을 제공하기 위한 보안제품 및 서비스 기술로 실시간 비디오(CCTV) 영상에서 범죄위험 분석 및 영상정보 보호, 스트리밍 유해콘텐츠 차단 등의 기술이 있다. 둘째, 사이버보안시스템 관련 기술을 연구 개발하고 있다. 연구 및 개발 중인 사이버보안시스템 관련 기술로는 네트워크 보안기술, 모바일 보안기술, 융합보안기술 등이 있다. 네트워크 보안기술로는 스마트 그리드 보안관제기술 및 클라우드 컴퓨팅 서비스를 위한 가상화 기반 악성행위 탐지 및 분석 기술, 침해사고 이상 징후 탐지 및 대응 기술, 사이버 표적 공격 인지 및 추적 기술 등을 연구 개발 하고 있다. 모바일 보안기술로는 스마트 단말의 정보유출 방지를 위한 MTM 기반 보안기술 및 모바일 단말의 비인가 접근 차단 솔루션 개발 등이 있다. 융합보안기술로는 비IT기술 또는 전통산업과 융 복합되어 창출되는 보안제품 및 서비스 기술로서 해양안전 실현을 위한 차세대 VTS 기술 개발 및 자동차 전장 ECU 간 보안전송기술, 운송보안(자동차 항공 등)기술, 조선 의료 건설보안기술 등이 있다. 또한 사이버보안연구본부는 개발기술의 보급에도 적극적으로 나서고 있다. 개발기술의 조기 상용화를 위해 산업계로의 단계별 기술이전을 추진하고 있으며, Time-to-Market 보장을 위한 시장수요를 연구개발 단계에서 파악 반영하고 있다. 그리고 관련 기술의 글로벌 기술경쟁력 확보를 위해 국제표준화기구 및 산하 위원회인 ITU-T, ISO/IEC JTC1 SC27, SC37, 그리고 W3C와 관련 국내 대응 표준기구 및 위원회에서 기술 제안 및 대응 등 표준화 활동을 강화하고 있다. 특히 사이버보안연구본부는 지속적인 자체 기술개발역량 강화를 위해 국내외 유관기관과 MOU를 체결하여 기술교류 및 협력관계를 구축하고 있으며, 한국전자통신연구원 내 기술협력 활동도 강화 하고 있다. 4. 금융보안연구원 금융보안연구원은 2005년 5월 국내 최초로 발생한 인터넷뱅킹 해킹사고를 계기로 2006년 12월 설립된 비영리 사단법인으로 OTP통합인증센터 운영 금융보안교육 등에 목적을 두고 있다. 금융 부문 IT 및 전자금융업무에 대한 전자적 침해 예방을 통해 편리한 전자금융거래 환경조성에 기여함을 84 정보보호 담당기관 85

14 목적으로 한다. 2012년 말 기준 국내외 은행을 비롯하여 증권, 보험, 카드사, 상호금융회사 등 130여 개 금융회사가 회원사로 가입되어 있으며, 금융IT 정보보호 연구를 주 업무로 하고 있다. 주요 사업으로는 금융IT 분야 정보보호에 관한 연구 개발, 일회용비밀번호(OTP, One Time Password) 통합인증, 정보보호 관련 교육 등이 있다. 금융IT분야 모바일을 포함한 전자금융서비스 IT 및 보안기술, 전자금융 플랫폼 보안 및 호환성 지원 등을 중점적으로 추진하고 있다. 또한 금융회사 임직원의 비상대응역량을 강화시킬 수 있도록 금융보안 전문교육 프로그램을 운영하고 있다. 독자적인 업무로서 OTP 통합인증센터 구축(2007년 6월) 및 운영, 고객의 편의성을 높이고 금융 회사의 중복투자를 제거하여 효율성을 높였다. 한편 금융보안연구원은 공공의 이익에 부합하는 서비스 제공 차원에서 지난 2009년부터 범금융권 고객정보보호 캠페인 을 진행하고 있으며, 일반 전자금융 소비자를 위한 전자금융 이용자 가이드 개발, 금융보안 교육책자 발간 등으로 대국민 금융보안 의식 제고를 위한 캠페인 교육에 앞장서고 있다. 또한 매년 금융정보보호 컨퍼런스(FISCON)와 대학생 금융보안캠프를 개최하고 있으며, 2010년부터는 금융보안포럼을 신설 운영하여 금융보안 정보공유 및 논의체계 구축하는 등 금융정보 보호 인식 확산 및 수준 제고에도 이바지하고 있다. 최근 인터넷 및 정보통신기술의 급속한 발전으로 예상치 못한 보안취약점 및 이를 악용한 공격이 지속적으로 발생하는 등 사이버공격이 고도 지능화되고 있다. 따라서 이를 사전에 차단하는 것도 중요하지만, 알려지지 않은 공격수법에 대해 예방하는 것은 현실적으로 어려운 것이 사실이다. 이에 갑작스러운 공격이 발생할 경우 이를 실시간 탐지하여 공격 확산을 차단하고 피해를 최소화하는 대응 활동이 중요한 요소로 대두되고 있다. 이에 따라 정부는 행정 에너지 금융 등 국가 운영에 필수적인 주요 정보통신시스템에 대한 공격징후를 조기 탐지하여 대응하기 위해 분야별 보안관제센터를 구축 운영하여 사이버위협으로부터 국가안보는 물론 국익을 지키기 위해 부단히 노력하고 있다. 부문 담당기관 관제센터 행정 안전행정부 정부통합전산센터(대전) 정부통합전산센터(광주) 사이버침해대응지원센터(G-CERT) 국방 국방부 사이버사령부 외교 외교부 외교 사이버안전센터 국토교통 국토교통부 국토교통 사이버안전센터 보건의료 보건복지부 보건의료 사이버안전센터 교육 교육부 교육 사이버안전센터 에너지 산업통상자원부 산업통상 사이버안전센터 통신과학 미래창조과학부 미래창조과학 사이버안전센터 KISA 인터넷침해대응센터 과학기술 정보보호센터 금융 금융위원회 금융 ISAC(금융결제원) 증권 ISAC(KOSCOM) 치안 경찰청 경찰 전산보호센터 해양경찰청 해양경찰청 사이버관제센터 특허 특허청 특허 관제센터 관세 관세청 관세 관제센터 국세 국세청 국세 관제센터 방위산업 방위사업청 방위사업 관제센터 재정 기획재정부 재정 관제센터 문화 문화체육관광부 문화체육관광 관제센터 기상 기상청 기상 관제센터 노동 고용노동부 노동 관제센터 공공 국보연 보안관제 기술지원센터 환경 환경부 환경 관제센터 법무 법무부 법무 관제센터 통일 통일부 통일 관제센터 농식품 농림축산식품부 농식품부 사이버안전센터 검찰 대검찰청 대검 사이버안전센터 병무 병무청 병무청 사이버안전센터 해양 해양수산부 해양수산 사이버안전센터 86 정보보호 담당기관 87

15 앞서 기술한 전문기관 가운데 보안관제업무를 수행하는 기관을 포함하여 현재 32개의 부문보안 관제센터가 운영되고 있다. 이들 보안관제센터는 24시간 365일 빈틈없는 보안관제를 통해 사이버 공격으로부터 주요 정보 및 정보통신시스템을 보호하고 보안관제센터 간 탐지 분석한 위협정보를 실시간 공유함으로써 국가차원에서 사이버위협에 대한 종합적이고 체계적인 대응이 가능하게 하였다. 한편 이들 보안관제센터는 보안관제업무뿐만 아니라 사이버 침해사고 예방 및 대응, 정보시스템 특성에 맞는 특화된 보안취약점 분석 평가 업무를 수행하는 등 사이버공격에 대한 전방위적이고 종합적인 사이버안전 서비스를 제공하는 방향으로 발전을 꾀하고 있다. 1. 국가정보보안연합회 국가정보보안연합회(NISA, National Information Security Agency)는 정보화로 인한 각종 정보보안 위협에 효과적으로 대응하기 위하여 국가 공공기관과 산업계, 학계 및 연구소 등이 자율적으로 참여, 상호 협력함으로써 국가정보 보안역량 제고를 추구하기 위해 2002년 설립된 단체이다. 