Transcription

1 독일의사이버테러대응 체계및정책 2018 년 2 월 경찰청 유윤근

2

3 명 칭 뮌헨루트비히 막시밀리안대학교형사법연구소 소재지 홈페이지 설립목적 형사법전분야 법철학및법적인포마틱의이론과실제에 관한연구와그성과의발표 보급및해외교류를통하여법 률교육및문화발전에기여 조직 형사법 법철학 법이론분과 주요기능 및 연구분야 형사법 독일형법과외국형법 형사소송절차 비교형법등 범죄학 비행 범죄교정 형사제제 피해자학등 법철학 법해석학 법사회학등 법적인포마틱 법정보학 정보통신관련법 주요인사 인적사항 의회 범죄정책전문가그룹 독일책임자 독일의회상설 법학분과위원회 구성원 형사법의 화문제 국제및 형사법비교 등다수저작 교섭창구 전화

4 < 목차 > 제 1 장서론 1 제2장사이버테러의정의및특성 3 제1절사이버테러의정의 3 제2절현행법상사이버테러의의미 4 제3절사이버테러의특성 5 1. 광역성및다양성 5 2. 최소한의인원으로최대의피해가능성 6 3. 증거의은닉성과비가시성 7 4. 저가의테러수행비용 8 제3장사이버테러의주요사례와국가위기관리와의상관관계 8 제1절국내주요사이버테러피해현황 인터넷대란 (2003년) 8 2. 국가기관해킹사건 (2004년) DDos 대란 (2009년) 디도스사건 (2011년) 9 5. 농협전산망해킹 (2011년) 중앙선관위사이버테러사건 (2011년) 중앙일보신문제작시스템해킹 (2012년) 방송 금융전산망해킹 (2013년) 정부기관등해킹 (2013년) 한국수력원자력문서유출 (2014년) 청와대사칭이메일발송 (2016년) 12 제2절진화하는북한의사이버공격위험 12

5 1. 북한의사이버공격의전략적특징 북한의사이버전력 13 제3절사이버테러와국가위기관리의상관관계 국가위기관리의개념 국가기반시설에대한사이버테러위협 17 제4장국내사이버테러대응체계 19 제1절사이버테러대응법체계 형법상사이버테러관련처벌규정 특별법상사이버테러관련주요처벌규정분석 21 가. 정보통신기반보호법 21 1) 개요 21 2) 행위유형과법정형 22 3) 검토 22 나. 정보통신망이용촉진및정보보호등에관한법률 23 1) 개요 23 2) 행위유형과법정형 24 3) 검토 26 다. 사이버테러관련특별법규정검토 28 라. 소결 30 제2절국가사이버안전관리체계 사이버테러관련법적근거 사이버테러대응체계 국가사이버안보마스터플랜 기능과역할재정립 33 제3절사이버테러대응체계의문제점 초기대응과다양한법규로인한대응체제혼선 33 가. 체계화된법률의부재 33

6 나. 초기위협측정체계미흡 34 다. 사이버공격초귀귀속의한계 정보기관과의협력및법집행기관의참여미흡의한계 공공 민간 군기능별대응체제로신속대응한계 36 제5장독일의사이버테러대응체계 37 제1절독일에서이해하는사이버공간에서의위협과사이버보안 사이버공간 사이버위협 38 가. 사이버범죄 39 나. 사이버스파이 40 다. 사이버사보타지 40 라. 사이버전쟁 41 마. 사이버테러리즘 42 바. 사이버행동주의 43 사. 사이버반달리즘 사이버보안 44 제2절 IT-안전법 도입배경 제정논의및과정 내용 47 가. 구성 47 나. 연방정보기술안전청법의개정내용 48 제3절사이버안전관리체계 크리티스 (KRITIS) 연방수준의사이버안전정책 76 가. 2009년과 2013년연정계약에서의사이버보안 77 나. 취약인프라보호 79

7 1) 취약인프라보호를위한국가계획 80 2) 정보인프라보호를위한국가계획의 KRITIS 로의전환계획 81 3) KRITIS 전략 81 4) KRITIS 실행계획 (UP KRITIS) 83 5) 연방실행계획 (UP Bund) 84 6) 연방실행계획위원회 (UP KRITIS-Rat) 84 다. 독일의사이버안전전략 85 라. 독일의디지털아젠다 88 마. 연방과주들의 IT 기획위원회 사이버보안영역에서의정치기관들 90 가. 연방내무부 91 나. 연방정보기술안전청 92 제6장결론 95 제1절사이버위기관리법제정 95 가. 사이버위기관리법제정의필요성 95 나. 관리대상으로서의 취약인프라 개념도입 96 다. 취약인프라운영자의의무 96 제2절사이버안전체계구축 96 가. 범국가차원의대응체계구축 97 나. 실무주도기관명확화 97 [ 참고문헌 ] 99

8 제 1 장서론 오늘날세계각국은정보통신기술의비약적인발전을통해인터넷을기반으로한정보화를빠르게확산시키면서각종정보와자원을활용하여과거와비교할수없을정도의높은생산성과편리함을누리고있다. 또한사이버공간은언어와민족은물론국경과종교의장벽을초월한인류의보편적의사소통수단으로자리매김하고있고, 정보를양방향으로신속하게소통시킴으로써정치 사회 문화 경제전반에다양한가치의생산과교류를촉진시키고있다. 1) 사이버공간이라는곳에서는인터넷을통한간단한자료의전달은물론이고, 사이버쇼핑이나사이버증권거래등과같이인류생활에주는이점못지않게각종범죄현상도늘어나고있으며, 특정목적달성을위한테러의수단으로도사이버공간이이용되고있다. 최근에는금융망, 교통망, 행정망등국가의중요한기간전산망을인터넷과연동시키려는시도가이루어지게되면서이에대한사이버공격은곧국가중추신경망의마비로이어지게되고, 그로인한파장과손실은상상할수없이커지게될우려를낳고있다. 2) 이처럼인터넷이라는사이버공간 (Cyberspace) 은우리생활에없어서는안되는필수생활공간이되었지만, 인터넷환경을이용한해킹, 바이러스유포, 분산서비스거부 (DDos, 디도스 ) 공격등과같은사이버공격으로인한국가와국민들의피해, 공포는정보화의역기능이자 사이버테러 라는새로운유형의테러라할수있다. 실제로국내의사이버테러피해는 2003년 1 25 인터넷대란 때 1,675억원 ( 한국정보보호진흥원추정 ), 2009년 7 7 DDos 대란 때 363~544억원 ( 현대경제연구원추정 ) 으로집계되었고, 다수의국내외사이트가동시다발적인접속장애를일으키거나악성코드로인해시스템이파 1) 박지형, 국가사이버안전체계개선에관한연구, 경기대학교대학원석사학위논문, 2005, p.1. 2) 정재영, 사이버테러에대한국가별대응실태연구, 국민대학교정치대학원석사학위논문, 2010, p

9 괴되었으며, 2011년 농협전산망마비사태 때는농협전산망에있는자료가대규모로손상되어수일에걸쳐서비스이용이마비되는등국가재난적피해를발생시켰다. 특히 2011년 농협전산망마비사태 는관공서등다수기관홈페이지운영을일시적으로방해하는기존분산서비스거부 (DDos) 공격과달리금융기관시스템자체를파괴하기위한 1개기관에대한집중공격으로서, 새로운형태의사이버테러라고할수있다. 3) 이처럼지능화 대규모화되어가는사이버테러에대응하는해결책을찾기위해그동안정부와민간부문에서많은노력을기울여왔다. 하지만날로발전적인양상을보이고있는사이버테러의위협에비해국내사이버테러대응체계는사이버위기를체계적으로관리할수있는제도와구체적방법 절차가확립되어있지않아사이버위기발생시국가안보와국익에중대한위험과막대한손해를끼칠우려가있다. 그러므로정부와민간이참여하는국가차원의종합적인대응체계를구축하도록하고이를통하여사이버공격을사전에탐지하여사이버위기발생가능성을조기에차단하며, 위기발생시국가의역량을결집하여신속히대응할수있는태세를갖추어야한다. 4) 독일의경우 2009년연방정부연정계약 5) 에서부터사이버안전이라는주제와관련한심도깊은논의를통해사이버테러대응체계를발전시켜왔으며, 연방내무부소속연방정보기술안전청 (Bundesamt für Sicherheit in der Informationstechnik, BSI) 을중심으로하는연방및각주 ( 州 ) 의유관부처들과의협업및민간기업 ( 특히사이버안전에있어서취약한인프라를운영하는기업 ) 들과의협업 지도체계를효율적으로운영하고 3) 김연준, 옥정석, 국가위기관리를위한사이버테러대응체계구축방안, 인문사회과학연구제 18 호, 2011, p.43. 4) 이필재, 유비쿼터스환경과국가사이버위기관리법제도의문제점및개선방안 ( 국가위기관리학회보, 2009), p ) 연정 ( 聯政 ) 이란연합정권의줄임말로서, 의원내각제국가에서다수당이과반수의석을확보하지못했을때다른정당과함께과반수를채워구성한정부를이르며, 성향이나이념이다른 2 개이상의정당이연립정권을구성하는만큼, 독일의경우방대하고세밀한연정계약서를통한향후추진정책에대한사전조율을전제로하고있음

10 있다. 특히독일의사이버테러대응체제는크리티스 (KRITIS) 6) 전략및실행계획등사이버공격으로부터취약한인프라 ( 취약인프라 ) 에초점을맞추어발전되어왔는데, 그발달과정과현재의체제는우리에게시사하는바가크다. 한편법률적측면에서독일은 2005년 IT 안전법 7) 제정을통해사이버안전분야에서의연방내무부소속연방정보기술안전청의선도적임무와권한을명확히하여사이버테러대응에있어서의효율성, 통일성, 즉응성의기반을마련하고있다. 또한 IT 안전법의또다른중요한의의는취약인프라운영자에대해사이버테러를포함하는사이버안전사고에대한보고의무를규정하고있다는점인바, 그논의과정및구체적내용에대해서도다루고자하며, 이를통해대한민국의사이버테러대응체제와법률에대한개선방안을제언하고자한다. 제 2 장사이버테러의정의및특성 제 1 절사이버테러의정의 테러라는용어는라틴어의 Terree 에서유래하였으며, 커다란공포 를뜻하는말이다. 최초로사용된시기는 1793년프랑스혁명시기에공화당혁명정부를이끌었던로베스피에르가반대파인왕당파숙청을위해자행했던공포의시대 (The reign of Terror) 에서시작되었다. 우리가흔히사용하는테러라는용어는테러리즘을의미하는것으로서다소그개념의차이는있으나일반적으로구별없이사용하는경우가 6) Kritische Infrastrukturen( 취약한인프라들 ) 의머릿글자를따서조합된단어로, 그손실이나침해가지속적공급부족, 공공안전의중대한장애또는다른심대한결과를야기하는, 국가공동체를위해중요한의미를가지는조직또는기관들을말하며, 독일사이버안전관리체계의핵심을이루는용어임. 7) Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme( 정보기술시스템들의안전고양을위한법 ), 약칭 IT Sicherheitsgesetz(IT 안전법 ) - 3 -

11 많다. 학자들에의하면테러란 특정한위협이나공포로인해모든인간들이심적으로느끼게되는극단적인두려움의근원이되는것 으로정의하고, 주관적이며가치중립적인자연현상이라고평한다. 8) 사이버테러리즘혹은사이버테러는최근에등장한개념으로사이버공간을통해사이버수단을이용, 테러목적을달성하려는것으로서 최첨단정보통신기술을이용해사회중추신경인전산망을파괴하거나해킹으로획득한자료를불순한목적에이용하는행위, 9) 첨단정보통신기술을이용해물리적세계가가상의세계로전환되어있는공간을무차별적으로공격하는행위, 해킹, 바이러스등정보통신망자체에대한공격행위로서국가또는사회적혼란또는불안을야기하는행위 10) 등과같이학자간에다양하게정의되어지고있으며, 야후인터넷용어백과사전에의하면사이버테러 (Cyber terror) 라함은 주요기관의정보시스템을파괴하여국가기능을마비시키는신종테러 라고용어정의를하고있으나, 사이버테러라는용어자체는우리나라법령에사용된예가없으며국가대테러활동지침 ( 대통령훈령제4호 ) 제2조1호에서 컴퓨터통신망을이용한정보조작및전산망파괴 를테러의유형중하나로규정하고있다. 그러나이러한사이버테러가개인으로부터집단 국가에이르기까지다양한주체로부터행해질수가있고그결과가국가기반시설에초점이맞추어질경우엄청난피해를야기한다는사실에는모두공감하고있으며그에따른준비의필요성도절감하고있다. 제 2 절현행법상사이버테러의의미 사이버테러에대해 정보통신기반보호법 ( 법률제 호 ) 에서는 전자적침해행위 ( 제 2 조 2 항 ) 로규정하고있는데, 정보통신기반시설을대상 8) 최진태, 테러리즘의이론과실제, 대영문화사, 2006, p.9. 9) 조병인, 사이버경찰에관한연구, 한국형사정책연구원, 2000, p ) 양근원, 사이버테러의실태와법적대응에관한연구, 경희대학교대학원석사학위논문, 2004, p

12 으로해킹, 컴퓨터바이러스, 논리 메일폭탄 서비스거부또는고출력전자기파등에의하여정보통신기반시설을공격하는행위 라고정의하고있다. 또한 국가사이버안전관리규정 ( 대통령훈령제316호 ) 에서는 사이버공격 이라고규정 ( 제2조제2항 ) 하고있는데, 해킹 컴퓨터바이러스, 논리폭탄 메일폭탄, 서비스방해등전자적수단에의하여국가정보통신망을불법침입 교란 마비 파괴하거나정보를절취 훼손하는일체의공격행위 라고정의하고있다. 이러한관점에서볼때, 사이버테러란공격주체가공격대상의국가, 공공, 민간의정보통신망을해킹, 컴퓨터바이러스, 논리 메일폭탄, 서비스거부등에의하여정보통신기반시설을불법침입 교란 마비 파괴하거나정보를절취 훼손하는일체의공격행위라고규정할수있다. 제 3 절사이버테러의특성 사이버테러는전세계에그물망처럼연계된인터넷망을통해빛의속도로전개되며소요시간도그동안에있었던일반적인테러와는달리수분이내에끝나면서도피해규모또한일반인이상상할수없을만큼국가의안보에심각한위협으로나타날수있다. 따라서사이버테러는그동안우리인류에커다란위협이되어왔던일반적인테러와는그본질을달리하는것으로볼수있는데, 통상의테러와는다른사이버테러의특징을살펴보면다음과같다. 1. 광역성및다양성 일반적으로사이버테러는테러리스트가목표로정한공격지점에직 접접속하여공격하는것이아니라네트워크가연결된곳이라면세계어느 곳이든공격을감행할수가있다. 특히네트워크망에대한보안시스템이잘 - 5 -

13 완비되고국민들의보안의식이높은선진국보다는보안시스템이취약한지역 국가에서부터출발하여여러단계를거친다음목표하는전산망에접근하여필요한정보를빼내가는우회적인방법을선택하는것이일반적인방법이다. 따라서사이버공간에대한범죄가발생했을경우피해를당한전산망에대한조사권만가지고조사하는것에는한계가있으며, 그것이국제적테러조직에의한범죄일경우국제적인협력이없다면조사자체가불가능해지는상황까지발생한다. 또한사이버테러를대비하기위해서는과거처럼경찰이나군등이책임지역이나건물을가지고독자적으로업무를수행할수있는것이아니고네트워크에연계된각기관들이공동으로상호유기적인협조체제를구축하지않고서는적절한대비가어렵기때문에미래사회의위협이될사이버테러는국제적인협력관계구축은물론관련기관간의유기적인협조체제가구축되도록노력해야한다. 2. 최소한의인원으로최대의피해가능성 컴퓨터네트워크를이용하여적의정보통신망에침투하기위한최소한의기술자만있으면사이버테러리즘은가능하다. 물리적인테러가대규모혹은소규모라도다수의인원을필요로하는것에비해, 목표대상에따라필요인원이증가할수는있겠지만사이버테러를위한인원은다른어떤물리적인테러를수행하기위한인원에비해적다. 하지만이러한경우에도타격대상이되는정보통신시스템을파괴또는마비시키는것에따를경제적 사회적파급효과는정보통신기반시설이더욱선진화되고의존도가높은국가일수록비례하여커진다. 또한컴퓨터범죄행위는반복가능성, 영속성의속성이있으므로한번의범죄행위는그규모나피해가작을지라도계속적으로자동적인프로 - 6 -

14 그램의실행, 확산을통해피해액이계속증가할가능성이높다. 하지만물 리적테러리즘보다극적인요소가덜해테러리스트들이사이버테러리즘을 그리선호하지않을것이라는의견도있다. 3. 증거의은닉성과비가시성 테러리스트들은물리적공간이아닌사이버공간의특수성을활용하여수사기관의추적으로따돌리고증거를변조하거나삭제하고있다. 이와같이원본과복사본구별이어렵고수사가곤란한디지털증거에법적증거능력을갖게하는방법인컴퓨터포렌식 (Computer forensics) 기법은최근들어크게발전하고있다. 수사및법적인관점에서디지털자료는눈에보이지않는비가시성에바탕을두고잠재성과다양성 대량성등의특징을가지고있어사법처리를위한증거자료를확보하는것에특별한방법과절차를요구하고있다. 범죄의혐의가있을때범죄사실과증거를수사하여야하는것은컴퓨터관련범죄에서도다른범죄와마찬가지이나, 컴퓨터와관련된증거를수집함에있어서는전통적증거수집과달리증거수집절차에있어서새로운문제가야기된다. 예를들어컴퓨터에의하여처리되고저장된데이터또는프로그램등이저장되어있는자기테이프나디스크는유체물이기때문에압수대상이되지만, 데이터나프로그램그자체로는유체물이아니기때문에형사소송법상압수수색대상이될수있는가의문제가생긴다. 또한사이버범죄의주요유형중하나인해킹기술이발전할수록보안기술도함께발전해왔다고할수있지만, 알려지지않는행위나새로운공격기법에대하여방어하기에는역부족이고, 해킹을당했는지조차알지못하며체계적인대응방안을세우는데에도익숙하지못해피해복구에대한전문적인기술개발이나체계적인연구가진행되지못하고있다

15 4. 저가의테러수행비용 사이버테러를수행하는데는많은비용과국가적지원이없어도정보체계에대한지식만으로사이버기술과무기를연구개발할수있고, 네트워크를통해접근만할수있으면개발된사이버무기를사용하여공격할수있다. 또한정보체계들은상호의존성이높기때문에어느하나의정보체계마비는전체적으로막대한피해를입히게된다. 제 3 장사이버테러의주요사례와국가위기관리와의상관관계 제 1 절국내주요사이버테러피해현황 인터넷대란 (2003 년 ) 1 25 대란은호주, 미국등에서유입된슬래머웜 (Slmmer worm) 이 MS의데이터서비스 SQL서버 를공격하여한국의 8,800대를비롯하여전세계 75,000여대를다운시킨사건이다. 한국의경우국제회선및 ISP의주요 DNS 서버와인터넷데이터베이스센터 (IDC) 내부망에과부하현상이발생하였다. 당시미국 FBI와국제공조수사를진행했지만범죄인지, 테러인지, 전쟁인지에대해서결론을내리지는못했다. 이사건은웜하나로인터넷을마비시킬수있다는가상시나리오를현실세계에서입증한첫번째사례로기록되었다. 2. 국가기관해킹사건 (2004 년 ) 국가기관해킹사건은중국의해커조직에의해한국의국회, 국방연구 - 8 -

16 원, 원자력연구소등 10개국가기관 222대의시스템이공격을당한사건으로한국에서발생한국가안보관련사이버테러중에서가장피해가컸던사건으로기록되고있다. 이사건은약 6개월동안국가안보와관련된중요기관의시스템에침입하여중요기밀이유출되었다. 당시경찰청에서는중국해커를용의자로특정하고국제공조를요청하였으나중국측의비협조로검거하지는못했다. 이사건은당시국가정보원의 국가사이버안전센터 창설과 국가사이버안전관리규정 을제정하는데기여하였다 디도스 (DDos) 대란 (2009 년 ) 7 7 디도스공격은북한이청와대 국방부 국정원등국가중추기관과언론사 은행등 21개사이트를공격하여시스템운영을방해한사건으로, 북한의공격이대외적으로공개된최초의사건이다. 공격자들은악성코드를설치하면서원본파일이자동으로소멸되도록설계하였고, 악성코드를그림파일로위장하는등지능화된수법을사용하였다. 또한감염된좀비PC의하드디스크가파괴되어수사기관이추적을하지못하여수사의많은어려움을자아냈다. 이사건은전세계 61개국 435대서버를해킹하여디도스공격에동원하는등글로벌한공격형태를여실히보여주었다. 당시국정원, 방통위가공격을사전에탐지하지못했고, 공격대응에있어서부처간혼선이발생하면서 7 7 디도스공격은범정부차원의 국가사이버위기종합대책 을마련하게된결정적인계기가되었다 디도스사건 (2011 년 ) 북한이좀비 PC 10 만대를동원하여국회 행정안전부 통일부등 20 개 정부기관홈페이지와은행 증권사 포털등 20 개사이트에대하여디도스공 격을감행한사건이다. 이들은해외 70 개국에 746 개의공격명령서버를구 - 9 -

17 축한다음실시간으로좀비PC를제어하면서정부기관과민간의홈페이지를마비시켰다. 당시사건발생직후과거 7 7 디도스공격과같은북한의소행여부가문제되었는데, 이에경찰청은파일공유사이트를통해악성코드를유포한점, 디도스공격체계와방식이동일하다는점, 악성코드의설계및통신방식이일치한다는점, 해외공격명령서버중일부가동일한점등을종합하여 2009년의 7 7 디도스공격의주체와동일하다는수사결과를발표하였다. 5. 농협전산망해킹 (2011 년 ) 2011년 4월 12일농협전산망이해킹되고자료가대규모로훼손되어수일에걸쳐전체또는일부서비스이용이마비되었다. 이에서울중앙지방검찰청의수사결과농협전산서버유지보수업체직원의노트북이웹하드사이트를통해해킹되어 7개월동안노출되었고, 공격은원격에서인터넷을통해이루어졌다고밝혔다. 이사건은 7 7 디도스공격및 3 4 디도스공격과유사한프로그래밍방식을사용하였고, 악성코드유포경로 방식의유사성, 공격명령서버의동일성등을근거로공격주체를북한으로발표하였다. 6. 중앙선관위사이버테러사건 (2011 년 ) 2011년 10월 26일서울시장보궐선거일에중앙선거관리위원회와박원순후보홈페이지에디도스공격을감행하여유권자들의투표소검색기능을마비시킨선거방해사건이다. 이사건은디도스공격이정치적목적을가지고선거에영향을미친최초의사건으로평가되고있다. 당시경찰은한나라당국회의원보좌관을포함한피의자 5명을검거 구속하였지만, 정치권 언론일각에선사건배후수사가미흡하다는의혹을제기함에따라특검

18 까지실시하게되었다. 7. 중앙일보신문제작시스템해킹 (2012 년 ) IsOne 이라는별칭을쓰는공격자가중앙일보홈페이지를변조하고, 신문제작시스템을파괴한사건이다. 북한체신성인터넷프로토콜 (IP) 을통해중앙일보사이트에집중적인접속이시작된시점은 4월 21일로, 북한이대규모대남규탄집회를열고일부언론사등에특별행동을감행하겠다고한시기와일치한다 방송 금융전산망해킹 (2013 년 ) KBS MBC YTN 및농협 신한은행등주요방송 금융기관의전산망에동시다발적으로악성코드가유포돼, 서버 PC ATM 등총 4만8748대기기의데이터가삭제되었다. 민 관 군합동대응팀은공격경로추적 분석결과북한정찰총국소행으로추정하였으며, 해당공격에서북한내부 IP가사용된점이확인되었고, 해커가접속흔적을제거하려고노력했지만남아있는원격터미널접속로그를통해이를확인했다고설명하였다 정부기관등해킹 (2013 년 ) 청와대 국무조정실등홈페이지와정당및중소언론기관등에서운영하는전산시스템에동시다발적인사이버공격이감행되었다. 해킹공격을위해사용한인터넷프로토콜 (IP) 에서북한이사용한 IP가발견되었고, 서버를다운시키기위해사용된방법, 이용된악성코드문자열등이위 3 20 해킹사건에서사용된방법과거의유사한점등에서북한의소행으로추정되었다

19 10. 한국수력원자력문서유출 (2014 년 ) 자칭 Who Am I, 일명원전반대그룹이라는해킹조직이 2014년 12 월 15일부터 2015년 1월 12일까지모두 6회에걸쳐한수원관련자료를공개하며원전가동을중단하라고협박하였다. 본격적인협박이전인 2014 년 12월 9일부터나흘간한수원직원 3,571명에게 5,986통의악성코드 ( 파괴형 ) 이메일을발송해 PC 디스크등의파괴를시도하기도했으나, 공격을받은 PC 중한수원 PC 8대만감염되고, 그중 5대의하드디스크가초기화되는정도에그쳐원전운용이나안전에는이상이없었다. 특정권한을가진내부자가결탁되면아무리강력한기술적보호조치가있다해도해킹을막을수없다는사실을잘보여준사례이다. 11. 청와대사칭이메일발송 (2016 년 ) 청와대국가안보실등정부기관을사칭해 759명에게북한의 4차핵실험에대한의견을수렴하는내용의이메일을발송한사건으로, 이에는악성코드가포함되어있었다. 이메일발신지가위한수원문서유출사건과동일한중국랴오닝성소재 IP 주소지와일치하고, 악성코드간유사점등을근거로북한의소행으로추정되었다. 제 2 절진화하는북한의사이버공격위험 1. 북한의사이버공격의전략적특징 북한의사이버공격은정보기술연결에취약한다른우월한적들에

20 대한비대칭전력으로서의성격을가진다. 따라서즉각적인무력대응을유발할가능성도낮다. 북한이출처라는사실이밝혀질즈음이면이미사이버공격의흔적은사라질수밖에없다. 최근북한의대남도발양상은중국공산당의군사교리를모방한점혈전략 ( 點穴戰略 ) 인데, 인간으로치면인체의급소가되는 점 을공략해상대방을무력화시키는전략이다. 가장많이적용되고있는분야는역시사이버전이라할수있다. 정보시스템의약점과급소부위의혈을눌러전체를마비시킴으로써최대의효과를추구하는것이다. 북한의사이버공격은핵, 미사일과함께 3대보검전략의하나이기때문에김정은이북한의사이버부대창설과운영에깊이관여하고있다는점과사이버전이비대칭전력으로서필수불가결하다는인식을가지고있다는점및대남혁명전략의일환으로사이버공격을활용한다는점에유의할필요가있다. 김정은은 2013년 8월군간부에게 사이버공격은핵, 미사일과함께우리군의만능의보검 이라며사이버공격능력강화를주문했고, 2014년에는정찰총국산하 121국을방문해 적들의사이버거점을일순간에장악하고무력화할준비를갖추라 고지시했다. 이지시에따라인민군과노동당산하기관들은 사이버충성경쟁 에돌입해경쟁적으로사이버조직을만들고사이버전사들을확충하는데주력하고있는것으로파악됐다. 2. 북한의사이버전력 북한의사이버전능력은세계최고수준인미국에버금간다는평가를받고있다. 1990년대부터사이버전역량을축적해왔고, 경제난으로재래식전력증강에어려움을겪자적은비용으로큰효과를낼수있는사이버전력강화에박차를가했다. 2003년이라크전쟁당시미국이지휘통제자동화시스템을통해소수인력으로이라크군전체를무력화시키자, 북한은더심혈을기울여사이버전능력배양에집중하고있는것으로알려지고

21 있다. 북한의사이버공격은상당히세분화된조직들에의해체계적으로이뤄지고있다. 가장주도적인조직은정찰총국산하다양한작전국들이다. 육 해상정찰국, 해외정보국 ( 구 35실 ), 기술정찰국등이있다. 또별도조직으로사이버전지도국 (121국), 11군단이있다. 총참모부내사이버전담부서, 노동당내통일전선부와문화교류국은다양한사이버심리전을병행한다. 이들은주요대상국인미국과한국의인터넷이상당히발달돼많은정보가있다는특징을악용해저비용고효율인사이버집중공격을벌이고있다. 121국은주중선양, 베이징등에위치한무역회사로위장해사이버공격을감행하고있다. 11군단에는 10개직할여단 4만여명의후방테러, 게릴라전수행가능인력이있고, 문화교류국은수백개의간첩망을확보하고있는것으로알려졌다. 북한에서사이버공격을담당하는인원이점점증가해현재 6,800 여명에이르는것으로알려졌다. 자유민주연구원의분석결과에따르면북한의사이버공격담당인력중단순기술인력이아닌실제작전에투입되는정예요원만 1,700 여명에달한다. 고급인력을사이버공격쪽으로더투입하다보니점점더고강도의공격이시도되고있다. 또북한은 공격전용네트워크 를인터넷에서분리구축하고있는것으로나타났다. 이에따라북한의사이버전에대한의지는러시아에이어중국 미국과같은 2위이며, 공격능력은 6위, 사이버정보평가능력은 7위로평가되고있다. 11) 제 3 절사이버테러와국가위기관리의상관관계 1. 국가위기관리의개념 11) 아시아경제 2016 년 6 월 26 일자 사이버공격, 핵 미사일등과 3 대전쟁수단 김정은, 사이버전사육성직접지시 기사참조