국가정보보안연합회는 정보보안에 관련된 정보 교류, 정책 제안 및 상호 협력을 위해 국가 정보보안 정책 제도 기술 발전방안 토론 및 건의, 국내외 정보보안 관련 기관 단체간의협력증진, 정보보안 인식 확산을 위한 교육 홍보 등의 활동을 수행한다. 국가정보보안연합회는 4개 협의회 (정부부처협의회, 공기업협의회, 산업계협의회, 학 연협의회)를 운영하여 각 협의회별로 정보보안 관련 정책사항을 논의하고 관련 업무에 대한 전문적인 지식과 정보를 교류하여 정보보안 발전을 추진한다. 또한 정보보안 업무발전토론회와 같이 모든 회원들이 참여하는 논의의 장을 마련함으로써 국가정보보안에 대한 종합적인 발표와 토론을 통해 의견을 모으고 정보보안업무 향상에 기여하는 역할을 수행해 왔다. 2013년에는 총회를 개최하면서 관계기관의 정책을 설명하고 바람직한 국가 정보보안 발전방안을 논의하는 자리를 동시에 마련하였다. 향후 국가정보보안연합회는 더욱 많은 회원들의 참여를 이끌어내고 보다 건설적인 의견들을 발굴하여 국가정보보안 발전에 이바지하기 위한 활동을 지속적으로 전개할 예정이다. 2. 한국정보보호학회 한국정보보호학회(KIISC, Korea Institute of Information Security & Cryptology)는 정보 보호분야의 학술 활동 및 정보보호 관련 기술의 진흥과 발전에 공헌하기 위해 1990년 12월 창립되었다. 정보보호에 관한 학술연구 발표회 및 국제학술대회 개최, 학술적 기술적 연구조사 및 발간사업, 표준 및 규격의 제정에 관한 연구, 기술의 보급 및 발전을 위한 사업, 전문가 양성을 위한 기반조성 사업 등을 수행하고 있다. 한국정보보호학회에서는 정보보호분야에서 국제학술 및 표준기술의 교류의 장을 마련하기 위해 매년 15개국 이상 국외 참가자가 참여하는 저명한 국제학술대회를 1998년부터 개최해 왔다. ICISC(International Conference on Information Security and Cryptology)는 차세대 암호 기술 연구발표의 장을 제공하고 있으며, 컨퍼런스 프로시딩이 국내 최초로 정보보호분야의 LNCS(Lecture Note on Computer Science)로 발간되는 등 국내외 암호학 발전에서 큰 기여를 하고 있다. 그리고 네트워크 및 서비스 보안응용기술에 특화되어 있는 WISA(Workshop on Information Security Applications) 역시 LNCS로 발간되고 있다. 특히 암호와 관련하여 ICISC, 시스템 및 응용은 WISA로 특화되어 모두 국제적으로 중상위 등급의 학술대회로 자리하고 있다. 또한 한국, 중국, 일본, 타이완 등 아시아 국가들이 주도하는 ASIAJCIS(ASIA Joint Conference on Information Security)와 한국과 일본 양국의 최신 암호기술을 공유하고 국가별 표준화 주제를 다루는 JWCAA(Joint Workshop on Cryptographic Algorithm and its Application) 등이 있다. 국내 학술행사로는 정보보호 관련 최대 규모의 행사인 NETSEC-KR(정보통신망 정보보호 컨퍼런스)을 1995년부터 매년 개최하여, 최근 기술 동향과 연구 성과는 물론 국가적으로 필요로 하는 정보보보기술 발표 및 전략 마련을 위한 실질적인 토론의 장을 마련하고 있다. 그 밖에 정보보호와 관련된 모든 분야의 최신 연구결과를 발표하고 토론할 수 있는 하계 및 동계 종합학술대회와 지역 사회에서의 정보보호기술의 균형 있는 성장을 도모하기 위해 충청, 영남, 호남 제주지부 학술행사도 개최하고 있다. 분야별 전문화된 학술연구를 위해 21개의 연구회가 활동하고 있다. 이들 연구회는 디지털아이덴티티 관리연구회, 디지털포렌식연구회, 리눅스보안연구회, 바이오인증연구회, 암호연구회, 그린-IT융합 보안연구회, 정보보호교육연구회, 정보보호표준연구회, 개인정보안전연구회, 정보보호GRC연구회, 홈네트워크보안연구회, IT보안성평가연구회, 소프트웨어보안연구회, 클라우드컴퓨팅보안연구회, 88 정보보호 담당기관 89

16 모바일보안연구회, 해킹기술연구회, 홈랜드시큐리티연구회, 금융보안연구회, 제어시스템보안연구회, 난독화연구회, 보안공학연구회이다. 각 연구회에서는 최근 연구결과와 국내외 기술 동향을 논의하기 위해 각종 워크숍을 정기적으로 개최하는데, 대표적인 연구회 행사에는 원자력 사이버보안 워크숍, 스마트 그리드 보안 워크숍, 그린IT 융합보안 워크숍, Workshop on SNS Security, 리버스 엔지니어링 실무 워크숍, 국가 사이버보안정책 워크숍, 정보보호 새내기를 위한 암호교육, 사이버위협을 대비한 암호의 역할 워크숍, 정보보호 전문가를 위한 암호 실무교육, 산업체 암호 담당자를 위한 암호의 역할 워크숍 등 다양한 학술행사를 개최함으로써 학술 활동의 활성화와 전문화를 증진시키고 있다. 또한 정보보호분야의 최근 이슈를 소개하는 학회지와 전문 학술논문지를 각각 격월로 발행하여 국내 정보보호 발전에 기여하고 있다. 아울러 사회적으로 이슈가 되는 정보보호 문제에 적극 대처하기 위해 심도 있는 토론회를 개최하고 있다. 분야의 학문적 연구 및 발전이 필요하다는 것을 인식하여 2013년부터 5월, 10월에는 스페셜 이슈로 융합보안 논문지의 군사보안분야를 신설하였다. 융합보안 논문지는 다수의 관련 연구기관과 학교 도서관에 비치되어 관련 분야 연구자들과 학자들에게 많은 도움을 주고 있다. 한국융합보안학회에서는 융합보안분야의 정보보안과 물리보안, 군사보안이 사이버정보전 대응 기술로서 크게 활용되길 바라며, IT전문가, 연구자, 각 분야의 실무자가 아이디어와 연구기술을 공유하며, 더욱 기술적인 문제를 극복하기 위한 협력방안을 모색하고 IT 융합 및 보안의 새로운 연구결과를 제시, 기여하는 활용의 장을 펼치기 위한 학술대회와 컨퍼런스를 개최하고 있다. 2013년 6월 ICISA2013 국제컨퍼런스, 12월 ICITCS 2013 국제컨퍼런스 를 주관하여 개최하였다. 또한 같은 해 8월에는 국가 사이버안보 체계 및 정책 강화 방향 을 대주제로 하여 한국사이버안보법 정책학회와 공동주관으로 국가 사이버안보 심포지엄 을 개최하였다. 3. 한국융합보안학회 4. 한국사이버안보법정책학회 한국융합보안학회(KCSA, Korea Convergence Security Association)는 보안환경 변화에 따라 융합보안 학문연구와 기술개발을 기반으로 한 국가정보보안시스템 및 주요 기반의 보호와 발전을 위해 국내외 관계기관과 상호 정보교류가 필요한 것에 주목하여 회원 간의 전문지식을 배양하고 융합보안 전문인력을 양성하여 국방융합보안체계의 발전에 기여함을 목적으로 2001년 설립하여 2002년 비영리법인으로 설립허가를 받았다. 2001년 당시 한국사이버테러전학회로 설립후 2012년 한국융합보안학회로 명칭 변경하였다. 