22 위기 (crisis) 라는단어는사전의일반적의미외에접근방식에따라다양한정의가존재하고있다. 웹스터사전 (Webster s New Dictionary of Synonyms) 에의하면위기는 더좋게되거나더나쁘게되는갈림길 이라고정의하였고, 위기를 중요한변화가절박하게요구되는불완전한상태이거나혹은하나의사건또는행동과정이계속진행되어야하는지아니면수정또는종결되어야하는지의여부가결정되는순간으로의전환점 으로정의하기도한다. 그러나일반적으로위기라는단어는 위험한고비나시기 라는의미로나쁜상황을초래할수있는위급한상황을가리키는경우가더많다. 실제로위기라는단어는태풍 폭설 홍수등의자연재해, 폭발 교통사고 붕괴등인적 기술적재난, 테러리스트들의공격, 북한및외교관계의실패, 각종정책의실패, 기업 가계 국가의경제적어려움, 범죄 질병의확산, 각종스캔들등다양한상황에서포괄적인위험상황을의미하곤한다. 12) 국가위기관리기본지침 에서는위기를 내재된위험이표출되어조직의핵심요소나가치, 존립에중대한위해가가해질가능성이있거나가해지고있는상태 로정의하고이에따른국가위기의영역을전통적안보, 재난, 국가핵심기반분야로구분하여 33개의위기유형을선정하였다. 전통적안보 (Conventional Security) 위기는통일, 외교, 군사등의분야에서전쟁이나외침등에의해영토와주권이위협받을수있는국가위기로우리나라의경우는북한으로부터의위기와주변국등외부로부터의위기로구분할수있다. 재난 (Disaster) 위기는전쟁이나외침의우려가없는대내적위기이지만국민의생명과재산및건강을심각하게손상시키거나파괴할수있는국가위기이다. 핵심기반 (Critical Infrastructure) 위기는국가의운용기반으로서정치 경제 사회 문화의생명력의기반이되는핵심기반시설, 시스템, 기능가치를위협하는국가위기이다. 12) 장기범, 국가종합위기관리 ( 법문사 ), 2009, p

23 < 표 1> 국가위기관리표준매뉴얼상 33 개위기유형 구분전통적안보 (13) 재난 (11) 국가핵심기반 (9) 위기유형서해 NLL 우발사태, 대통령권한공백, 재외국민보호, 소요 폭동, 파병부대, 우발사태, 테러, 비군사적해상분쟁등풍수해, 지진, 산불, 고속철도대형사고, 다중밀집시설대형사고, 대규모환경오염, 화학물질유출사고, 지하철대형사고, 공동구화재사고, 전염병, 가축질병사이버안전, 전력, 원유수급, 원전안전, 금융전산, 육상화물운송, 식 용 수, 보건의료, 정보통신 출처 : 장기범, 국가종합위기관리 ( 법문사 ), 2009, p.24. 위기관리에대해서는그적용범위에따라그개념이다양하나국가적차원으로보았을때, 위기관리는재난관리에서관리의대상인자연재난과인위적재난같은재난위험뿐만아니라, 전쟁이나테러등안보의위협도고려해야하는폭넓은개념으로인식된다. 국가적차원의위기관리는 위기로부터국민의생명과재산을보호해주고위험을극복하기위한사업계획을집행하는일상화된과정 으로정의할수있고, 우리나라의국가위기관리기본지침 ( 대통령훈령제124호 ) 에서는국가위기관리를 국가위기를사전에예방하고발생에대비하며위기발생시에는효과적인대응및복구를통하여그피해와영향을최소화함으로써조기에위기이전상태로복귀시키고자하는제반활동 으로정의하고있다. 13) 이러한국가위기관리의정의는다음과같은요소로구성된다. 첫째, 국가위기관리의주체는국가로서중앙행정기관은물론각급지방자치단체등의위기관리주관기관, 유관기관, 실무기관을포함한다. 그리고국가위기관리에있어서국가는민간부문의기업과시민사회단체와의거버넌스구축을통해협력적연계활동을전개한다. 13) 장기범, 국가종합위기관리 ( 법문사 ), 2009, pp

24 둘째, 국가위기관리효과성확보를위하여국가위기를사전에발생하지않도록예방하고대비하며위기발생시신속하고효율적으로대응하고복귀함으로써피해를최소화, 회복시키는것을목표로설정한다. 셋째, 국가위기관리를위한자원으로는인적자원과물적자원, 그리고정보자원 문화자원등국가내 외부에서가용한무형자원들을모두의미한다. 넷째, 국가위기관리를위해국가는각급조직들로하여금수준별, 기능별, 지역별특성에맞는계획을수립하게할수있다. 다섯째, 국가위기관리의조직화는국가위기관리의집행계획을구체적으로추진하기위하여권위의배분과작업의분할을통하여업무수행이잘조정되도록공식기구를설치 조정 개편할수있다. 여섯째, 국가위기관리의효율성확보를위해국가는각급기관및조직의성과를측정하고평가함으로써통제할수있다. 2. 국가기반시설에대한사이버테러위협 경제협력개발기구가 (OECD) 2011년발간한 글로벌미래쇼크 보고서에따르면지구인의미래를위협할다섯가지의글로벌쇼크 14) 중하나가중요한기반시설에대한사이버공격이다. 그리고시장조사업체인가트너 (Gartner) 는 가까운장래에 G20국가의주요핵심인프라는온라인공격으로파괴되고피해를입을것 이라는예측을내놓았고, 저명한독일의사회학자울리히벡 (Ulich Beck) 도 현대사회는위험사회 (Risk Society) 로, 위험은단순한재앙이아닌예견된잠재적위험이며급속한과학기술발전, 산업화등에주로기인한다. 고경고했다. 현대사회는발달된정보통신기술로인해전세계전산망이서로연결돼있어 디도스 (DDos) 공격과같은사이버테러에취약하고사이버테러 14) 글로벌경제에있어파괴적인쇼크 ( 충격 ) 가앞으로좀더빈번해지고, 더큰경제적이고사회적인어려움을가져올수있다며그요인으로전염병대유행, 중요한기반시설에대한사이버공격, 금융위기, 지구자기장폭풍, 사회 경제적인불안을꼽았다

25 는자칫잘못대응할경우전산망마비등과같은치명적피해를입게되는데, 지난 2007년개봉한영화 다이하드 4.0 에서는고도의해킹기술을이용해교통, 통신, 금융등기반시설을송두리째마비시켜사회를혼란에빠지게만드는사이버테러를현실감있게보여주고있다. 최근사이버테러의양상이과거단순해킹이나경제적이득을위한사이버공격에서공공기관이나국가기반시설등에대한타겟형공격으로변화되어가고있는데, 2010년이란부셰르 (Bushehr) 원자력발전소에서발생한사이버테러가대표적인예라고할수있다. 이란부셰르원자력발전소시스템에 스턱스넷 (Stuxnet) 15) 이라는악성바이러스가침투해우라늄농축프로그램을교란시켜원심분리기 1,000 여대를고장냈다. 이바이러스는부셰르핵발전소가동을앞두고시설준공을맡은러시아전문가의 USB메모리를통해감염됐다고한다. 이를두고보안전문가들은 스턱스넷 (Stuxnet) 이이란핵발전소를겨냥해국가차원에서만들어진고도의사이버무기가틀림없다고분석했으나, 그배후에대해서는사이버테러의특성상추정만할뿐정확하게밝혀진사실이없어사이버테러가국가차원의전략무기가될수있음을잘보여준다. 사이버테러에의한피해규모는아래 < 표 2> 와같이자연 ( 인재 ) 재해규모를능가하고국가 공공기관및민간기관에대한공격뿐만아니라, 교통, 전기, 수도, 발전소, 공장생산시설과같은국가기반의제어시스템 (PCS, Process Control System) 을감염시켜오작동을유발하게하는등심각한피해를발생시킨다. 실제국내에서 2009년도에발생한 7 7 DDos 공격 으로입은피해는현대경제연구원추산으로최소 363억원에서최대 544억원에이를것으로분석되었는데, 이는국내연간풍수해피해액과맞먹는수준이다. 15) 국가주요기반시설을공격하는신종악성코드로, 독일지멘스사의산업자동화제어시스템을공격목표로제작되어바이러스코드안에 Stuxnet 으로시작하는파일이름이많아서 스턱스넷 으로불리게되었다

26 < 표 2> 사이버테러피해규모 사이버테러 인재및자연재해 구분 1 23 인터넷 에스토니아 대구 지하철 강원도양양산 연간풍수해 대란 (2003 년 ) (2007 년 ) 화재 (2003 년 ) 불 (2005 년 ) (2008 년 ) 피해액 10억달러 ( 전 세계 ) 수천만 러 달 614 억원 230 억원 579 억원 출처 : 이완석, 주요정보통신기반시설사이버위협및대응, 한국인터넷진흥원 (2010) 따라서사이버테러는피해발생시경제적인피해뿐만아니라국가 기반시설의마비등과같은국가적재난으로이어질수있기때문에국가 위기관리의측면에서논의되어야할필요성이있다. 제 4 장국내사이버테러대응체계 제 1 절사이버테러대응법체계 1. 형법상사이버테러관련처벌규정 형법상구성요건을검토해보면정보통신망교란 파괴및사이버전쟁과관련하여사이버상의행위에적용될수있는구성요건은 손상 은닉 기타방법으로효용해함, 손괴 불통 기타방법으로방해, 전복 매몰 추락 파괴, 손괴 허위정보입력 부정명령입력 기타방법으로정보처리에장애를발생, 허위정보입력 부정명령입력 무권한정보입력 변경하여정보처리를하게함 등으로분류할수있다. 이러한구성요건은사이버공간상에서이루어져많은피해양상을나타낼수도있는데, 이행위로인하여국가기관의기능을

27 정지하게하거나 ( 형법제87조 ), 교량을손괴또는불통하게하거나기타방법으로교통을방해 ( 형법제185조 ), 손괴하거나기타방법으로자동차 선박또는항공기등의교통방해 ( 형법제186조 ), 자동차 항공기등을전복 매몰 추락 파괴 ( 형법제187조 ), 컴퓨터등정보처리장치또는전자기록등특수매체기록을손괴하거나정보처리장치에허위의정보또는부정한명령을입력하거나기타방법으로정보처리장치에장애를발생하게하여사람의업무방해 ( 형법제314조제2항 ), 전자기록등특수매체기록을취거 은닉또는손괴하여타인의권리행사방해 ( 형법제323조 ), 전자기록등특수매체기록을손괴또는은닉기타방법으로기효용을해함 ( 형법제366조 ) 등이있다. 이러한행위태양은국가적법익, 사회적법익, 개인적법익을침해하는경우로나눌수있다. 이처럼형법상에서는주요정보통신망을교란및손괴하여주요기반시설을파괴하거나장애를발생하는등의행위유형을구성요건화하고있지만이를사이버공간상에서명확하게적용할수있는법규로는공무소사용서류또는전자기록및특수매체기록을손상 은닉 기타방법으로효용을해함 ( 형법제141조제1항 ), 컴퓨터등정보처리장치또는전자기록등특수매체기록을손괴하거나정보처리장치에허위의정보또는부정한명령을입력하거나기타방법으로정보처리에장애를발생하게하여사람의업무를방해 ( 형법제314조제2항 ), 전자기록등특수매체기록을취거 은닉또는손괴하여타인의권리행사를방해 ( 형법제323조 ), 컴퓨터등정보처리장치에허위의정보또는부정한명령을입력하거나권한없이정보를입력 변경하여정보처리를하게함으로써재산상이익취득하거나제3 자로취득 ( 형법제347조의2), 전자기록등특수매체기록을손괴또는은닉기타방법으로기효용을해함 ( 형법제366조 ) 등의구성요건에불과하다. 이가운데형법상정보통신망교란및파괴와관련된직접적인조항은형법제141조제1항, 형법제366조뿐이다. 또한사이버공간상에서국가의의사와관계없이외국과전투행위를벌이고이것이무력에의한조직적공격이라면외국사전행위 ( 형법제111 조 ) 가성립될수있으며, 사이버테러또는사이버전쟁을위하여특정 다수인

28 이계속적인의사연락하에단체를조직하거나이에가입하였다면범죄단체조직 가입죄 ( 형법제114조 ) 가성립될수있다. 이러한사이버상의테러나전투를침해주체로유형분류하면국가적침해내지조직적침해로구분할수있다. 16) 2. 특별법상사이버테러관련주요처벌규정분석 가. 정보통신기반보호법 1) 개요 정보통신기반보호법은전자적침해행위에대비하여주요정보통신기반시설의보호에관한대책을수립 시행함으로써동시설을안정적으로운용하도록하여국가의안전과국민생활의안정을보장하는것을목적으로한다 ( 동법제1조 ). 이법에서의 정보통신기반시설 이라함은국가안전보장 행정 국방 치안 금융 통신 운송 에너지등의업무와관련된전자적제어 관리시스템및정보통신망이용촉진및정보보호등에관한법률제2조제1항제1호의규정에의한정보통신망을말하며, 전자적침해행위 라함은정보통신기반시설을대상으로해킹, 컴퓨터바이러스, 논리 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신기반시설을공격하는행위이며, 여기서의 침해사고 란전자적침해행위로인하여발생한사태를말한다 ( 동법제2조 ). 정보통신기반보호법은주요정보통신기반시설의보호에관한심의를위하여국무총리소속하에정보통신기반보호위원회를두고있으며 ( 동법제3조 ), 주요정보통신기반시설의보호및침해사고에대응하기위하여벌칙조항을 16) 윤해성, 사이버침해유형에관한형사법적검토, 법무연구제 2 권, 대한법무사협회법제연구소, 2011, pp

29 마련하고있다. 2) 행위유형과법정형 정보통신기반보호법의벌칙조항을통하여사이버침해에대한행위유형을도출해보면, i) 접근권한을가지지아니하는자가주요정보통신기반시설에접근하거나접근권한을가진자가그권한을초과하여저장된데이터를조작 파괴 은닉또는유출하는행위, ii) 주요정보통신기반시설에대하여데이터를파괴하거나주요정보통신시설의운영을방해할목적으로컴퓨터바이러스 논리폭탄등의프로그램을투입하는행위, iii) 주요정보통신기반시설의운영을방해할목적으로일시에대량의신호를보내거나부정한명령을처리하도록하는등의방법으로정보처리에오류를발생하게하는행위등이있다 ( 동법제 12 조참조 ). 이러한행위유형은주요정보통신기반시설을교란 마비또는파괴한자에대하여 10 년이하의징역또는 1 억원이하의벌금에처하고있으며 ( 동법제 28 조제 1 항 ), 미수범도처벌하고있다 ( 동법제 28 조제 2 항 ). 3) 검토 정보통신기반보호법에서 전자적침해행위 라고하여정보통신기반시설을대상으로해킹, 컴퓨터바이러스, 논리 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신기반시설을공격하는행위라고정의하고있는데, 벌칙조항을검토해보면 i) 의경우, 주요정보통신기반시설에접근권한을가지지아니하는자 ( 무권한자 ) 와접근권한을가진자 ( 권한자 ) 가권한을초과하여저장된데이터를조작 파괴 은닉또는유출하는행위이다. 무권한자 ( 외부자 ) 와권한자 ( 내부자 ) 로구분하며, 이들이데이터를조작 파괴 은닉또는유출하여정보통신기반시설을교란 마비또는파괴하는행위에대하여