한국융합보안학회에서는 융합보안의 중요성이 강조되는 현 시점에서 국가경쟁력 강화와 국내외 각 학계 및 산업계 종사자들에게 업무, 연구성과를 발표할 수 있는 기회를 제공함으로써 분야별 자생력을 세우고 연구정보 교환 및 연구의 활성화를 위해 2001년 제1권 1호를 시작으로 논문지를 발간하고 있으며, 종래 연 4회(3, 6, 9, 12월) 발간하던 것을 2011년부터는 연 6회(3, 5, 6, 9, 10, 12월 30일)로 확대하였다. 최근 IT기술은 사이버공간의 영역을 벗어나 물리공간으로 확대되어 IT융합기술로 변화하고 있으며, 세계는 물리적인 보안 분야와 정보 기술을 이용한 융합보안의 중요성을 인식하고 이에 대처하기 위해 많은 노력을 기울이고 있다. 이에 융합보안 논문지는 정보보안 분야와 물리보안 분야로 나누어 각 분야에서 연구되는 기초 학문, 이론 및 연구 개발, 관련 기술 및 기술 보급, 정보 교환을 위한 많은 연구학술 활동에 기여하였다. 또한 한국융합보안학회에서는 최근 군사보안사고가 증가하고 인공위성 및 첨단장비를 활용한 도청 및 해킹이 국가와 군의 위협 요소로 작용함에 따라 첨단화된 정보수집 능력에 대응 가능한 군사보안 한국사이버안보법정책학회는 2012년 11월 법제처의 법인설립허가를 받아 법인설립등기를 마친 사단법인으로서 회원 상호간의 사이버안보법학 및 관련 학문의 연구 발표와 그 응용 활동에 대한 지원을 함으로써 사이버안보법학의 발전과 법치주의의 진작에 기여할 목적으로 설립되었다. 한국사이버 안보법정책학회는 사이버안보에 관심을 둔 교수, 변호사 및 실무가 등 뜻을 같이하는 전문가들이 회원으로 참여하고 있다. 한국사이버안보법정책학회는 학술대회와 세미나 등을 통해 사이버안보의 발전방안을 모색하는 활동을 추진하고 있다. 2013년 5월에는 사이버테러와 법정책적 대응 을 대주제로 하여 정기학술 대회를 개최하였고, 같은 해 8월에는 국가 사이버안보 체계 및 정책 강화 방향 을 대주제로 하여 한국융합보안학회와 공동주관으로 국가 사이버안보 심포지엄 을 개최하였다. 그리고 2013년에는 학술대회와 별개로 총 4회의 세미나를 개최하여 사이버위협의 현황과 법제도 개선방안, 사이버 위협의 현황과 전망, 국가 사이버안보 추진체계의 이슈와 과제, 사이버 안보위협 대응전략의 법정책적 검토 및 전망 등의 주제를 논의하였다. 또한 관계기관 등의 위탁을 받아 사이버스페이스상에서 국가안보(사이버안보)전략 연구, 사이버 안보 업무확립을 위한 국내외 법제도 연구, 개인정보 보호법에 대한 타 법률의 특별한 규정의 연구 등을 수행하고 보고서를 제출하였다. 그밖에도 2013년 5월 개최된 창조경제와 정보과학(Creative Economy & Information 90 정보보호 담당기관 91

17 Science) 포럼에서 학회장이 정보보안산업육성정책과 관련 법률 을 발제하는 등 국가 사이버테러 위기로부터 국가사이버주권을 확립하기 위한 다양한 활동을 전개하고 있다. 5. 지식정보보안산업협회 국내 지식정보보안산업계를 대표하는 유일한 법정법인인 지식정보보안산업협회(KISIA, Korea Information Security Industry Association)는 정보보안산업의 육성 및 발전을 위해 1997년 8월 정보보호산업협의회로 출범하여 이듬해 협회로 재출범하였다. 이후 정보보안산업의 중요성이 강조되고 이의 전략적 육성 필요성이 증대됨에 따라 2004년 9월에 정보통신망 이용촉진 및 정보 보호 등에 관한 법률 에 따라 법정법인으로 전환되었고, 2008년 관련업무가 지식경제부로 이관되면서 2009년 9월 정보통신산업진흥법 에 따라 지식정보보안산업협회 로 명칭을 변경하였다. 2013년 12월 말 현재 네트워크 보안, 백신 및 PC 보안, 콘텐츠 보안, 정보보호컨설팅, 물리보안 등의 정보 보안 관련 기업 167개사가 회원사로 활동 중이다. 협회의 주요 활동으로는 정보보안 관련 법 제도의 효율적인 개선방안 건의, 기술개발을 위한 산 학 연 공동연구 및 전문인력 양성 지원, 정보보안산업 동향 및 통계조사, 산업체 애로사항 공동 타개, 국내외 정보보안 관련 전시회 참가 지원사업, 그리고 정보보안산업과 관련한 정부 및 관계 기관과의 공동연구 등을 들 수 있다. 2013년도에 협회는 국내 지식정보보안산업의 전반적인 시장 및 동향조사를 위한 정보보호산업 실태조사 보고서 작성과 상세 RFP제도 및 PMO제도에 대한 이해를 돕고자 정보화사업 선진발주제도 대응 세미나를 개최하였다. 또한 산업계가 필요로 하는 정보보호 실무인력 양성을 위해 지식정보보안 핵심인력 양성 Skill-up과정 운영 및 정보보안 스펙초월 멘토스쿨 채용연계 교육과정 운영 등 다양한 인력구조 고도화사업을 추진하였다. 특히 국내 정보보안기업들이 일본을 비롯한 아시아 주요 국가로 진출할 수 있도록 해외진출 지원 사업을 다양하게 전개하였는데, 2013년도에는 전문전시회 5회와 시장개척단 파견 3회 및 아세안 주요국을 서울로 초청해 비즈니스 상담회를 개최하였다. 이 외에 한일 간 정보보안심포지엄을 공동 개최하여 양국 간 정보보호 이슈 및 관련 정보를 공유하였다. 그리고 한국인터넷진흥원에서 추진하고 있는 주요국 고위공무원 연수교육과정과 연계하여 산업계와 교류할 수 있는 자리를 마련하였고, 업계의 해외진출에 필요한 인적 네트워크 확대를 지원하였다. 또한 이스라엘의 선진 정보보안 관련 기술동향을 파악하고 국내 기업들과의 교류협력방안 모색을 위한 사이버보안컨퍼런스도 공동개최 하였다. 지식정보보안산업의 국내시장 확산을 위해 관련 부처들과 공동으로 국방정보보호컨퍼런스 및 금융정보보호컨퍼런스 등을 성황리에 개최하였고, 국내 정보보안기업들의 기업운영 선순환 구조를 위한 정보보안 유지관리 서비스 현황 및 개선방안 연구를 진행하였다. 아울러 각종 간담회 개최 및 언론보도를 배포하는 등 다양한 방식으로 인식전환을 위한 활동을 추진하였다. 지식정보보안산업협회는 기존의 정보보안을 넘어 물리보안과 융합보안을 아우르는 대표적인 전문 단체로서 위상을 높여가고자 여러 산업분야와 교류 협력을 확대하고 있으며, 국내 지식정보보안 업 계가 해외시장에 적극 진출할 수 있는 다양한 형태의 지원 프로그램을 꾸준히 추진하고 있다. 6. 한국침해사고대응팀협의회 사단법인 한국침해사고대응팀협의회(CONCERT, CONsortium of CERTs)는 민간기업 및 기관의 정보보호 부서 또는 침해사고대응팀(CERT)이 자발적으로 참여해 구성된 협의체로 지난 1996년 내 정보는 내가 지킨다 취지 아래 설립되었으며, 이후 민간기업 및 기관이 자율적으로 참여하는 조직의 특성을 극대화하기 위해 지난 2005년 6월 사단법인으로 재출범하였다. 한국침해사고대응팀협의회의 주요 업무로는 회원사 간 신속한 사고 전파를 위한 연락체계 구축, 정보통신망 침해사고 관련 정보 및 기술의 상호 교환, 국제적인 정보통신망 침해사고 대응을 위한 제반활동, 정보통신망 운영기관들의 침해사고대응팀 구성 지원, 침해사고 대응기술력 향상을 위한 교육 및 세미나 개최, 기업 정보보호 실태조사 및 정보보호 관련 이슈 보고서 제작 배포 등이 있다. 최근에는 협의회 회원 구성이 기업 및 기관의 정보보호 담당 부서라는 특성을 감안해 침해사고대응 기술정보 교류는 물론 정보보호 강화를 위한 관리적 분야에 대한 교육 및 정보교류에 대한 업무 비중을 높여가고 있다. 한국침해사고대응팀협의회의 회원제는 정회원(정보통신망을 운영하는 기관 중 침해사고대응팀 혹은 대응업무부서를 운영 중인 단체 또는 회사), 준회원(정보통신망을 운영하는 기관 중 침해사고 대응팀 혹은 대응업무부서를 준비 중인 단체 또는 회사), 그리고 협력회원(정보보호 관련 서비스 시스템을 제조 판매하는 업체)으로 구분되어 있으며 2014년 1월 기준 총 433개 기업 및 기관이 회원으로 활동하고 있다. 92 정보보호 담당기관 93

18 2013년 주요 사업실적으로는 동종업계 보안담당자가 정보공유 및 현안에 대응할 수 있는 소위원회 운영, 정회원들이 정보보호 현안에 대해 깊이 있는 토론을 진행하는 폐쇄형 토론 세미나 Security Round Up, 정회원사 소속 담당자 150여 명이 1박 2일 동안 참여하는 정회원 워크숍, 기업정보보호 트렌드를 가늠해 보는 CONCERT FORECAST 2013 세미나, 기업정보보호 활동 사례와 이슈를 점검해 보는 해킹방지워크숍(Annual Security Users Festival) 개최 등이 있다. 2014년에는 이슈 분석보고서, Security Consumer Report와 같은 보고서 발간 등 기업정보보호 수준 강화를 위한 다양한 사업을 운영하는 한편 회원사 IT 보안담당자들로 구성된 스터디그룹을 편성하여 보안담당자의 지식수준 향상을 도모하고 회원 간 유대관계를 강화할 계획이며, CERT 구축 가이드의 개정작업을 통해 최근 정보보호환경을 반영할 예정이다. 시설 이용에 따른 침해사고 분석 및 대책 연구 등 사이버위협에 대한 공동대응 활동이다. 셋째, 정보 보호최고책임자 교육 등 정보통신서비스 제공자와 정보통신기반시설의 정보보호 능력 및 전문성 향상이다. 넷째, 정보통신서비스와 정보통신기반시설 보안 관련 국제교류 및 협력이다. 다섯째, 회원 간 정례 간담회, 세미나, 워크숍, 컨퍼런스 개최이다. 여섯째, 각 분야별 우수기업과 인력 선정 및 시상이다. 일곱째, 정기간행물 리서치 자료 발간 및 온라인서비스 제공이다. 여덟째, 보안문화 형성을 위한 대국민 홍보 캠페인 실천 등 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위해 필요한 사업 등이다. 8. 개인정보보호협회 7. 정보보호최고책임자협의회 사단법인 정보보호최고책임자협의회(CISO협의회)는 갈수록 지능화 고도화되는 사이버공격의 지속적인 증가와 반복적인 피해로 기업의 정보보호 최고책임자의 역할이 부각되면서 기업정보보호 활동 강화 및 기업 간 협력체계 구축을 위해 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3에 의거하여 구성하게 되었다. 정보보호최고책임자협의회는 지난 2009년 6월 사이버위협에 대한 민 관 협력체계 구축과 각 분야별 CSO(최고보안책임자, Chief Secrity Officer) 간의 협력 및 정보공유 활성화를 위해 설립된 비영리 사단법인인 한국CSO협회 를 확대 개편하여 2013년 12월 정보보호최고책임자협의회 (CISO협의회)로 새롭게 재출범하였다. 정보보호최고책임자협의회는 기업 및 기관의 자발적 참여에 기반하여 국내 정보보호최고책임자 간의 협력체계를 구성, 회원 간의 협업과 소통을 통한 기업의 정보보호 수준 제고를 최우선 목적으로 한다. 또한 최고경영자는 물론 임직원의 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업의 정보보호 실천환경 조성을 위해 정책을 제안하고, 정부가 효율적인 정보보호정책을 수립 및 전달할 수 있도록 의견수렴과 의사소통 창구역할을 수행한다. 아울러 대국민 보안인식 확산을 통해 민간 보안수준 제고 등, 보안문화 형성에 기여한다. 정보보호최고책임자협의회의 중점 추진사업은 첫째, 정보통신서비스 제공자와 정보통신기반시설의 정보보호 강화를 위한 정책의 조사, 연구 및 수립 지원이다. 둘째, 정보통신서비스와 정보통신기반 개인정보보호협회(OPA, Korea Online Privacy Association)는 개인정보 및 위치정보의 보호와 안전한 이용을 위한 민간 자율규제 활동을 촉진하고 인증마크제도 운영 및 교육 홍보등을통해사회 전반의 개인정보보호 인식을 제고하기 위해 2011년 10월 방송통신위원회 소속 사단법인으로 설립 되었다. 협회는 비상임위원 회장 1인, 상임위원 부회장 1인 외 회원으로 임원사 10개사와 일반회원사 34개사가 참여하고 있다. 또한 기존 LBS(위치기반서비스, Location Based Service)지원센터와 LBS산업협의회를 같이 운영하고 있다. 주요 추진 사업은 크게 6가지로 구성된다. 첫째, 개인정보 관련 정부 정책사업 참여 및 신규 분야 정책 제안, 회원사 의견수렴을 위한 간담회 및 워크숍 개최, CPO(개인정보관리책임자, Chief Privacy Officer) 간 커뮤니티 활동 수행 등 개인정보보호정책 지원 및 회원 지원 사업을 추진하고 있다. 둘째, 위치정보보호법 제도 개선 및 환경조성 수행, LBS 관련 산업활성화 및 정보공유, LBS 표준화 연구 및 단체표준 제안, LBS협의회 회원사 활동 지원 등 LBS산업 협의회를 운영하고 있다. 셋째, 정보보호마크 인증사업으로 개인정보보호 우수 사이트 인증 (eprivacy마크) 및 인터넷사이트 안전(i-Safe마크) 인증사업 수행, 정보보호마크 활성화 및 홍보, 국내외 인증제도와의 상호협력을 추진하고 있다. 넷째, PIMS(개인정보보호관리체계, Personal Information Management System) 인증심사 및 PIMS 인증 취득기업 기관에 대한 사후관리 및 갱신 인증심사 수행, PIMS 홍보 및 인증심사원 양성 교육 프로그램 운영 등 PIMS 인증심사사업을 수행하고 있다. 다섯째, 민간분야 보안서버 보급 확대사업으로 주요 내용은 민간부문 보안서버 구축 여부 점검 및 지원, 영세 중소사업자 보안서버 무료 보급 및 구축 지원, 보안서버 점검시스템 관리 및 운영을 하고 있다. 여섯째, 94 정보보호 담당기관 95