30 처벌하고있다. 외부자에의한대표적인것이해킹행위이며, 내부자에의한대표적인것이조작 파괴 은닉또는유출이다. 양자모두주요정보통신기반시설의데이터를조작 파괴 은닉또는유출하려고행하였다면고의범이다. ii) 의경우컴퓨터바이러스 논리폭탄등의프로그램을투입하는행위이고, 이때데이터를파괴하거나운영을방해할목적으로행하였다면목적범이다. iii) 의경우, 일시에대향의신호를보내거나부정한명령을처리하도록하여정보처리에오류를발생하는행위이고, 이때운영을방해할목적으로행하였다면목적범이다. 따라서이를정리해보면정보통신기반보호법에서말하는전자적침해행위의정의속에해킹은 i) 의행위이고, 컴퓨터바이러스및논리 메일폭탄은 ii) 의행위이며, 서비스거부또는고출력전자기파등은 iii) 의행위로대칭될수있으며, 해킹은 고의 가존재해야하고, 그밖에사이버공격에대해서는초과주관적구성요건인 목적 을요하고있다. 그러나법정형은동일하게규정되어있는것을알수있다. 나. 정보통신망이용촉진및정보보호등에관한법률 1) 개요 동법은정보통신망의이용을촉진하고정보통신서비스를이용하는자의개인정보를보호함과아울러정보통신망을건전하고안전하게이용할수있는환경을조성하여국민생활의향상과공공복리의증진에이바지함을목적으로한다 ( 동법제1조 ). 이법에서의 정보통신망 이란전기통신사업법제2조제2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집, 가공, 저장, 검색, 송신또는수신하는정보통신체제를말하며, 개인정보 란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호

31 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다. 그리고 침해사고 란해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태를말한다 ( 동법제2조 ) 고규정하고있다. 2) 행위유형과법정형 정보통신기반보호법의벌칙조항을통하여사이버침해에대한행위유형을도출해보면, i) 사람을비방할목적으로정보통신망을통하여공공연하게사실을드러내어다른사람의명예를훼손한행위에대해서는 3 년이하의징역이나금고또는 2 천만원이하의벌금에처하고있으며 ( 동법제 70 조제 1 항 ), 사람을비방할목적으로정보통신망을통하여공공연하게거짓의사실을드러내어다른사람의명예를훼손한행위에대해서는 7 년이하의징역, 10 년이하의자격정지또는 5 천만원이하의벌금에처하고있다 ( 동법제 70 조제 2 항참조 ). ii) 개인정보의수집 이용에있어이용자의동의를받지아니하고개인정보를수집한행위 ( 동법제 7 조제 1 호 ), 이용자의동의를받지아니하고개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보를수집한행위 ( 동법제 71 조제 2 호 ), 개인정보를이용하거나제 3 자에게제공한자및그사정을알면서도영리또는부정한목적으로개인정보를제공받은행위 ( 동법제 71 조제 3 호 ), 이용자의동의를받지아니하고개인정보취급위탁을한행위 ( 동법제 71 조제 4 호 ), 이용자의개인정보를취급하고있거나취급하였던자가이용자의개인정보를훼손 침해또는누설하는행위 ( 동법제 71 조제 5 호 ), 개인정보가누설된사정을알면서도영리또는부정한목적으로개인정보를제공받은행위 ( 동법제 71 조제 6 호 ),

32 정보통신서비스제공자등은오류정정의요구를받으면지체없이오류를정정하거나정정하지못하는사유를이용자에게알려야하는데, 이를위반하여필요한조치를하지아니하고개인정보를제공하거나이용한행위 ( 동법제 71 조제 7 호 ), 법정대리인의동의를받지아니하고만 14 세미만인아동의개인정보를수집하는행위 ( 동법제 71 조제 8 호 ), 정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나그운용을방해할수있는악성프로그램을전달또는유포하는행위 ( 동법제 71 조제 9 호 ), 정보통신망의안정적운영을방해할목적으로대량의신호또는데이터를보내거나부정한명령을처리하도록하는등의방법으로정보통신망에장애를발생하게하는행위 ( 동법제 71 조제 10) 호, 정보통신망에의하여처리 보관또는전송되는타인의정보를훼손하거나타인의비민을침해 도용또는누설하는행위등은 5 년이하의징역또는 5 천만원이하의벌금에처하고있다 ( 동법제 71 조제 11 호 ). iii) 정당한접근권한없이또는허용된접근권한을넘어정보통신망에침입하는행위와미수범은처벌하며 ( 동법제 72 조제 1 항제 1 호, 제 2 항 ), 기망하여다른사람의정보를수집하거나다른사람이정보를제공하도록유인하여다른사람의개인정보를수집하는행위 ( 동법제 72 조제 1 항제 2 호 ), 직무상알게된비밀을타인에게누설하거나직무외의목적으로사용하는행위 ( 동법제 72 조제 1 항제 5 호 ) 등은 3 년이하의징역또는 3 천만원이하의벌금에처하고있다 ( 동법제 72 조참조 ) iv) 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 변조또는훼손을방지하기위하여개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치 운영, 접속기록의위조 변조방지를위한조치, 개인정보를안전하게저장 전송할수있는암호화기술등을이용한보안조치, 백신소프트웨어의설치 운영등컴퓨터바이러스에의한침해방지조치등기술적 관리적조치를하여야하는데, 이에따른기술적 관리적조치를하지아니하여이용자의개인정보를분실 도난 누출 변조또는훼손하는행위 ( 동법제 73 조제 1 호 ), 청소년유

33 해매체물임을표시하지아니하고영리를목적으로제공하거나 ( 동법제 73 조제 2 호 ), 청소년유해매체물을광고하는내용의정보를청소년에게전송하거나청소년접근을제한하는조치없이공개적으로전시하는행위 ( 동법제 73 조제 3 호 ), 방송통신위원회는침해사고의원인을분석하기위하여필요하다고인정하면정보통신서비스제공자와집적정보통신시설사업자에게정보통신망의접속기록등관련자료의보전을명할수있는데이에따른명령을위반하여관련자료를보전하지아니한행위 ( 동법제 73 조제 4 호및제 5 호 ), 정보통신망을통하여속이는행위로다른사람의정보를수집하거나다른사람이정보를제공하도록유인하여서는아니되는데, 이를위반하고개인정보의제공을유인하는행위 ( 동법제 73 조참조 ) v) 정보통신망을통하여음란한부호 문언 음향 화상또는영상을배포 판매 임대하거나공공연하게전시하는내용의정보를유통하는행위 ( 동법제 74 조제 1 항제 2 호 ), 공포심이나불안감을유발하는부호 문언 음향 화상또는영상을반복적으로상대방에게도달하게하는행위이며, 이행위는피해자가구체적으로밝힌의사에반하여공소를제기할수없다 ( 동법제 74 조제 1 항제 3 호및제 2 항 ). 또한인터넷홈페이지운영자또는관리자의사전동의없이인터넷홈페이지에서자동으로전자우편주소를수집하는프로그램이나그밖의기술적장치를이용하여전자우편주소를수집 판매 유통하거나정보전송에이용하는행위 ( 동법제 74 조제 1 항제 5 호 ), 불법행위를위한광고성정보전송금지행위 ( 동법제 74 조제 1 항제 6 호 ) 등에대해서 1 년이하의징역또는 1 천만원이하의벌금에처하고있다 ( 동법제 74 조참조 ) 3) 검토 동법에서는 개인정보 를보호하고정보통신망을보호하기위한여러 가지의대책을담고있다. 개인정보와관련해서는사람을비방할목적으로

34 정보통신망을이용하여진실한사실및허위의사실을통하여명예를훼손하는행위에대하여처벌하고있으며, 형법과달리반의사불법죄로규정하고있다. 또한부정한방법으로개인정보를수집하거나 ( 동법제 71 조제 1 호, 제 2 호, 제 8 호, 제 72 조제 1 항제 2 호 ), 그사정을알면서도영리또는부정한목적으로개인정보를제공받거나 ( 동법제 71 조제 3 호, 제 6 호 ) 제공한행위 ( 동법제 71 조제 7 호, 제 73 조제 2 호 ), 제공을유인하는행위 ( 동법제 73 조제 7 호 ) 가있다. 그리고타인 ( 이용자 ) 의개인정보를훼손 ( 도용 ) 침해또는누설하는행위 ( 동법제 71 조제 5 호및제 11 호, 동법제 72 조제 1 항제 5 호 ) 와개인정보를분실 도난 누출 변조또는훼손하는행위 ( 동법제 73 조제 1 호 ) 가있으며, 유해정보및전자우편주소, 광고성정보등을전송또는공개적으로전시하는행위 ( 동법제 73 조제 3 호, 제 74 조제 1 항제 1 호및제 5 호, 제 6 호 ) 를규제하는규정이있다. 침해사고 에대해서는해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태라고정의하고있다 ( 동법제 2 조제 1 항제 7 호 ). 벌칙조항가운데이와관련된규정을검토해보면, i) 정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나그운용을방해할수있는악성프로그램을전달또는유포하는행위 ( 동법제 71 조제 9 호 ), ii) 정보통신망의안정적운영을방해할목적으로대량의신호또는데이터를보내거나부정한명령을처리하도록하는등의방법으로정보통신망에장애를발생하게하는행위 ( 동법제 71 조제 10 호 ), iii) 정당한접근권한없이또는허용된접근권한을넘어정보통신망에침입하는행위가있으며이때미수범은처벌규정이있다 ( 동법제 72 조제 1 항제 1 호, 제 2 항 ). 따라서이를검토해보면정보통신망이용촉진및정보보호등에관한법률에서말하는 침해사고 의정의속에해킹은 iii) 의행위로대칭될수있고, 해킹은 고의 가존재해야하며, 동법에의하면미수범은처벌하게된다. 그리고컴퓨터바이러스, 논리폭탄, 메일폭탄은 i) 의행위이며, 서비스거

35 부또는고출력전자기파등의방법으로정보통신망또는정보시스템을공격하는행위는 ii) 의행위로대칭할수있다. 그러나법정형은동일하게규정되어있지않은것을알수있다. 따라서이법에의하면해킹은미수범규정이있음에도가장적은법정형으로규정되어있는반면, 악성프로그램전달 유포와정보통신망에장애를발생한행위는높게처벌하고있는것을알수있다. 다. 사이버테러관련특별법규정검토 특별법상의처벌규정은정보통신망보호 ( 국가의안전, 국민경제의발전및생활안전보장포함 ) 관련규제와개인정보보호관련규제, 그리고양자모두규제하는법률로분류할수있다. 먼저정보통신망보호관련특별법으로는 정보통신기반보호법, 그리고정보통신망보호와개인정보보호관련특별법으로는 정보통신망이용촉진및정보보호등에관한법률 등이있다. 행위유형가운데정보통신망보호와관련하여정보통신망보호와관련하여정보통신망교란및파괴등의행위로는 접근권한을가지지아니하는자가주요정보통신기반시설에접근하거나접근권한을가진자가그권한을초과하여저장된데이터를조작 파괴 은닉또는유출하는행위 ( 해킹행위 ), 주요정보통신기반시설에대하여데이터를파괴하거나주요정보통신시설의운영을방해할목적으로컴퓨터바이러스 논리폭탄등의프로그램을투입하는행위, 주요정보통신기반시설의운영을방해할목적으로일시에대량의신호를보내거나부정한명령을처리하도록하는등의방법으로정보처리에오류를발생하게하는행위 ( 서비스거부또는고출력전자기파 ), 정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나그운용을방해할수있는악성프로그램을전달도는유포하는행위 ( 컴퓨터바이러스, 논리폭탄, 메일폭탄 ), 정보통신망의안정적운영을방해할

36 목적으로대량의신호또는데이터를보내거나부정한명령을처리하도록하는등의방법으로정보통신망에장애를발생하게하는행위 ( 서비스거부또는고출력전자기파등의방법으로정보통신망또는정보시스템을공격 ), 정당한접근권한없이또는허용된접근권한을넘어정보통신망에침입하는행위 ( 해킹 ), 신용정보전산시스템의정보를변경 삭제하거나그밖의방법으로이용할수없게하거나권한없이신용정보를검색 복제하거나그밖의방법으로이용한행위 등이있다. 주관적구성요건과관련하여보면해킹의경우고의를, 컴퓨터바이러스, 논리 메일폭탄과서비스거부또는전자기파등은목적으로요구하는법규정형식을볼수있었다. 특히목적과관련해서보면 주요정보통신기반시설에대하여데이터를파괴하거나주요정보통신시설의운영을방해할목적, 주요정보통신기반시설의운영을방해할목적, 외국에서사용하거나사용되게할목적, 행정정보의처리업무를방해할목적, 공공기관의개인정보처리업무를방해할목적, 정보통신망의안정적운영을방해할목적 등이있다. 특별법상에나타난각각의개념을정보통신망과관련하여살펴보면, 정보통신기반시설 이라함은국가안전보장 행정 국방 치안 금융 통신 운송 에너지등의업무와관련된전자적제어 관리시스템및정보통신망이용촉진및정보보호등에관한법률제2조제1항제1호의규정에의한정보통신망을말하며, 전자적침해행위 라함은정보통신기반시설을대상으로해킹, 컴퓨터바이러스, 논리 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신기반시설을공격하는행위이며, 여기서의 침해사고 란해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태를말한다 ( 정보통신망이용촉진및정보보호등에관한법률제2조 ). 정보통신망 이란전기통신기본법제2조제2호에따른전기통신설비를활용하거나전기통신설비와컴퓨터및컴퓨터이용기술을활용하여정보를수집 가공 검색 송신또는수신하는정보통신체제를말하며, 정보시스

37 템 이란정보의수집 가공 저장 검색 송신 수신및그활용과관련되는기기와 소프트웨어의조직화된체계를말한다 ( 동법제 2 조 ). 라. 소결 한국의경우, 사이버테러범죄의역기능에대처하기위한방안으로각부처별로상황에따라필요할때마다특별법을제정하는방법을선택했다. 17) 그이유는그간정책입안자및입법자가사회현실의변화에따라새로이등장하는범죄현상에대해충분한형법이론적 형사정책적고민없이진압위주의강경한법정책기조위에임기응변식으로손쉽게법을만들어적용해온데에있다. 18) 이러한정부의대처방법은각법률간형벌의불균형, 법체계상의문제, 다수의유사한규정이여러법률에산재되어있는문제점등을야기하였다. 19) 실무적으로는해킹, 디도스, 피싱, 악성프로그램유포와관련된범죄는모두정보통신망법, 정보통신기반보호법으로처벌하고있으므로, 사이버테러와관련하여특별법을제정할경우에는오프라인범죄체계와균형, 첨단기술의특성을고려한법절차적조항신설, 온라인서비스제공자의책임조항신설, ISP에대한정보통신망에대한기술적대응장치의무화, 보호관찰 사회봉사명령 수강명령제도도입등을고려해야할것이다. 20) 아울러보호법익과법정형및용어에있어기존형벌법규와의체계성을잃지않는선에서법제를마련하는것이중요하다. 21) 제 2 절국가사이버안전관리체계 17) 유석준, 사이버범죄에대한외국의입법례, 영산법률논집제 5 권제 1 호, 2008, p.1. 18) 서보학, 인터넷상의정보유포와형사책임, 형사정책연구제 12 권제 3 호, 2001, p ) 유석준, 사이버범죄에대한외국의입법례, 영산법률논집제 5 권제 1 호, p.2. 20) 곽병선, 사이버범죄예방을위한법제도적해결방안 가칭 사이버범죄특별법 제정논의를중심으로, 법학연구제 24 집제 3 호, 원광대학교법학연구소, 2008, pp ) 강동범, 정보통신망법상사이버범죄처벌규정의검토, 인터넷법률제 39 호, 법무부, 2007, p

38 1. 사이버테러관련법적근거 사이버테러와관련하여한국은 2001년정보통신기반보호법이제정되면서정보통신기반시설 22) 에대한침해사고대응체계가처음으로구축되었고, 2001년초 ( 구 ) 한국정보보호진흥원 (KISA) 의인터넷침해사고대응지원센터와국가정보원의국가사이버안전센터, 국방부의정보전대응센터등사이버안전기관들을설립하여국가안보회의 (NSC) 중심의대비체계를마련하였다. 23) 이후 2004년국가기관해킹사건을계기로 2005년에국가사이버안전관리규정이대통령훈령으로제정되면서우리나라에사이버테러대응에관한규정이처음으로법제화되었다. 2006년당시 사이버위기예방및대응에관한법률안 이발의되었으나, 특정기관에대한과도한권한집중, 시민단체의반발, 부처간합의실패등의이유로입법화되지못하고국회회기종료와함께폐기되었다. 반면, 군의경우에는 2009년북한발 7.7 DDos 사건 등의영향으로 2010년 1월국회에서 국방정보화기반조성및국방정보자원관리에관한법률 을제정하였고, 국방정보본부에 사이버사령부 를신설하여정보사령부, 제777부대등과함께배속하는등입법화를완료하였다. 24) 2. 사이버테러대응체계 한국의국가사이버테러관련대응체계는한국인터넷진흥원의 인터 22) 정보통신기반보호법제 2 조제 1 호에의하면 국가안전보장 행정 금융 치안 통신 운송 에너지등의업무와관련된전자적제어 관리시스템및정보통신망이용촉진및정보보호등에관한법률제 2 조제 1 항제 1 호의규정에의한정보통신망을말한다. 고정의되어있다. 23) 윤해성, 강석구, 박영우, 김민호, 권헌영, 김도승, 김기범, 사이버안전체계구축에관한연구, 형사정책연구원연구총서 10-07, 2010, p ) 2010 국가정보화백서, 2010, p

39 넷침해대응센터 가민간분야를담당하고, 국가정보원소속의 국가사이버안전센터 가공공분야를담당하며, 국방정보본부산하의 사이버사령부 가군분야를담당하는민 관 군종합대응체계이다. 25) 이와별도로경찰청과대검찰청은사이버테러에대한범죄수사를전담하고있다. 경찰청사이버수사조직은 2000년수사국소속 사이버테러대응센터 로, 2014년에는 사이버안전국 으로확대되어오늘에이르고있다. 지방경찰청은 2000년에전국적으로사이버범죄수사대를창설하였고, 2007년에전국경찰서 1급지에사이버범죄수사팀을설치하여전국적인수사체제를구축하였다. 또한경찰청에서는중앙단위에별도의수사조직을운영하고있는데, 주로사이버테러대응, 국제공조수사를하고있고, 지방경찰청은개인정보유출, 음란 도박사이트단속등인지수사를하고있으며, 경찰서는인터넷사기, 사이버명예훼손, 디지털저작권침해, 음란물유포등을수사하고있다. 26) 3. 국가사이버안보마스터플랜 2011년에북한에의해정부기관및민간의홈페이지가마비 (3 4 디도스공격 ) 되고, 농협전산망이해킹을당해전산망이마비되는사건을경험하면서국가정보원을중심으로 국가사이버안보마스터플랜 을새롭게수립하게되었다. 마스터플랜에는각종사이버위협에총력대응할수있도록 국가사이버안전센터 를중심으로관계부처간협력공조와민간전문가참여를확대해나가는한편, 국정원의컨트롤타워기능과부처별역할을명확히하여기관간의업무혼선및중복을최소화하도록노력하였다. 사이버공간을영토 영공 영해에이어국가가수호할또하나의영역으로선언하고, 이를위해 5대분야 ( 예방, 탐지, 대응, 제도, 기반 ) 의중점전략과제를선정 25) 윤해성, 강석구, 박영우, 김민호, 권헌영, 김도승, 김기범, 사이버안전체계구축에관한연구, 형사정책연구원연구총서 10-07, 2010, p ) 윤해성, 강성구, 박영우, 김민호, 권헌영, 김도승, 김기범, 사이버안전체계구축에관한연구, 형사정책연구원연구총서 10-07, 2010, p

40 하였다. 4. 기능과역할재정립 사이버테러에관해서는정보통신망법, 정보보호기반보호법, 전자정부법, 국가사이버안전관리규정 ( 대통령령 ) 등다수의법률이규제하면서기관간임무가중첩되는경우가발생하기도한다. 따라서다양한기관이존재하고있음에도실제사이버위기가발생하였을경우각기관의책임과역할이불분명하다. 27) 특히사이버테러는정치 사회적동기가파악되어야하고, 사이버전은공격을감행하는국가가특정되어야하는데, 추적과조사를선행하지않고는알아낼수없다. 그러나경찰은범죄의의심이있다면국가적인문제인지, 사적인문제인지, 혹은테러공격인지, 금전적이익목적인지, 심지어국가정보를탈취하기위한것인지등에관계없이개입이정당화되기때문에사고대응에있어정당성을가질수있다. 28) 이에경찰은사건초기에적극적으로참여하여사실관계를정확히밝히는노력을하고, 밝혀진사실을유관부서에게적시에통보하여필요한조치를취할수있도록긴밀한협력체제를구축해야한다. 제 3 절사이버테러대응체계의문제점 1. 초기대응과다양한법규로인한대응체제혼선 가. 체계화된법률의부재 27) 김도승, 사이버위기대응을위한법적과제 : 미국의사이버위기대응체계현황과시사점을중심으로, 방송통신정책제 21 권제 17 호, 정보통신정책연구원, 2009, 참조 28) 이동희외, 국제사이버범죄아카데미모델개발, 경찰청, 2010, p

41 사이버테러의특징상발생초기에는개인인지, 조직인지, 국가인지확인이되지않는다. 따라서군이나정보기관이초기에나서는것은부담스럽다고한다. 이러한면모는 3 3 디도스공격, 7 7 디도스공격 이모두북한의소행이었어도군의수사가아닌수사기관이수사를진행해야한다는모순에직면한다. 당시언론에서는사이버사령부는북한의공격이있음에도역할을못하고있다는비난이있었다. 아울러이러한초기대응의문제점과관련하여현행사이버테러대응에관한법제는정보통신망법, 정보통신기반보호법, 국가사이버안전관리규정 ( 대통령훈령 ) 등에산재되어있는실정이다. 이러한체계하에서는정보통신망법은민간, 정보통신기반보호법은정보통신기반시설, 국가사이버안전관리규정은중앙행정기관, 지방자치단체및공공기관의정보통신망을관리대상으로규정하면서체계적인대응을어렵게하고있다. 또한국가사이버안전관리규정제3조에의하면 이훈령은중앙행정기관, 지방자치단체및공공기관의정보통신망에대하여이를적용한다. 단, 정보통신기반보호법제8조의규정에의하여지정된주요정보통신기반시설에대해서는적용하지아니한다. 고규정하고있다. 이러한한국의사이버테러대응체계는대통령훈령으로규정되어있어서유관부처간역할과책임이불분명하고구속력이약할뿐만아니라상위법률과충돌이발생하면서많은한계를드러내고있다. 나. 초기위협측정체계미흡 사이버공간의위협은시각적으로측정되지않고, 국가가민간시스템에접근하는것도어려워측정하는데어려움이있다. 또한각종법률에사이버공격및침해사고가발생하였을때국가정보원이나방송통신위원회등에신고하도록규정되어있으나, 이러한신고들이수사기관으로전달되지않고사장됨에따라사이버위협이제대로측정되고있지않다. 이러한침해

42 사고및사이버공격을접수하는부처에서예방조치만취함에따라위협상 황이제거되지못하고잠재되어있는실정이다. 다. 사이버공격초기귀속의한계 사이버공간에서는사이버공격의실체를확인하기어려워특정공격이어떤침해행위에속하는것인지를파악하기힘들다는문제점이존재한다. 29) 즉, 사건발생초기에는사이버테러주체가개인인지, 조직인지, 국가인지확인하는것이어렵다. 30) 따라서사이버테러의주체가적국으로확인되지않는상황에서군이나정보기관이나서는것은부담스러울수밖에없다. 반면수사기관은공격주체가누구이든상관없이개입할수있다는장점이있다. 실제 2009년 7 7 디도스공격 이나 2009년 3 3 디도스공격 역시모두북한의소행이었지만군또는정보기관이아니라수사기관이추적, 수사하여확정발표한사례를보면알수있다. 이러한점에비추어사이버테러대응에관한법령및종합대책에는국정원과방통위등의역할이중심적으로기술되어있을뿐, 수사기관의역할에대해구체적으로기술되어있지않다. 반면 2003년발표된미국의 사이버공간보안국가전략 (The Natioanl Strategy to Secure Cyberspace) 에의하면법집행기관과국가안보공동체는사이버스페이스의공격을예방하는데중요한역할을수행하는데, 법집행기관은형사법적권한을집행함으로써공격의귀속에중심역할을하는등법집행기관의역할을중요시하고있다. 31) 2. 정보기관과의협력및법집행기관의참여미흡의한계 29) 김기범, 장윤식, 사이버범죄수사론, 경찰대학, 2012, p ) 귀속이어려운이유는기술적인측면에서공격자의추적의어려움, 위장이나우회의용이함, 인터넷정보의신뢰성부족등이있고, 기술외적인문제로는국외정보추적의법적어려움이나자발적협조나획득의곤란성등이있다. 김기범, 장윤식, 사이버범죄수사론, 경찰대학, 2012, p ) 김기범, 장윤식, 사이버범죄수사론, 경찰대학, 2012, p

43 사이버테러의문제는결국사이버안전문제와직결된다. 그러나우리나라의경우정보기관이정책집행에참여하고있는데, 이는 i) 부처와정책경쟁발생, ii) 정보기관의특성상정보공유한계, iii) 정보기관활동의법률적근거미흡, iv) 국제협력역량의한계가지적될수있다. 따라서수사기관에범죄첩보제공등의원활한협력관계를구축하지않는한여러가지문제점과한계가지적될수밖에없다. 아울러외국의국가사이버범죄대응정책, 사이버안전정책등에서는법집행기관이중요한핵심포스트역할을수행하고있다. 하지만우리나라의사이버안보마스터플랜에서는경찰의역할이거의규정되어있지않다. 이러한문제점은자칫사이버안전대응에있어서추적 검거라는한축이사실상누락되어있기때문에입체적인대응체제에한계가있을수있다. 3. 공공 민간 군기능별대응체제로신속대응한계 사이버공격대상은국가 공공, 민간, 국방을가리지않는다. 사이버테러는영역을불문하고발생하고있으나기능별로대응하고있어서신속대응에한계가있다. 이에대하여컨트롤타워 (Control Tower) 에대한주장이제기되었고, 대통령실에비서관이신설되기도하였지만정책조정에는한계가있다. 별도의사이버안전청, 사이버보안청등과같은부서의신설도고려해야할것으로보인다. 아울러국가가정책을주도하면서민간은소극적참여자로전락하고있다. 민간스스로가주도적으로사이버테러를방지하고사이버안전을확보할수있는사회적동력이부족한실정이다. 오프라인범죄예방은주로경찰관과순찰차의몫이며, 법률로규제한다. 반면최근카카오톡 포스단말기 메신저피싱등과같은경우를보면, 온라인범죄예방은특정기업의시스템을개편함으로써즉시범죄예방의성과를낼수있다. 다시말해서사이버

44 테러는인터넷망위에서이루어지는것이고이러한망을관리하는기업이 나민간이협력해준다면많은부분사이버테러범죄예방이용이해질수 있다. 제 5 장독일의사이버테러대응체계 제 1 절독일에서이해하는사이버공간에서의사이버위협과사이버보안 독일은사이버전쟁, 사이버범죄또는사이버테러에대한새로운도전에직면해있는고도의네트워크화된사회이며, 이러한위협은사이버공간의존재로부터유래한다. 이러한위협들로부터의보호를위해서는사이버보안이핵심적역할을수행하는바, 독일에서이해되는이러한개념들에대한정의, 설명을알아보기로한다. 1. 사이버공간 사이버공간이라는개념은이미 1980년대윌리엄깁슨 (William Gibson) 의공상과학소설에서부터존재하였다. 이후로그개념은세계적인컴퓨터네트워크의결합으로생성된상호작용공간을칭하기위해저널리스트들이나학자들에게전수되었고, 오늘날에는매우광범위하게사용된다. 일반적으로독일에서는사이버공간이란 정보기술 (ICT, information and communication technology) 시스템, 네트워크그리고온 오프라인을불문하고이러한시스템이나네트워크에포함된정보 라고이해된다. 32) 정보기술은자신의능률적이고이용창출적인능력안에서지속적으로발전됨으로써거의모든기술적시스템이통합되고, 디지털화를가속화하는중 32) Tessier-Stall, The future of cybersecurity, The Hague Centre for Strategic Studies and TNO, 2011, p

45 요한요인이되는것을말한다. 33) 사이버공간이란정보를네트워크화된정보시스템에저장하거나교환하기위하여신호교환목적의전기및전자기적스펙트럼의이용으로특정되는영역을말한다. 여기서네트워크화된정보시스템은물리적인인프라를필요로한다. 네트워크는공공성을띄는지, 또는사적으로운용되는것인지를불문하고유리섬유나무선통신을통해구성되며, 이를통해형성되는사이버공간은전지구적상호작용공간이라고할수있다. 34) 2. 사이버위협 정보기술과통신기술을통해공공부문및사부문이용자들의사이버상호의존성이발생하며, 이러한기술의이용은전세계적으로증가되어왔고, 사회에서핵심적인의미를가지게되었다. 이를통해정보통신기술시스템은파괴를목표로하는사이버공격의매력적인목표물이될수밖에없다. 이러한시스템에대한사이버공격은사회의안전에심각한손해를끼칠수있기때문에, 사이버상호의존성에기반한취약한정보통신시스템은중대한위기로인식된다. 사이버상호의존성은향후더가속될것이며, 이에따라사이버공격또한증가할것으로전망된다. 사이버공격은국가적차원의대상뿐만아니라비국가적차원의대상또한목표로삼는다. 이러한공격이항상목표지향적인것은아니며, 그영향력은지속적으로확대될것으로전망된다. 35) 결과적으로사이버공격은그방법에있어서어떤목적을추구하고, 그공격을통해어떤작용을미칠것인가에따라달라지게될것이다. 사이버공격은이를실행하는그룹이나개인등의실행주체에따라그양상이달라지며사이버행동가, 사이버테러리스트, 사이버범죄또는해 33) Das Lage der IT-Sicherheit in Deutschland 2014, Bundesamt fur Sicherheit in der Informationstechnik, 2015, p.7. 34) Hansel, M, Interantioanle Beziehungen im Cyberspace. Macht, Institutionen und Wahrnehmung, 2013, p ) Das Lage der IT-Sicherheit in Deutschland 2014, Bundesamt fur Sicherheit in der Informationstechnik, 2015, p