19 회원사 및 개인정보 취급 사업자와의 협력을 통한 사업자 개인정보보호 교육 운영, 이용자 개인정보 보호 교육 및 홍보 캠페인 등을 진행하고 있다. 9. 한국개인정보보호협의회 한국개인정보보호협의회(KCPPI, The Korean Council on the Protection of Personal Information)는 민간 중심의 개인정보보호 체제와 민간이 선도하는 자율규제 정착을 위해 개인정보 보호 자율규제 활동 촉진 및 정부와 민간의 정책공조 활성화 기여에 목적을 두고 2010년 12월 행정 안전부 소속으로 사단법인화하였다. 2014년 1월 회원은 65개 주요 사업자 단체와 60여 개 회원사로 구성되어 있으며 회장 1인, 상근 부회장 1인, 부회장 5인, 감사 2인과 이사 16인 외에 한국품질보증원, 한국정보기술단 등 10여 개 기관 단체가 특별회원으로 가입되어 있다. 2012년 개인정보보호의 사회적 인식제고와 문화정착을 위해 한국개인정보보호협의회를 비롯한 40여 개 주요 단체 및 공공기관들이 참여하여 결성한 개인정보보호범국민운동본부의 공동대표, 운영위원장 및 추진단 운영을 맡고 있다. 추진하는 주요 사업은 크게 아홉 가지로 구성된다. 첫째, 개인정보보호 관련 법령의 제 개정에 관한 수요 제기, 개인정보보호 관련 규제 합리화를 위한 의견 제시 등 대정부, 대국회 정책 건의 활동 등이 역점 사업이다. 둘째, 업종별 특성을 반영한 CPO 활동 기준 마련, 개인정보취급방침 및 내부관리 계획수립 지원 등 민간 CPO CSO CISO 활동 지원사업을 수행한다. 셋째, 관련 정보공유사업으로 주요 내용은 정책홍보자료 및 입법 동향, 사업자 실태점검 지적사항, 개인정보침해 사례, 분쟁조정 사례 등의 전파 공유 등을 수행한다. 넷째, 정보보호 관련 최신 이슈, 개인정보보호 관련 법 기술 동향, 기업의 개인정보보호 우수 사례 소개 등을 주제로 한 워크숍, 세미나, 집담회, 포럼을 개최하거나 최신 이슈 및 주요 트렌드 등에 대한 연구 출판사업을 수행한다. 다섯째, 교육지원사업으로 주요 내용은 업종별 협회(단체) 간담회 등 행사 개최 시 전문강사 지원, 안전행정부 한국인터넷진흥원 한국정보화진흥원 등 유관기관들이 주관하는 교육일정의 전파, 교육교재 및 매뉴얼 배포 등을 수행 한다. 여섯째, 개인정보보호 실천 결의대회 개최, 협의회 발간 뉴스레터 또는 대중매체에 개인정보 보호 관련 기고, 기획기사, 칼럼 게재 등 범국민 인식 제고사업을 수행한다. 일곱째, 실태조사, 표창 상신, 공익고발 활동으로 주요 내용은 안전행정부의 위임 또는 위탁을 받아 기업 단체의 개인정보 보호 실태를 조사하고, 모범 기업 단체의 표창을 추천하며, 문제가 있는 기업 단체는 시정조치를 건의하거나 공익 차원에서 고발하고 있다. 여덟째, 회원사 지원 사업으로 주요 내용은 회원 기업 기관 단체의 개인정보보호 실태를 우선적으로 컨설팅해 주고 우수 회원사 단체는 정부 표창토록 추천하며 발주처 선정 등에서 우선적으로 배려토록 하고 교육 홍보 마케팅 측면에서도 도움이 되도록 적극 지원하고 있다. 아홉째, 해외 각국의 관련 기관 단체또는민간NGO들과의교류 협력을 통해 회원들의 국제적 시야를 넓혀나감과 동시에 개인정보보호분야의 선진적 시스템과 법 제도 등을 도입 또는 구현을 위해 해외 전문가를 초청 강연토록 하거나 회원들을 국외 세미나, 포럼, 컨벤션 등에 참가토록 하는 등 국제 교류 협력사업을 추진하고 있다. 한국개인정보보호협의회는 정보안심사회 및 개인정보보호 자율규제 라는 공익적 가치(사회적 공동선) 실현과 활발한 사업 활동을 위한 재정 기금 확충과 아울러 개인정보 보호법 제5조 및 제13조가 규정한 자율규제 를 위한 법정단체로 발돋움하고자 정책적인 노력을 계속할 방침이다. 10. 한국CPO포럼 사단법인 한국CPO포럼(Korea Chief Privacy Officers FORUM)은 사회적으로 대두되는 개인 정보보호 이슈를 적극적으로 해결하기 위해서는 민간 사업자들의 자율적 규제강화가 필요하다는 공감대 아래 지난 2007년 11월 발족하였다. 한국CPO포럼은 사업자 학계 유관기관 등 사회 각 분야의 주요 인사들이 참여하여 개인정보 관련 현안에 대한 정보를 공유하는 한편 개인정보보호 관련 법안 및 정책 수립을 위한 민간분야의 의견을 수렴하고 전달하는 역할을 목표로 하고 있다. 주요 사업 영역으로는 개인정보보호 관련 정보 및 기술의 상호 교환을 비롯해 CPPG(개인정보 관리사, Certified Privacy Protection General) 자격검정 운영, 개인정보보호를 위한 교육 및 세미나 개최, 개인정보보호정책 수립을 위한 민간 의견수렴 및 전달, 해외 관련 기관과의 국제협력 등이 있다. 지난 2013년 주요 사업을 살펴보면 매월 개인정보보호 현안에 대해 깊이 있는 토론을 진행하는 폐쇄형 토론 세미나 Privacy Round Up과 세계 각국의 주요 개인정보보호 전문가들을 연사로 초청하여 국내외 개인정보보호에 대한 이슈와 트렌드를 공유하는 개인정보보호 국제심포지엄 (Privacy Global Edge 2013)의 개최, 개인정보보호 인증 및 교육 프로그램의 국제적 통용성 확보를 96 정보보호 담당기관 97

20 위한 미국 국제개인정보보호전문가협회(IAPP, International Association of Privacy Professionals)와의 MOU 체결, 조직 내 개인정보 관리자의 직무분석 및 개인정보보호 지식수준 체계 연구 등이 있다. 특히 2009년 12월 시작된 CPPG자격시험 운영을 통해 기관 기업에서 필요한 개인정보 관리 전문 인력에 대한 객관적인 측정지표를 제시하고 있다. 이를 통해 CPPG자격시험은 개인정보보호의 중요성에 대한 인식 제고와 개인정보보호 전문가 양성에 기여하고 있고, 2013년 12월 기준으로 CPPG자격증 보유자가 3,700명을 넘어섰다. 더욱이 본 자격제도는 개인정보 보호법 시행 및법 제도 강화로 인해 관심이 확대되는 추세다. CPO포럼은 2014년에도 월례 세미나 및 심포지엄 개최를 통하여 국내외 개인정보보호 리더들 간의 정보 교류와 협력을 도모함과 동시에 개인정보보호 실무지침 연구를 통한 개인정보보호 자율규제 기준 제시, 기존 CPPG자격의 국가공인 준비작업, CPPG 자격의 상 하위 레벨 자격인 CPPS(Certified Privacy Protection Specialist)와 CPPF(Certified Privacy Protection Foundation)자격의 시행, 전년도 연구된 직무 분석에 따른 개인정보보호 교육체계 수립 등 개인정보 보호 전문인력 양성 및 평가에 주력할 예정이다. 제 장 1. 연혁 가. 20세기 정보사회 초기단계 1980년대부터 추진되어 온 국가차원의 정보화 발전과 동시에 이에 따른 역기능이 부상하면서 정보보호 관련 법령이 본격적으로 정비되기 시작하였다. 1986년에 제정된 전산망보급확장과 이용 촉진에 관한 법률 은 우리나라 최초의 정보화에 관한 법률로 정보화에 국가적 시책과 제도를 규정 하였다. 동 법은 전산망의 보호를 위한 일부 규정을 포함하고 있으나, 정보보호의 중요성을 인식하고 이에 초점을 맞춘 법률은 아니었다. 민간부문에서 정보보호에 대한 중요성이 부각되고 정보보호 시책의 강구 및 정보보호시스템에 대한 기준고시 등 관련 제도가 마련되기 시작한 것은 1995년에 제정된 정보화촉진기본법 이라고 할 수 있다. 동 법으로 정보화 촉진에 관한 내용과 더불어 정보보호에 관한 기본적인 규정도 마련되었다. 또한 1995년에는 형법 이 개정되어 전자기록 위작 변작죄 및 전자기록에 대한 비밀침해죄 등이 규정되었고, 인터넷 보급의 본격화에 의한 인터넷 전자상거래의 이용 증가에 따라 1999년에는 개인 및 기업의 정보유통과 중요 정보를 보호하기 위해 전자서명법 을 제정하고, 전산망보급확장과 이용 촉진에 관한 법률 을 정보통신망 이용촉진 등에 관한 법률 로 전면 개정하는 등 정보화 역기능에 대한 규정의 재정비가 이루어졌다. 98 정보보호 담당기관 99

21 나. 21세기 고도정보사회 진입단계(2000년~2007년) 2000년대에 들어서면서 정보통신시스템에 대한 국가와 사회의 의존도가 심화됨에 따라 국가안보 차원에서 정보보호 법제를 재정비해야 할 필요성이 대두되었다. 국가 사회의 핵심정보와 정보통신 시스템에 대한 파괴와 침해가 국가의 안위를 위협하고, 사회 경제적 손실을 야기함은 물론 개인의 자유와 권리를 위협하는 수준에 이르렀기 때문이다. 2001년에는 금융 통신 에너지 등 국가와 사회의 중요한 정보통신기반시설을 보호하기 위한 특별한 체계를 주요 내용으로 하는 정보통신기반보호법 이 제정 공포되었으며, 컴퓨터 등 정보처리 장치에 허위정보나 부정한 명령을 입력하여 타인의 재산을 빼앗는 온라인 사기행위를 벌하는 형법 규정이 신설되었다. 정보통신망 이용촉진 등에 관한 법률 도 그 명칭을 정보통신망 이용촉진 및 정보보호 등에 관한 법률 로 변경하면서 정보보호와 관련된 규정을 대폭 강화하였다. 동 법은 2003년에 1.25 인터넷 대란을 계기로 침해사고 대응 관련 규정을 보완하였으며, 2004년과 2005년에 개인정보 침해 및 광고성 정보 전송으로 인한 이용자 피해를 해소하기 위해 처벌규정을 강화하는 등 관련 규정을 정비하였다. 2005년에는 국가안보를 위협하는 해킹 바이러스 등 사이버공격으로부터 국가정보 통신망을 보호하기 위해 사이버안전에 관한 조직 및 운영에 대한 사항을 체계적으로 정립한 국가사이버안전 관리규정 이 대통령훈령으로 발령되었다. 2006년에는 국가 핵심기술의 수출이 국가안보에 심각한 영향을 줄 수 있는 경우 또는 신고하지 아니하거나 허위로 신고하여 국가 핵심기술을 수출한 경우에는 그 국가 핵심기술의 수출 중지 금지 원상복귀 등의 조치를 취할 수 있도록 하는 내용을 담은 산업기술의 유출방지 및 보호에 관한 법률 이 제정되었다. 2007년에는 종래의 전자정부 구현을 위한 행정업무 등의 전자화 촉진에 관한 법률 을 전자정부법 으로 전면 개정하는 등 전자정부 구현을 위한 관련 법제의 정비가 이루어졌다. 또한 정보통신기반 보호법 을 개정하여 주요통신기반시설에 대한 보호대책의 이행 여부 확인제도를 개선하였다. 2008년에는 정부조직의 개편에 따른 정부조직법 의 개정으로 (구)정보통신부의 사무가 여러 관계 기관으로 이관되어 정보화 및 정보보호 추진체계에 많은 변화가 있었다. 2009년에는 정보화촉진기본법 을 국가정보화기본법 으로 전면 개정하고 정보통신산업 진흥법 을 제정하여 정보보호산업의 활성화를 촉진하는 제도적 기반을 마련하였다. 2010년에는 국방정보화 기반조성 및 국방정보자원관리에 관한 법률 이 제정되고 전자정부법 이 전면 개정되어 국방정보화와 행정정보화를 촉진하는 동시에 정보보호를 개선하였다. 2011년에는 개인정보 보호법 이 제정되고 관계 법령의 개인정보 보호규정을 개정하여 개인정보 보호가 대폭 강화되었다. 한편 지식재산 기본법 의 제정에 따라 지식재산권 보호 강화를 위한 정보 보호의 중요성이 더욱 증대되었다. 2012년에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 이 대폭 개정되어 개인정보보호를 강화하고 정보보호체계를 개선하는 등 다양한 변화가 있었다. 2013년에는 정보보호 추진체계에 의미 있는 변화를 가져온 국가사이버안전관리규정 개정이 있었고 무분별한 주민등록번호 사용을 제한하는 개인정보 보호법 개정도 이루어지는 등 정보보호를 강화하기 위한 법제도 개선이 다양하게 이루어졌다. 2. 주요 현황 국내의 정보보호 법제도는 각각 제정 목적 및 기능별로 국가기밀보호 관련 법령, 중요 정보의 국외 유출 방지에 관한 법령, 전자서명 및 인증 관련 법령, 정보통신망과 정보시스템의 보호 추진 관련 법령, 침해행위의 처벌에 관한 법령, 개인정보보호 관련 법령으로 분류할 수 있다. 이러한 분류에 따라 대표적인 주요 법령의 목록을 표로 나타내면 다음과 같다. 다. 21세기 지식정보사회 구현단계(2008년~2013년) 정보자원의 지식화 및 정보의 공동이용 활성화를 통해 국가경쟁력을 제고하고 삶의 질을 향상시키는 이른바 지식정보사회 구현이 정보화정책의 중요한 방향으로 인식되기 시작하였다. 100 정보보호 법제도 101

22 구분 국가기밀보호 중요 정보의 국외 유출 방지 전자서명 및 인증 정보통신망과 정보시스템의 보호 추진 침해행위의 처벌 개인정보보호 군사기밀보호법, 보안업무규정, 군형법 등 법령명 산업기술의 유출 방지 및 보호에 관한 법률, 기술의 이전 및 사업화 촉진에 관한 법률, 민 군겸용기술사업 촉진법, 부정경쟁방지 및 영업비밀보호에 관한 법률 등 전자서명법, 전자정부법 등 국가정보화기본법, 정보통신기반보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자정부법, 전자문서 및 전자거래 기본법, 국가사이버안전관리규정 등 정보통신기반보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자무역 촉진에 관한 법률, 형법 등 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 국내외 시장에서 차지하는 기술적 경제적 가치가 높거나 관련 산업의 성장 잠재력이 높아 해외로 유출될 경우 국가의 안전보장 및 국민경제의 발전에 중대한 악영향을 줄 우려가 있는 국가 핵심기술의 지정 변경과 수출 승인 및 국가 핵심기술의 무단유출과 침해행위의 금지 등을 정하고 있다. 기술의 이전 및 사업화 촉진에 관한 법률 에서는 기술 이전 사업화 촉진에 참여한 자는 기술 이전 사업화 촉진에 참여하면서 알게 된 공공 연구기관 및 기업의 비밀 누설을 금지하고 민 군겸용기술 사업 촉진법 에서는 민 군겸용기술사업에 참여한 자에게 참여과정에서 알게 된 비밀유지 의무를 부여한다. 그밖에 부정경쟁방지 및 영업비밀보호에 관한 법률 에서는 부정한 이익을 얻거나 기업에 손해를 입힐 목적으로 그 기업에 유용한 영업비밀을 외국에서 사용하거나 외국에서 사용될 것임을 알면서 제3자에게 누설한 자와 그러한 죄를 범할 목적으로 예비 또는 음모한 자에 대한 처벌을 규정하여 중요 정보가 외국에 유출되거나 그러한 우려가 있는 경우까지 엄격하게 통제하여 국부의 해외 유출을 방지하고 있다. 