46 외정보기관등이이와결부될수있다. 결과적으로사이버공격의내용과효과는개별사안에따라다양하게나타날수있으며, 기업들의경쟁력을장기적으로약화시키고이로써사회전체가악영향을받을수밖에없는 기업들에대한해외정보기관의사이버스파이 일수도있고, 또는전체사회에는별영향이없는것, 예를들자면사적인개인신용카드정보에관계된것일수도있다. 사이버공격이란 IT 안전을파괴하기위해하나또는많은다른 IT 시스템을목표로갖는사이버공간에서의 IT 공격이라고정의할수있다. 사이버스파이, 사이버범죄, 사이버사보타지, 사이버테러리즘그리고사이버전쟁은사이버공간에서심대한손해를초래할수있는사이버위협에속한다. 이에반해사이버행동주의와사이버반달리즘은그손해가능성이상대적으로낮다고볼수있다. 36) 사이버위협의종류는다음과같이분류할수있다. 가. 사이버범죄 사이버범죄는인터넷, 데이터네트워크, 정보기술시스템또는그데이터를목표로삼아, 이러한정보기술을통해행해지는범죄행위를말한다. 근래에는기업들을목표로삼는사이버범죄산업마저나타나고있는실정이다. 37) 2014년독일에서는 10개중 4개의기업이사이버범죄피해를입은것으로파악되며, 이러한해커공격들은조직적인범죄, 경쟁기업들, 그리고해외정보기관의소행이라고여겨진다. 38) 나. 사이버스파이 36) Kullik, J, Vernetzte (Un-)Sicherheit? Eine politisch-rechtliche Analyse der deutschen Cybersicherheitspolitik, 2014, pp ) Sievers, U, "BSI: Der Cyberraum ist ein großes Haifischbecken", 2013, Ingenieur.de 38) Corporate Trust Business Risk & Crisis Management GmbH, Studie: Industriespionage 2014, 2015, p

47 IT 시스템의신뢰성을타겟으로하는사이버공격이알려지지않은정보기관으로부터수행된경우, 이를사이버스파이또는사이버엿보기 (Cyber-Ausspähung) 라고한다. 2015년 6월독일연방의회에대한대규모사이버공격이감행되었으며, 이를통해상당히민감한정보들이유출되었다. 이사건조사과정중미디어에서는이것이러시아정보기관 FSB에의한사이버스파이인것으로보도하였는데, 미디어의이러한추정은아직까지공식적으로확인되지않고있으며, 공개적인증거또한없는상태이다. 사이버스파이는독일경제와매우밀접하게관련된문제이다. 이는독일산업의혁신적우위를위협하는결과를야기한다. 39) 선도적산업국인독일로서는산업의혁신성이라는가치를결코포기할수없는데. 이를통해성장, 복지그리고일자리를보장할수있기때문이다. 근래독일기업들은이미산업스파이로인해수백만유로의손실에시달리고있다. 40) 다. 사이버사보타지 IT 시스템의무결성과이용가능성에대한사이버공격을사이버사보타지라고하며, 이는취약인프라에대한공격과이를통해나타나는사회의심각한위험을전제로한다. 사이버스파이와사이버사보타지는대체로서로연관되어있으며, 테러리스트들이 IT 공격을범하기위해사용할가능성이있다. 41) 라. 사이버전쟁 39) Schnaas, D, Die Angst vor der Innovationsperipherie. Wirtschaftsspionage ganz neuer Qualitat gefahrdet den Vorsprung des Westens, Internationale Politik, 2014, p.8. 40) Heeg, T, Cyberkriminalitat. Deutsche Firmen erleiden Milliardenschaden, Frankfruter Allgemeine, ) Kullik, J, Vernetzte (Un-)Sicherheit? Eine politisch-rechtliche Analyse der deutschen Cybersicherheitspolitik, 2014, p

48 사이버전쟁에대한명확하고통용되는정의는아직없는상태이며, 사이버범죄와의구분또한모호한경우가많다. 미디어에서는사이버전쟁을종종컴퓨터, 컴퓨터기술그리고인터넷이이용되는모든종류의사건들이라는개념으로설명하고있으며, 아직현실에서는발생한적이없지만 사이버수단 을통한전쟁의상태를설명한다는점에서만오직사이버범죄와명확히구분될뿐이다. 42) Tassilo Singer에따르면그개념은더나아가사이버작전 (Cyberoperation) 을포함하는사이버전투 (Cyberwarfare) 로이해되어야하며, 이는사이버공간내부뿐만아니라외부또한특정목적을달성하기위하여이용하는하는것을말한다. 이경우에있어서는전쟁수행관련국제법이적용되어야한다. 그러나, 사이버전쟁이시민권 (Völkerrecht) 을기초로한무장충돌이라고평가되기위하여, 또한이에대해어떻게법적으로규율되어야하는지를판단하기위해서는어떠한기준에따라사이버전쟁을정의해야할것인지에관한다툼의여지가있다. 43) 독일연방의회는 2011년 사이버공격이란오직그것이그효과에있어이미무장충돌의수준이라고볼수있고, 전통적인무기와비견될수있는경우에한하여시민권적의미에서의무장공격으로분류할수있다 고설명하였다. 44) 그러나이정의또한어떻게그효과가측정될수있으며, 어떠한방법으로전통적인무기와비교할수있는지에대한의문을남긴다. 2015년미디어를통해알려진연방의회에대한사이버공격의과정에서, 그사건이 NATO동맹의자동군사개입의무를발생시키는지여부에관해의문을제기하는보도들이있었다. 이러한사실은그러한새로운종류의현상들 42) Singer, T, Cyberwarfare? Damoklesschwert fur das Volkerrecht?, Sicherheit & Frieden, 2014, p ) Bendiek, A, und Ulmer, K, Cybersicherheit - eine facettenreiche politische Herausforderung. Aus internationale Zeitschriften 2012/2013. SWP-Aktuell 3. Stiftung Wissenschaft und Politik. 2013, p.1. 44) Deutscher Bundestag, Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Agnes Malczak, Omid Nouripour, Tom Koenigs, weiterer Abgeordneter und der Fraktion BU NDNIS 90/DIE GRU NEN Drucksache 17/6802, 2011, p

49 에알맞은정의와평가가필요하다는점을명확히해주고있다. 어쨌건그러는사이에사이버공간이영토, 영공, 바다그리고우주에이어제5의영역이라는새로운입지를구축한것만은확실해보인다. 사이버공격으로인한군사적방어라는실제적인사건은아직은일어나지않았지만, 독일또한사이버전쟁이라는위협의형태에직면해있는상황이며, 만약실제로그런사건이발생한다면독일군이그방어를관할하게될것이다. 여기에는사이버방어의능력을보유하고있는전략지휘소 (KSA, Kommando Strategische Aufklärung), 그리고독일정보기관중하나이며독일군내에서사이버공격방어를관장하는군사방어청 (MAD, Militärischen Abschirmdienst) 이있다. 마. 사이버테러리즘 사이버테러리즘이란사이버공간에서의테러그룹에의한스파이나 사보타지를통한사이버공격을말한다. 테러리스트들에게는아직까지는사 이버공간에서심각한결과를일으키는테러공격을수행하기위해필요한 재정적, 기술적수단및필수노하우가부족한것으로보인다. 더나아가 필수자원과전문지식교환은테러리스트들에게는자신의신원을발각되게 하는위험요인이된다. 그럼에도불구하고사이버공격의위험은테러그룹 들의공격력강화와연합을통해증가될수있다. 더나아가테러그룹들의 사이버능력이강화되는것을상정해볼수있는데, 테러리즘이만일사이버 공간으로전이되게된다면많은국가들과심각한관련성을가지게되며, 사 이버공간에서의또하나의 911 테러마저우려되는실정이다. 45) 국제적암시장에서는이른바사이버전사들이이미높은몸값을가지 고있으며, 본격적인훈련장에서테러해커를교육시키고있을가능성도존 재한다. 따라서사이버테러리즘은장차한국가의 IT 시스템이나취약인프 45) Kullik, J, Vernetzte (Un-)Sicherheit? Eine politisch-rechtliche Analyse der deutschen Cybersicherheitspolitik, 2014, pp

50 라에대한사이버공격과연관될수있다. 독일국방정책에서는독일을사이버테러리스트들의잠재적공격목표로간주하고있으며, 사이버테러리즘또한국제적수준에서효과적으로대응할수있기때문에이에대한국제적대응협력의필요성또한커지고있다. 바. 사이버행동주의 사이버행동주의는아직까지학문분야에서충분히연구되지는않았으나, 지금까지이에대해일반적으로 1) 순기능적의도, 2) 역기능적의도, 3) 불명확한의도라는세범주로분류한다. 모든사이버행동주의그룹들은폭넓은 IT 전문지식을갖추고있으며, 사이버행동주의자들은대체로는정치적동기를지니고, 부분적으로는자유주의와이상주의를추구한다. 46) 예를들자면그들은 인터넷에서의개인의발언과정보의자유를목표로하기도하고, 더나아가국수주의적사이버행동주의자도존재한다. 시리아내전에서는아사드반대파가서방네트워크행동주의자들과함께국제정보와프로파간다확산을막으려고하는데반해, 그추종자들은이를확산시키고자노력하는것을관찰할수있다. 여기서중요한문제는시리아에서의웹사이트와정보에대한접근권이다. 지속적인미국정보기관 NSA의도청스캔들과정에서독일에서는정치적의사결정권자들에대해압박하는네트워크행동주의자들의활동또한증가하고있다. 이러한점에서는네트워크행동주의가정치인이나안전기관로서는증가하는위협으로인식되고있다. Jakob Kullik의견해에따르면평화적이든또는공격적인방법이든간에사이버행동주의가향후중요한역할을하게될것이라고한다. 47) 46) Kullik, J, Vernetzte (Un-)Sicherheit? Eine politisch-rechtliche Analyse der deutschen Cybersicherheitspolitik, 2014, p ) Kullik, J, Vernetzte (Un-)Sicherheit? Eine politisch-rechtliche Analyse der deutschen Cybersicherheitspolitik, 2014, pp

51 사. 사이버반달리즘 사이버반달리즘은단순한정치적저항뿐만이아니라무분별한웹컨텐츠파괴까지도포괄한다. 범인은보통스크립트키디즈 (Skript Kiddies) 라고불리는청소년들이다. 범인들은 IT 시스템사용자들의불충분한안전의식과시스템의약점을악용하여 IT 시스템을바이러스에감염시키고파괴할수있다. 48) 3. 사이버보안 사이버보안이라는테마는새로운것은아니며, 지난 40 여년간의 경험을통해정보통신기술시스템의발전은항상새로운안전문제를일으 켜왔다는사실이충분히인식되고있다. 근래의급속한디지털화는정보통 신기술에서의더많은안전공백을야기하고있다. 49) 안전이라는것은상대 적인개념이라는것을생각해볼때, 사이버보안은국가적또는국제적수 준에서전세계적사이버공간의위험을수인가능한정도로낮추는 IT 안 전의정도에도달하고자노력하는상태를말한다. 50) 이로써사이버보안은 IT 시스템의기능이제한받지않는상태를실현한다. 이점에서사이버보안 은 IT 시스템의안전공백을해소하고사이버공격으로부터방어하는것을 목적으로한다. 이것은정보통신기술시스템이최대한방해받지않고, 완전 파괴의위험없이작동할수있는가능성이실현되어야한다는것을의미 한다. 48) Kullik, J, Vernetzte (Un-)Sicherheit? Eine politisch-rechtliche Analyse der deutschen Cybersicherheitspolitik, 2014, pp ) Luiijf, E, New and emerging threats of cyber crime and terrorism. In Akhgar, Babak/Staniforth, Andrew/Bosco, Francesca, Cyber crime and cyberterrorism investigator's handbook, 2014, pp ) Bundesministerium des Innern, Cyber-Sicherheitsstrategie fur Deutschland, 2011, p

52 사이버보안의요구를해결하기위한다양한조치들이존재하며, 여기에는예방에기여하는기술적 제도적수단들이속한다. 제도적인수단들은무엇보다도사이버위협에대한민감도강화나국제적협력강화를들수있다. 학계에서이미자주논의된바와같이 사이버군비경쟁을불러일으키지않기위해서는방어적사이버보안조치와공격적조치의밸런스를어떻게맞출수있는가? 하는질문은미래를위한국가정책에있어중요한문제이다. Sandro Gaycken 같은작가들은그군비경쟁이이미오래전에시작되었다는견해를가지고있다. 51) 제 2 절 IT 안전법 1. 도입배경 2013년독일에서발생한 NSA 스캔들로인해독일의미국에대한여론이악화되었으며, 독일정부는첩보행위를한것으로알려진미국중앙정보국 (CIA) 베를린주재책임자를추방하기에이르렀다. 독일이북대서양조약기구 (NATO) 내최대우방인미국에이같은조치를취한것은극히이례적인결정이다. 이사건은또한독일내 IT 안전에대한심각한우려를공론화하는계기가되었으며, 이는 2015년의 IT 안전법제정으로이어지게되었다. IT 안전법의주요목표는취약인프라에대한해킹으로부터의보호강화, 취약인프라운영자들의보안사고신고의무도입및독일내데이터에대한외국스파이로부터보호등이다. 취약인프라에대한침해사고가매번신고될경우연간약 240만건의사이버공격신고가이뤄지며, 절차비용도대거발생할것으로예상되 51) Gaycken, S, Cyberwar. Das Wettrusten hat langst begonnen. Vom digitalen Angriff zum realen Ausnahmezustand, Wilhelm Goldmann Verlag,

53 었고, 컨설팅기업 KPMG 조사에따르면 IT 안전법내관료적절차에따른 비용또한연간약 10 억유로 ( 약 1 조 4,000 억원 ) 에달할것으로예상되었 음에도당시산업계역시이를환영하는입장이었다. 2. 제정논의및과정 IT 안전법의계획은이미 2013년연정계약에서논의되기시작하였으며, 52) 2015년 6월 12일독일연방의회는 IT 안전법초안을의결하였다. 해당법의관할권은연방내무부에주어졌으며, 2015년 6월 25일에는 IT 안전법이발효되기에이르렀다. 당시 IT 안전법의시급성은무엇보다도지속증대되고있는국가, 경제그리고사회의 IT 시스템이용, 그리고이에동반되는디지털화와네트워크화에기초하고있었다. 53) 이를위해해당법률을통해취약인프라에대한안전강화가무엇보다도중요한것으로지목되었다. 따라서해당법시행에따라취약인프라운영자들은 IT 안전에있어최소기준을충족해야하며, 사이버공격시연방정보기술안전청 (BSI) 에보고해야한다. 2015년 6월해당법의결당시에는오직원자력발전소와통신기업들만이사이버공격보고의무를가졌다. 이후발효시까지 IT 안전법은시행령에서취약인프라와그의하위부문에대해명확히정의를내려야했다. 그렇지않으면어떤인프라가취약인프라로서그규정에관련이되는지해당법을통해서파악하기가어려웠기때문이다. 사이버공격시취약인프라운영자의보고의무는유럽연한 (EU) 이이미 2013년에역내가입국들을대상으로그도입을촉구한바있으나, 이후로는그러한보고의무가유럽연합가입국들의정치권과경제계에서호응을 52) Deutscher Bundestag, Koalitionsvertrag zwischen CDU, CSU und SPD (2013). Deutschlands Zukunft gestalten, 18. Legislaturperiode, 2013, p ) Bundesministerium des Innern, Gesetzentwurf der Bundesregierung. Entwurf eines Gesetzes zur Erhoḧung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), 2015, p

54 받지못하였다. 이를위해유럽연합은가입국들에게보고의무규정과관련한조치도입을위한마스터플랜을제시하였다. 그마스터플랜을통해 유럽및국제적디지털위치정책 이확립되었고, 애초에독일은이를위해 2014 년 12월에 IT 안전법초안을마련하게된것이다. 당시까지독일경제계의몇몇기업들은사이버공격을신고하지않았으나, IT 안전법으로인해그러한사이버공격에관한신고가의무화되었다. 기업관계자들에따르면이전까지사이버공격이제대로보고되지않은이유는이러한신고와함께기업들이사이버공격정보에대한통제권을넘겨주게되고, 그정보의계속적인전파에관해아무런영향력이나신뢰성있는지식을가질수없게된다는것을우려했기때문이라고한다. IT 안전법도입시취약인프라운영자들에게는요구된아이티최소기준을이행하기위해 2년의유예기간이주어졌으며, 보고의무에도마찬가지로 2년간의유예가주어졌다. 3. 내용 가. 구성 IT 안전법이하나의특별법으로서해당법자체에새로운정의및규율내용을담고있는것은아니며, 연방정보기술안전청법 원자력법 에너지산업법 텔레미디어법 텔레커뮤니케이션법 연방급여법 연방형사청법등의기존조항을개정하는것을내용으로하고있으며, 이러한법형식은독일에서는새로운법제정시일반적인형태에속한다. IT 안전법의구성은아래의표와같다. < 표 3 >

55 조항 내용 제1조 연방정보기술안전청법의개정 제2조 원자력법의개정 제3조 에너지산업법의개정 제4조 텔레미디어법의개정 제5조 텔레커뮤니케이션법의개정 제6조 연방급여법의개정 제7조 연방형사청법의개정 제8조 연방정보기술안전청법의다른개정 제9조 연방비용징수구조개혁법의개정 제10조 사후보완 제11조 발효 나. 연방정보기술안전청법의개정내용 여기서는 IT 안전법중가장핵심적인내용을담고있는연방정보기 술안전청법에서의개정사항을살펴보기로한다. - 제 1 조 ( 정보기술에서의안전을위한연방관청 ) 원문 기존 Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde. Es untersteht dem Bundesministerium des Innern. 개정 Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als Bundesoberbehörde. Das Bundesamt istzuständig für die Informationssicherheit auf nationaler Ebene. Es untersteht dem Bundesministerium des Innern

56 번역 연방은정보기술에서의안전을위한연방관청을연방상급기구로서둔다. 이는연방내무부밑에있다. 연방은연방정보기술안전청을연방상급기구로서둔다. 그연방관청은국가적수준에서의정보안전에관할권이있다. 이는연방내무부밑에있다. - 제 2 조 ( 정의 ) 원문 기존 개정 (10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach 10 Absatz 1 näher bestimmt. 번역 (10) 이법에서말하는취약인프라는조직, 시설또는분야들중 1. 에너지, 정보기술그리고원격통신, 운송그리고교통, 건강, 물, 식품및경제와보험분야에속하고,

57 2. 그부족이나침해로인해중대한공급부족또는공공의안전에위협이발생할수있기때문에공동사회의기능에큰의미를갖는것을말한다. 이법에서말하는취약인프라는제 10 조제 1 항에서상세히규정한다. - 제 3 조 ( 연방정보기술안전청의임무 ) 제 1 항 원문 번역 기존 2. Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrung ihrer Sicherheitsinteressen erforderlich ist; 안전위험과안전대비정보들의수집과평가, 그리고획득한지식이다른기관들의임무를완수시키거나다른기관들의안전이익유지를위해필요한경우이를제공 개정 2. Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder erforderlichist,sowiefürdritte,soweitdies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist; 안전위험과안전대비정보들의수집과평가, 그리고획득한지식이다른기관들의임무를완수시키거나, 다른기관들및제3자의안전이익유지를위해필요한경우이를제공 원문 기존 15. Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der kritischeninformationsinfrastrukturen im Verbund mit der Privatwirtschaft. 개정 15. Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der SicherheitinderInformationstechnikKritis cherinfrastrukturen im Verbund mit der Privatwirtschaft; 16. Aufgaben als zentrale Stelle im Bereich der Sicherheit in der

58 Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen; 17. Aufgaben nach den 8a und 8b als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen. 위기조기인식, 위기대응그리고위기극복을위한적합한커뮤니케이션구조구축및사경제와의결합에서의취약한정보인프라를보호하기위한협업의조정 15. 위기조기인식, 위기대응그리고위기극복을위한적합한커뮤니케이션구조구축및사경제와결합에서의취약인프라에대한정보기술에서안전을보호하기위한협업의조정 번역 16. 다른기관의특정한관할권에상관없이외국에서의관할권있는기관들과의협업과관련하여정보기술에서의안전영역에서중앙기관으로서의임무 17. 제 8a 조및제 8b 조에따른취약인프라의정보기술에서의안전을위한중앙기구로서의과제 원문 번역 기존 개정 (3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen. 연방정보기술안전청은취약인프라운영자들의요청에따라그들의안전기술의안전에있어서조언및지원하거나, 또는자격있는안전서비스제공자를지정할수있다

59 - 제 4 조 원문 번역 기존 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik 제 4 조정보기술에서의안전을위한중앙신고기관 개정 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes 제 4 조연방의정보기술에서의안전을위한중앙신고기관 - 제 5 조 ( 연방의통신기술을위한손상프로그램과위험으로부터의방어 ) 원문 기존 Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Behördeninterne Protokolldaten dürfen nur im Einvernehmen mit der jeweils betroffenen Behörde erhoben werden. 개정 Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz1 Nummer1 sowie Schnittstellendaten nach Satz1 Nummer2 sicher zu stellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden. 번역 다음항이추가적인사용을허용하지않는한, 이데이터의자동화된 다음항이추가적인사용을허용하지않는한, 이데이터의자동화된

60 평가는지체없이행해져야하고, 조정이이루어진후에는즉시그리고흔적없이삭제되어야한다. 프로토콜데이터가개인신상과관련된정보나통신비밀에해당하는정보를포함하고있지않은경우에한하여그사용의제한은적용되지않는다. 기구내부의프로토콜데이터는오직각각의관련된기구와의협의하에조사될수있다. 평가는지체없이행해져야하고, 조정이이루어진후에는즉시그리고흔적없이삭제되어야한다. 프로토콜데이터가개인신상과관련된정보나통신비밀에해당하는정보를포함하고있지않은경우에한하여그사용의제한은적용되지않는다. 기구내부의프로토콜데이터는오직각각의관련된기구와의협의하에조사될수있다. 연방기구들은제1항에따른조치의경우에연방정보기술안전청을지원하고, 이경우제1항 1호에따른기구내부의프로토콜데이터그리고제1항 2호에따른인터페이스데이터에대한접근을보장해야할의무가있다. 연방법원의프로토콜데이터는오직연방법원과의협의하에조사될수있다. - 제 7 조 ( 경고 ) 원문 기존 (1) Zur Erfüllung seiner Aufgaben nach 3 Absatz 1 Satz 2 Nummer 14 kann das Bundesamt Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Dienstenund vor Schadprogrammen andiebetroffenenkreise oder dieöffentlichkeitweitergebenoder Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen. Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung von diese Produkte betreffenden Warnungen zu informieren, sofern hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks 개정 (1) Zur Erfüllung seiner Aufgaben nach 3 Absatz 1 Satz 2 Nummer 14 kann das Bundesamt 1. die folgenden Warnungen an die Öffentlichkeit oder an die betroffenen Kreise richten: a) Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten, b) Warnungen vor Schadprogrammen und c) Warnungen im Falle eines Verlustes von oder eines unerlaubten Zugriffs auf Daten;

61 번역 nicht gefährdet wird. Soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen anhand sachlicher Kriterien einschränken; sachliche Kriterien können insbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers sein. 제3조제1항 14호에따른임무의완성을위하여연방정보기술안전청은정보기술제품과서비스의안전결함에대한, 그리고관계된그룹이나공공에대한 Schad프로그램에대한경고를발령하거나, 안전조치및특정안전제품의투입을권장할수있다. 그조치와함께추구되는목적의성취가위협받지않는한, 관련된제품의생산자는이제품들의공개전에관련된경고를알려야한다. 발견된안전결함이나해악프로그램이일반적으로알려진것이아니라면, 그 2. Sicherheitsmaßnahmen sowie den Einsatzbestimmter Sicherheitsprodukte empfehlen. Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist. Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung von diese Produkte betreffenden Warnungen zu informieren, sofern hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks nicht gefährdet wird. Soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen anhand sachlicher Kriterien einschränken; sachliche Kriterien können insbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers sein. 제 3 조제 1 항 14 호에따른임무의완성을위하여연방정보기술안전청은 1. 다음의경고들을공공이나관련그룹에발령할수있다 a) 정보기술제품과서비스에서의안전결함에대한경고 1. 해악프로그램에대한경고 2. 데이터손실또는허가받지않은데이터접근의경우에경고

62 전파나불법적악용을막기위하여또는연방정보기술안전청이제3자에대하여신뢰성의의무가있기때문에, 연방정보기술안전청은물적기준에의해서경고를받는사람들의그룹을제한할수있다 ; 물적기준은특히특정시설의특별한위협또는수취인의특별한신뢰성이될수있다. 연방정보기술안전청은효과적이고적시성있는경고를위해필요한경우, 제1호에따른임무의실현을위하여제3자를포함시킬수있다. 그조치와함께추구되는목적의성취가위협받지않는한, 관련된제품의생산자는이제품들의공개전에관련된경고를알려야한다. 발견된안전결함이나해악프로그램이일반적으로알려진것이아니라면, 그전파나불법적악용을막기위하여또는연방정보기술안전청이제3자에대하여신뢰성의의무가있기때문에, 연방정보기술안전청은물적기준에의해서경고를받는사람들의그룹을제한할수있다 ; 물적기준은특히특정시설의특별한위협또는수취인의특별한신뢰성이될수있다. - 제 7 조 a ( 정보기술에서의안전의조사 ) 원문 기존 개정 (1) Das Bundesamt kann zur Erfüllung seiner Aufgaben nach 3 Absatz 1 Satz 2 Nummer 1, 14 und 17 auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenstehen. (2) Die aus den Untersuchungen gewonnenen Erkenntnisse dürfen nur zur Erfüllung der Aufgaben nach 3 Absatz 1 Satz 2 Nummer 1, 14 und 17 genutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und

63 veröffentlichen, soweit dies zur Erfüllung dieser Aufgaben erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme zu geben. (1) 연방정보기술안전청은제 3 조제 1 항 1 호, 14 호와 17 호에따른임무완성을위해시중에공급된또는공급예정인정보기술제품또는시스템에대해조사할수있다. 이경우관련제품이나시스템의생산자의정당한이익이대립되지않는한제 3 자의지원을받을수있다. 번역 (2) 그조사를통해획득된지식은오직제 3 조제 1 항 1 호, 14 호와 17 호에따른임무의완수을위해서만사용될수있다. 연방정보기술안전청은이러한임무의완수를위해필요한경우에한하여자신의지식을전달하고공개할수있다. 그이전에관련제품과시스템의생산자에게적당한기한과함께입장표명의기회가주어져야한다. - 제 8 조 ( 연방정보기술안전청의목표 ) 원문 기존 (1) Das Bundesamt kann Mindeststandards für die Sicherung der Informationstechnik des Bundesfestlegen. Das Bundesministerium des Innern kann nachzustimmungdesratsderit-beauftra gtenderbundesregierungdienachsatz1fe stgelegtenanforderungen ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen. 개정 (1) Das Bundesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Innern kann imbenehmenmitdemit-ratdiesemindes tstandards ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen

64 번역 SoweitineinerallgemeinenVerwaltungsv orschriftsicherheitsvorgabendesbundes amtesfürressortübergreifendenetzesowi e die fürdenschutzbedarf des jeweiligennetzesnotwendigen und vondennutzerndesnetzesumzusetzend ensicherheitsanforderungenenthaltensi nd,werdendieseinhalteimbenehmenmit demrat der IT-BeauftragtenderBundesregierungfest gelegt. Für die in 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter. 연방정보기술안전청은연방의정보기술안전을위하여최소요구기준을설정할수있다. 연방내무부는연방정부의아이티전문가위원회의동의에따라 1째문장에따라설정된요구전부또는일부를연방의모든기관들을위한일반행정규정으로공포할수있다. 일반행정규정에서여러부서가관련된네트워크를위한연방정보기술안전청의안전목표, 각각의네트워크에대한보호필요성이있고네트워크의이용자들로부터실행되어야하는안전요구가포함되어있는경우, 이내용들은아이티전문가위원회와의협의하에설정된다. 제2조제3장 2번째문장에서언급된법원과헌법기관들을위하여이규정은이에따라권고의성격을가진다. DasBundesamtberät die Stellen des BundesaufErsuchenbeiderUmsetzung und Einhaltung der Mindeststandards. Für die in 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter. 연방정보기술안전청은연방의정보기술안전을위한최소요구기준을작성한다. 연방내무부는아이티위원회와의협의하에이최소요구기준전부또는일부를연방의모든기관들을위한일반행정규정으로공포한다. 연방정보기술안전청은연방기관들에게최소요구기준실행과준수에서의요청에따라조언한다. 제 2 조제 3 장 2 번째문장에서언급된법원과헌법기관들을위하여이규정은이에따라권고의성격을가진다. - 제 8 조 a ( 취약인프라정보기술에서의안전 ) 원문 기존 개정 (1) Betreiber Kritischer Infrastrukturen sind verpflichtet,

65 spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. (3) Die Betreiber Kritischer Infrastrukturen haben mindestens

66 alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln verlangen: 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel. (4) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen. 번역 취약인프라운영자들은늦어도제 10 조제 1 항에따른규정의발효 2 년이내에, 그들이운영하는취약인프라의정상적기능에중대한영향을미치는사용장애를피하고, 정보기술시스템의무결성과신뢰성을확보하기위한적절한조직적, 기술적대비,

67 그리고구성요소와절차들을갖추어야할의무를진다. 이때기술의수준은준수되어야한다. 조직적, 기술적대비는이를위한비용이관계된취약인프라의사고나침해의결과를현저히벗이나지않는경우적합한것으로판단한다. (2) 취약인프라운영자와그들의산업협회는 1 항에따른요구의보장을위한산업부문에특별한안전표준을제안할수있다. 연방정보기술안전청은그것이제 1 조에따른요구를보장하는데적합한것인지신청에따라확정한다. 그확정은 1. 시민보호및재난원조청과의협의 2. 연방의관할권있는감독기구와의합의또는기타관할권있는감독기구와의협의로행해진다. (3) 취약인프라운영자는최소 2 년마다제 1 항에따른요구의충족을적절한방법으로증명해야한다. 그증명은안전감사, 시험또는인증을통해이루어진다. 운영자들은수행된감사, 시험또는인증의목록을거기서발견된안전결함을포함하여연방정보기술안전청에제공해야한다. 연방정보기술안전청은안전에결함이있는경우다음을요구할수있다 : 1. 모든감사, 시험또는인증결과들의제출 2. 연방의권한있는감독기구와의합의또는기타권한있는감독기구와의협의에따라안전결함의제거 (4) 연방정보기술안전청은제 3 항에따른안전감사, 시험그리고인증절차구성을위해, 증명의발행을위한수행의종류와방법에대한요구및관련된운영자와경제연합의대표들로부터의청문후시험대상들에