가. 국가기밀보호 관련 법령 국가기밀보호 관련 법령에는 침해나 유출될 경우 국가의 존립 안전과 민주적 기본질서 유지를 위태롭게 할 정보 또는 국가기밀에 대한 침해 금지와 처벌, 비밀의 분류, 국가기밀에 속하는 문서 자재 시설 및 지역에 대한 보안업무 등에 관해 규정한 법령들이 해당된다. 예를 들면 군사기밀 보호법 에는 군사기밀의 구분, 군사기밀의 보호조치, 일련의 군사기밀 누설 관련 조항 등이 포함되며, 형법에도 간첩죄, 일반이적죄, 외교상 비밀누설죄, 공무상 비밀누설죄 등 다양한 규정들이 존재한다. 한편 종래에 주로 국가의 비밀보호 수단으로 사용되어 온 암호는 정보통신망상의 통신수단 및 전자상거래 등의 발전으로 민간분야에서도 사용이 증가함에 따라 이에 대한 법령정비가 이루어져 왔다. 암호의 사용과 관련된 법령으로는 보안업무규정, 국가정보화기본법, 전자문서 및 전자거래 기본법 등이 있으며 암호의 부정사용과 관련된 법령으로 군형법 등이 있다. 나. 중요 정보의 국외 유출 방지 관련 법령 국가안전보장과 관련된 보안정보나 국내에서 개발된 첨단과학기술 또는 기기의 내용에 관한 정보 등 국내의 산업 경제 및 과학기술 등에 관한 중요 정보가 정보통신망을 통해 국외로 유출되는 것을 방지하기 위한 대표적인 법령으로는 산업기술의 유출방지 및 보호에 관한 법률 이 있다. 이 법률에서는 다. 전자서명및인증관련법령 정보시스템과 정보통신망의 발전으로 인한 원격지간의 거래 및 업무가 활성화됨에 따라 정보처리 시스템에 의해 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보인 전자문서의 안전성과 신뢰성을 확보하고 이용을 활성화하기 위해 전자서명 및 인증 관련 법적 정비가 이루어졌다. 전자 서명 및 인증과 관련된 법령에는 공인인증시장의 균형적 발전과 공정한 경쟁환경을 조성하기 위해 비영리법인 등에 대한 공인인증 제공역무 영역을 설립목적에 맞게 구분하여 지정할 수 있도록 한 전자서명법 과 행정전자서명과 인증을 규정하고 있는 전자정부법 등이 있다. 라. 정보통신망과 정보시스템의 보호조치 관련 법령 해킹, 바이러스 유포 등 사이버 침해행위로 인해 국가 및 민간의 정보통신망과 정보시스템에 대한 위협이 증가함에 따라 국가차원의 체계적인 보호조치가 필요하게 되었다. 정보통신망과 정보시스템의 보호조치와 관련한 법령으로는 국가정보화기본법, 정보통신기반보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자정부법, 전자문서 및 전자거래 기본법, 국가사이버안전관리 규정 등이 있다. 102 정보보호 법제도 103

23 마. 침해행위의 처벌 관련 법령 해킹 바이러스 서비스 거부공격 등 정보시스템과 정보통신망에 대한 침해와 정보의 탈취, 위 변조 등으로 인한 국가 사회적 피해의 방지를 위한 벌칙규정을 두고 시행하고 있다. 정보통신기반보호법 의 주요정보통신기반시설 침해행위에 대한 벌칙, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 의 정보통신망 침해행위에 대한 벌칙규정이 대표적이다. 또한 전자무역 촉진에 관한 법률 에는 무역 유관기관의 컴퓨터파일에 기록된 전자무역문서 또는 데이터베이스에 입력된 무역정보에 대한 위조 또는 변조 등의 처벌규정이 있고, 물류정책기본법 에는 전자문서를 위작 또는 변작하거나 그 사정을 알면서 위작 또는 변작된 전자문서를 행사한 자 및 종합물류정보망 또는 국가 물류통합 데이터베이스에 의해 처리 보관 전송되는 물류정보를 훼손하거나 그 비밀을 침해 도용 누설한 자 또는 종합물류정보망 또는 국가 물류통합 데이터베이스의 보호조치를 침해하거나 훼손한 자 등에 대한 처벌 등의 벌칙규정이 있다. 한편 형법에는 컴퓨터 사기죄에 대한 처벌규정이 마련되어 있다. 바. 개인정보보호 관련 법령 최근 정보통신기술의 발달에 의해 개인정보보호에 대한 침해가 증가하고 있고, 이에 대한 관심이 증가하면서 관련 법령의 정비가 이루어지고 있다. 개인정보보호의 일반법으로는 개인정보 보호법 이 제정되어 시행 중이다. 한편 공공부문에서 개인정보를 보호하는 법령으로는 전자정부법, 주민등록법, 여권법 등이 있으며, 민간부문에서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률, 금융 실명거래 및 비밀보장에 관한 법률, 인터넷주소자원에 관한 법률, 전자문서 및 전자거래 기본법, 전자서명법 등의 개별법이 존재하고 있다. 1. 국가사이버안전관리규정 1-1. 대통령훈령 제310호, , 일부개정 가. 개정 이유 정부조직법 (법률 제11690호, , 전부개정)에 따라 변경된 정부 조직과 기능에 맞추어 관련 규정을 정비하려는 것이다. 나. 주요 내용 국가사이버안전전략회의의 위원은 기획재정부차관, 미래창조과학부차관, 교육부차관, 외교부차관, 통일부차관, 법무부차관, 국방부차관, 안전행정부차관, 산업통상자원부차관, 보건복지부차관, 국토 교통부차관, 금융위원회 부위원장, 대통령비서실 사이버안전 담당 수석비서관, 국가안보실 사이버 안전 담당 비서관, 국무조정실 국무차장과 전략회의 의장이 지명하는 관계 중앙행정기관의 차관급 공무원이 된다. 이 경우 차관 또는 차관급 공무원이 2명 이상인 기관은 사이버 안전업무를 담당하는 차관 또는 차관급 공무원이 위원이 된다(훈령 제6조 제3항). 종전에 지식경제부장관 으로 규정된 부분을 미래창조과학부장관 으로, 방송통신위원회 위원장 으로 규정된 부분을 미래창조과학부장관 으로, 대통령실의 국가위기상황업무를 담당하는 수석비서관 으로 규정된 부분을 국가안보실장 으로 변경한다 대통령훈령 제316호, , 일부개정 가. 개정 이유 다양한 사이버공격에 대하여 종합적 체계적으로 대응하기 위해 국가 사이버안전에 관한 국가안보실의 104 정보보호 법제도 105

24 역할을 강화하고, 신속한 위기상황 전파체계를 구축하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선 보완하려는 것이다. 나. 주요 내용 국가 사이버위기에 효율적으로 대응하기 위해 국가사이버안전전략회의 위원에 대통령비서실 사이버안전 담당 수석비서관을 추가한다(훈령 제6조). 종전에는 사이버공격에 관한 정보를 입수하거나 사이버공격으로 인한 사고가 발생한 경우 중앙행정 기관의 장이 국가정보원장에게만 통보하도록 하였으나, 국가안보실장에게도 같이 통보하도록 한다. 또한 종전에는 지방자치단체의 장 및 공공기관의 장이 사이버공격 사고 발생 및 조치시 관계 중앙행 정기관의 장을 통해 국가정보원장에게 통보하도록 하였으나, 국가안보실장, 국가정보원장 및 관계 중앙행정기관의 장에게 동시에 통보하도록 한다(훈령 제10조 및 제12조). 국방부장관이 국방분야 사이버공격 경보를 발령하기 전에 국가정보원장 및 미래창조과학부장관과 경보 관련 정보를 교환하도록 하여 국방분야 사이버위기에 체계적으로 대응하도록 한다(훈령 제11조). 범정부적 사이버위기 대책본부 구성 운영시 국가정보원장은 사이버공격 피해 및 대응 상황을 국가안보실장에게 통보하고, 국가안보실장은 이를 종합하여 대통령에게 보고하도록 개선한다(훈령 제13조제6항 신설). 2. 개인정보 보호법(법률 제11990호, , 일부개정) 나. 주요 내용 1) 주민등록번호 수집 법정주의 신설 (제24조의2) - 주민등록번호 처리를 원칙적으로 금지하고, 아래 사유에 해당하는 예외적인 경우에만 허용 (위반시 3천만 원 이하 과태료 부과) < 주민등록번호 예외적 처리 허용 사유 > 1. 법령(법률 시행령 시행규칙)에서 구체적으로 주민등록번호 처리를 요구 허용한 경우 2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요한 경우 3. 기타 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우 - 기 보유한 주민등록번호는 법 시행 후 2년 이내( 까지) 파기 2) 주민등록번호 유출에 대한 과징금 제도 신설 (제34조의2) - 주민등록번호 유출 등이 발생한 경우로서 안전성 확보조치를 하지 않은 경우 최대 5억 원 이하의 과징금 부과 징수 3) 대표자(CEO) 등에 대한 징계 권고 신설 (제65조제3항) - 법규위반행위에 따른 안전행정부장관의 징계 권고 대상에 대표자(CEO) 및 책임 있는 임원이 포함됨을 명시 가. 개정 이유 모든 개인정보 처리자에 대하여 원칙적으로 주민등록번호의 처리를 금지하고, 주민등록번호가 분실 도난 유출 변조 훼손된 경우 과징금을 부과 징수할 수 있도록 하며, 개인정보보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때에는 대표자 또는 책임 있는 임원을 징계할 것을 권고할 수 있도록 명확히 하여 주민등록번호 유출사고를 방지하는 한편 기업이 주민등록번호 등 개인정보보호를 위한 책임을 다하도록 하려는 것이다. 3. 정부조직법(법률 제11690호, , 전부개정) 가. 개정 이유 국가 성장동력의 양대 핵심 축인 과학기술과 정보통신기술을 창조경제의 원천으로 활용하여 경제 부흥을 뒷받침할 수 있도록 정부 조직체계를 재설계하고 국민생활 전반에 영향을 미치는 안전 관련 업무기능을 강화하여 국민의 안전을 최우선으로 하는 정부를 구현하는 한편 각 행정기관 고유의 전문성을 강화하여 행정환경의 변화에 능동적으로 대처할 수 있도록 하는 등 창조적이고 유능한 106 정보보호 법제도 107

25 정부를 구현할 수 있도록 정부기능을 재배치하려는 것이다. 나. 주요 내용 대통령의 국가 위기상황 관리기능을 효과적으로 보좌하기 위해 대통령 밑에 국가안보실을 신설한다 (법 제15조). 과학기술과 정보통신기술 발전을 통해 일자리를 창출하고, 경제부흥의 기반을 마련할 수 있도록 미래창조과학부를 신설하고, 그 소관 업무를 과학기술정책의 수립 총괄 조정 평가, 과학기술의 연구개발 협력 진흥, 과학기술인력 양성, 원자력 연구 개발 생산 이용, 국가정보화 기획 정보 보호 정보문화, 방송 통신의 융합 진흥 및 전파 관리, 정보통신산업, 우편 우편환 및 우편대체에 관한 사무로 한다(법 제28조 및 제29조). 통상교섭의 전문성을 강화하고 국내산업의 대외경쟁력을 제고하기 위해 외교통상부의 통상교섭 기능을 지식경제부로 이관하고, 그 명칭을 산업통상자원부로 개편한다(법 제30조 및 제37조). 국민행복의 필수조건인 국민생활 안전을 책임지는 안전관리 총괄부처로서의 위상과 기능을 강화하기 위해 행정안전부를 안전행정부로 개편한다(법 제34조). 4. 정보통신 진흥 및 융합 활성화 등에 관한 특별법 (법률 제12032호, , 제정) 가. 제정 이유 정보통신분야의 종합적 조정체계를 마련하는 한편 정보통신 생태계 활성화를 위한 전문인력 양성, 벤처창업 지원 등 인적 물적 기반 구축, 정보통신 진흥의 핵심영역인 소프트웨어 콘텐츠 등 개별 산업에 대한 지원, 신규 융합기술 서비스 등에 대한 연구개발 및 연구성과물의 사업화 지원 등을 수행할 수 있도록 법률적인 근거를 마련하고, 정보통신 발전의 걸림돌이 되는 규제의 발굴 개선을 위한 체계 구축을 통해 정보통신 진흥 및 융합 활성화를 촉진함으로써 국가산업 발전과 공공복리를 증진에 기여하고자 하는 것이다. 나. 주요 내용 정보통신 진흥 및 융합 활성화를 위한 국가와 지방자치단체가 준수해야 할 기본원칙으로서 합리적인 정보통신 이용환경 조성, 민간부문의 창의정신 존중, 대기업과 중소기업 간의 상생협력과 조화로운 발전, 정보통신의 해외진출 지원, 신규 융합서비스에 대해 원칙 허용, 예외 금지 를 기본원리로 하는 네거티브 시스템 원칙 등을 명시적으로 선언한다(법 제3조). 미래창조과학부장관은 정보통신 진흥 및 융합 활성화를 위해 3년 단위의 기본계획을 3년마다 수립하여 시행하되, 필요한 경우 수립주기를 단축하거나 기본계획을 변경할 수 있다. 기본계획에는 정보보호와 정보보안에 관한 사항이 포함되어야 한다(법 제5조). 관계 중앙행정기관의 장은 기본 계획을 구체화하기 위한 정보통신 진흥 및 융합 활성화 실행계획을 매년 수립하여 시행한다(법 제6조). 국무총리 소속으로 국무총리를 위원장으로 하고, 미래창조과학부장관을 간사로 하는 정보통신 전략위원회 를 설치하여 범부처 간 정보통신정책 조정, 기본계획 확정 등에 대한 심의 의결을 전담 하도록 한다(법 제7조). 정보통신 진흥 및 융합 활성화에 걸림돌이 되는 법률 제도의 발굴 개선 등을 위한 정보통신 활성화추진 실무위원회 의 설치 근거와 주요 업무를 규정한다(법 제9조 및 제10조). 유망 기술 서비스 등을 지정 고시하고, 고시된 유망 기술 서비스에 대한 사업화 지원 근거를 규정하며, 편의성 안정성 등에 관한 인증기준을 고시하고, 인증기준에 적합한 기술 서비스의 공공 구매 활성화 근거를 마련한다(법 제15조, 제17조, 제19조 및 제20조). 국가의 정보통신장비 구축사업 추진계획 수립, 수요예보제 시행의 근거를 규정한다(법 제29조). 중소기업 및 벤처의 창업과 해외시장 진출을 위한 지원체계를 구축하고, 정보통신 관련 해외 전문가로 구성되는 글로벌 협의체의 구성과 지원근거를 명시한다(법 제30조 및 제31조). 정보통신융합 등 기술 서비스의 개발을 촉진을 위한 각종 사업 추진 및 이를 위한 전담기구의 설치 근거를 마련하는 한편 기술거래의 활성화 추진, 정보통신 융합 등 기술 서비스의 개발 사업 종료시 기술료의 징수 사용 등에 관한 사항을 규정한다(법 제32조부터 제34조까지). 신규 정보통신융합 등 기술 서비스에 대한 근거법률 미비로 인한 사업화 지체 등을 방지하기 위해 신속처리 및 임시허가 제도를 도입한다(법 제36조부터 제38조까지). 108 정보보호 법제도 109