68 대한기술적및조직적인요구를확정할수있다. 제 8 조 b ( 취약인프라정보기술에서의안전을위한중앙기구 ) 기존 개정 (1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik. (2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe 원문 1. die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise, 2. deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren, 3. das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und 4. unverzüglich

69 a) die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3, b) die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie c) die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 zu unterrichten. (3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle. (4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen

70 1. führen können oder 2. geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. (5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle. (6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von 8c Absatz 3 entsprechend. (7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine

71 über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden. (1) 연방정보기술안전청은정보기술에서의안전과관련된업무에서취약인프라운영자를위한중앙신고처이다. (2) 연방정보기술안전청은이과제의수행을위해 1. 정보기술에서안전위험방어를위한중요정보수집과평가, 특히안전결함, 해악프로그램, 정보기술에서의안전에대한성공한혹은시도된공격, 그리고거기서관찰된대응방법에대한정보 2. 관할권있는감독기구들과시민보호및시민보호와재난도움청과의협업에서취약인프라의유효성에대한잠재적효과분석 번역 3. 취약인프라의정보기술에서의안전과관련한상황보고를지속적으로업데이트 4. 지체없이다음을보고 a) 취약인프라운영자에게 1 호내지 3 호에따른그들과관련된정보 b) 관할권있는감독관청과기타연방의관할권있는기구들에게 1 호내지 3 호에따른그들의임무수행에필요한정보 c) 주정부의관할권있는감독기구또는이러한목적하에주정부로부터연방정보기술안전청에게중앙연락소로임명된기구들에 1 호내지 3 호에따른그들의임무수행에필요한정보 (3) 취약인프라운영자들은연방정보기술안전청에게규정발효 6 개월

72 이내에제 10 조제 1 항에따른커뮤니케이션구조를위한연락소를제 3 조제 1 항 15 호에따라임명하여야한다. 취약인프라운영자는이곳으로언제나연락이닿는다는것을보증하여야한다. 제 2 항제 4 호에따른연방정보기술안전청을통한정보전달은이연락소를통해이루어진다. (4) 취약인프라운영자는그들이운영하는취약인프라에손실또는기능에침해가 1. 발생할수있거나 2. 발생한 그들의정보통신시스템, 구성요소또는절차에대한중대한가용성, 무결성, 신뢰성의장애를그연락소를통해즉시연방정보기술안전청에신고하여야한다. 이보고는장애와기술적조건, 특히추정적또는확정적원인, 관계되는정보기술, 관계되는조직이나시설의종류그리고운영자의부문에대한진술이포함되어야한다. 운영자에대한명명은그장애가실제로손실이나취약인프라의기능침해가발생된경우에한하여필요하다. (5) 제 3 항에따른연락소외에같은분야에속하는취약인프라운영자들은공통의상위연락창구를지명할수있다. 이러한것이지명된경우, 연락소와연방정보기술안전청간의정보교환은보통그공통의연락창구를통해이루어진다. (6) 필요한경우연방정보기술안전청은관계되는정보기술제품과시스템의생산자들에게제 4 조에따라장애제거또는회피에대한협력을요구할수있다. 1 번째문장은제 8c 조제 3 항에해당하는운영자와허가권소유자에서의장애에유효하다. (7) 이규정의범위내에서개인정보가수집, 처리또는사용되는한, 전항을벗어나는다른목적으로위한처리와

73 사용은허용되지않는다. 제 5 조제 7 항 3 번내지 8 번문장은상응하게적용되어야한다 ( 해당하는경우면이게사용된다는뜻같음 ). 기타의경우에는연방데이터보호법의규정이적용된다. - 제 8 조 c ( 적용영역 ) 기존 개정 (1) Die 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EC der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom , S. 36). Artikel 3 Absatz 4 der Empfehlung ist nicht anzuwenden. (2) 8a ist nicht anzuwenden auf 원문 1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung, 3. Genehmigungsinhaber nach 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das

74 zuletzt durch Artikel 2 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie 4. sonstige Betreiber Kritischer Infrastrukturen, soweit sie auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach 8a vergleichbar oder weitergehend sind. (3) 8b Absatz 3 bis 5 ist nicht anzuwenden auf 1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes, 3. Genehmigungsinhaber nach 7 Absatz 1 des Atomgesetzes für den Geltungsbereich der Genehmigung sowie 4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach 8b Absatz 3 bis 5 vergleichbar oder weitergehend sind. 번역 (1) 제 8a 조와제 8b 조는 2003 년 5 월 6 일의영세기업및중소기업의정의와관련된위원회의 2003/361/EC 권고에서말하는영세기업에는적용되지않는다. 해당권고의제 3 조

75 제 4 항은적용되지않는다. (2) 제 8a 조는다음의경우적용되지않는다. 1. 취약인프라운영자가공공텔레커뮤니케이션망을운영하거나공개적으로이용가능한통신서비스를제공하는경우 년 7 월 17 일개정된에너지경제법에서말하는에너지공급망또는에너지시설운영자 년 7 월 17 일개정된원자력법제 7 조제 1 항에따른허가권소유자 4. 제 8a 조에따른요구와비교할만하거나더초과하는법규에따른요구를충족시켜야만하는기타취약인프라운영자 (3) 제 8b 조제 3 항내지제 5 항은다음경우에는적용되지않는다. 1. 취약인프라운영자가공공텔레커뮤니케이션망을운영하거나공개적으로이용가능한통신서비스를제공하는경우 2. 에너지경제법에서말하는에너지공급망또는에너지시설운영자 3. 원자력법제 7 조제 1 항에따른허가권자 4. 제 8a 조제 3 항내지제 5 항에따른요구와비교할만하거나더초과하는법규에따른요구를충족시켜야만하는기타취약인프라운영자 - 제 8d 조

76 원문 번역 기존 개정 (1) Das Bundesamt kann Dritten auf Antrag Auskunft zu den im Rahmen von 8a Absatz 2 und 3 erhaltenen Informationen sowie zu den Meldungen nach 8b Absatz 4 nur erteilen, wenn schutzwürdige Interessen des betroffenen Betreibers Kritischer Infrastrukturen dem nicht entgegenstehen und durch die Auskunft keine Beeinträchtigung wesentlicher Sicherheitsinteressen zu erwarten ist. Zugang zu personenbezogenen Daten wird nicht gewährt. (2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den 8a und 8b wird nur Verfahrensbeteiligten gewährt und dies nach Maßgabe von 29 des Verwaltungsverfahrensgesetzes. (1) 연방정보기술안전청은제 8a 조제 2 항과제 3 항의범위내에서획득된정보와제 8b 조제 4 항에따른보고를, 관계되는취약인프라운영자의보호가치있는이익이제 3 자와충돌하지않고, 그통지를통해현저한안전이익의침해가예상되지않는경우에한하여신청에따라이를제 3 자에게통지할수있다. (2) 제 8a 조와제 8b 조에따른업무에있어서의연방정보기술안전청의서류에대한접근은오직절차당사자에게만허용되며, 행정절차법제 29 조에따라허용된다. - 제 10 조 ( 법령공포권한 ) 기존 개정

77 원문 (1) Das Bundesministerium des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Technologie durch Rechtsverordnung das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach 9 und deren Inhalt. (2) Für individuell zurechenbare öffentliche Leistungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Leistungen verbundenen Verwaltungsaufwand. Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium der Finanzen durch Rechtsverordnung die gebührenpflichtigen Tatbestände, die Gebührensätze und die Auslagen. (1) Das Bundesministerium des Innern bestimmt durchrechtsverordnung,dienichtderzustim mungdesbundesratesbedarf, nach Anhörung vonvertretern der Wissenschaft,der betroffenen Betreiberundderbetroffenen Wirtschaftsverbände imeinvernehmenmitdembundesministeriu mfürwirtschaft und Energie,demBundesministeriumderJustizun dfürverbraucherschutz,dembundesministe riumderfinanzen,dembundesministeriumfü rarbeitundsoziales,dembundesministerium fürernährungundlandwirtschaft,dembunde sministeriumfürgesundheit,dembundesmi nisteriumfürverkehrunddigitaleinfrastruktu r,dembundesministeriumderverteidigungu nddembundesministeriumfürumwelt,natur schutz,bauundreaktorsicherheitunterfestle gungderindenjeweiligensektoren im Hinblickauf 2Absatz10Satz1Nummer2weg enihrerbedeutungalskritischanzusehenden Dienstleistungenundderenalsbedeutendan zusehendenversorgungsgrads,welcheeinri chtungen,anlagenoderteiledavonalskritisc heinfrastrukturenimsinnediesesgesetzesge lten.dernachsatz1alsbedeutendanzusehen deversorgungsgradistanhandvonbranchen spezifischenschwellenwertenfürjedewegen ihrerbedeutungalskritischanzusehendedie nstleistungimjeweiligensektorzubestimme n.zugangzuakten,diedieerstellungoderänd erungdieserverordnungbetreffen,wirdnicht gewährt. (2) Das Bundesministerium des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im EinvernehmenmitdemBundesministeriumf ürwirtschaftund Energie durch Rechtsverordnung,dienichtderZustimmung desbundesratesbedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und

78 Anerkennungen nach 9 und Inhalt. deren 번역 (1) 연방내무부는관계되는경제단체의청문후경제와기술연방부처와의합의하에법령을통해제9조와그내용에따른안전증명서와승인발급의절차에대한상세한사항을규정한다. 3. 이법과이법의실행으로써공포되는법령에따라개별적으로귀속되는공공서비스를위해서는비용과경비가징수된다. 비용의액수는그서비스와결부된행정비용에따라결정된다. 연방내무부는연방재무부와의합의로법령에따라비용지불대상이되는구성요건, 요율과경비를결정한다. (3) Für individuell zurechenbare öffentliche Leistungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Leistungen verbundenen Verwaltungsaufwand. Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium der Finanzen durch Rechtsverordnung,dienichtderZustimmung desbundesratesbedarf, die gebührenpflichtigen Tatbestände, die Gebührensätze und die Auslagen. (1) 연방내무부는연방의회의동의를요하지않는법령을통하여경제계, 관련되는운영자들과관련되는경제단체의대표들의청문후, 연방경제에너지부, 연방사법소비자보호부, 연방재무부, 연방노동사회부, 연방영양농업부, 연방보건부, 연방교통디지털인프라부, 연방국방부및연방환경자연보호건축원전안전부와의합의하에각각의부문에서제2조제10항 2호와관련하여그중대성때문에취약한것으로보이는서비스와중요한것으로보이는공급등급확정에따라, 어떤기관, 시설또는그들의부분이이법에서말하는취약인프라로간주되는지결정한다. 1번째문장에따라중요한것으로간주되는공급등급은각각의부문에서그중요성때문에취약한것으로보이는서비스를위한분야전문적인임계값에의해결정된다. 그지침의신설또는개정에관계되는문서에대한접근은허용되지않는다. (2) 연방내무부는관계되는경제단체의청문과연방경제에너지부와의합의하에연방의회의동의가필요없는법령을

79 통하여안전증명과승인부여의절차에관한상세한사항을제 9 조와그내용에따라규정한다. (3) 이법과이법의실행으로써공포되는법령에따라개별적으로귀속되는공공서비스를위해서는비용과경비가징수된다. 비용의액수는그서비스와결부된행정비용에따라결정된다. 연방내무부는연방재무부와의합의로연방의회의동의를요하지않는법령에따라비용지불대상이되는구성요건, 요율과경비를결정한다. - 제 13 조 ( 보고의무 ) 기존 개정 (1) Das Bundesamt unterrichtet das Bundesministerium des Innern über seine Tätigkeit. 원문 (2) Die Unterrichtung nach Absatz 1 dient auch der Aufklärung der Öffentlichkeit durch das Bundesministerium des Innern über Gefahren für die Sicherheit in der Informationstechnik, die mindestens einmal jährlich in einem zusammenfassenden Bericht erfolgt. 7 Absatz 1 Satz 3 und 4 ist entsprechend anzuwenden. (1) 연방정보기술안전청은연방내무부에자신의활동을보고한다. 번역 (2) 제 1 항에의한보고는연방내무부를통해최소연 1 회총괄보고서로발간되는, 정보기술에서의안전과관련된위험에대한대중설명에이바지한다. 제 7 조제 1 항 3 번째와 4 번째문장은상응하게적용된다

80 - 제 14 조 ( 벌금규정 ) 기존 개정 (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, 2. einer vollziehbaren Anordnung nach 8a Absatz 3 Satz 4 a) Nummer 1 oder b) Nummer 2 zuwiderhandelt, 원문 3. entgegen 8b Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach 10 Absatz 1 Satz 1 eine Kontaktstelle nicht oder nicht rechtzeitig benennt oder 4. entgegen 8b Absatz 4 Satz 1 Nummer 2 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. (2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 2 Buchstabe b mit einer Geldbuße bis zu hunderttausend Euro, in den übrigen Fällen des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden. (3) Verwaltungsbehörde im Sinne des 36 Absatz 1 Nummer 1 des Gesetzes

81 über Ordnungswidrigkeiten ist das Bundesamt. (1) 고의또는과실로다음의행위를한자는규정을위반한것이다. 1. 제 8a 조제 1 항 1 번째문장에반하여제 10 조제 1 항 1 번째문장에따른법령과결부되어거기에서지정된예방책을준수하지않거나, 올바르게하지않거나, 완전히하지않거나, 적시에하지않은경우 2. 제 8a 조제 3 항 4 번문장에따른집행가능한명령에 a) 제 1 호또는 b) 제 2 호에 번역 위반한경우 3. 제 8b 조제 3 항에반하여제 10 조제 1 항 1 번째문장에따른법령과결부되어연락처를지정하지않거나제때에지정하지않은경우 4. 제 8b 조제 4 항 2 호에반하여통지를하지않거나, 올바르게하지않거나, 완전히하지않거나또는적시에하지않은경우 (2) 제 1 항 2 호 b 의경우 10 만유로이내의벌금, 제 1 항의나머지경우는 5 만유로이내의벌금에처한다. (3) 이법제 36 조제 1 항 1 호에서말하는규정위반에대한행정관청은연방정보기술안전청이다. 제 3 절사이버안전관리체계

82 1. 크리티스 (KRITIS) 크리티스란 Kritische Infrastrukturen( 취약한인프라들 ) 의머릿글자를따서조합된단어로, 독일사이버안전관리체계의핵심을이루는용어이다. 이는그손실이나침해가지속적공급부족, 공공안전의중대한장애또는다른심대한결과를야기하는, 국가공동체를위해중요한의미를가지는조직또는기관들을말하며, 다음의 9개하위부문들로구성되어있다. < 그림 1 > 출처 : 독일연방내무부