Ⅰ. 서론 최근정교한 외부해킹위협대비 와 내부보안 이라는두마리토끼를잡아야하는각국의정부와기업의움직임이분주하다. 외부적으로는 APT( 지능형지속위협 ) 와같이정교화 고도화된사이버위협, 해킹에의한고객개인정보유출위험이도사리고있는상황에서지난 1월카드사고객정보유출사고사례에서볼수있

Similar documents
ㅇ ㅇ


2015 년세법개정안 - 청년일자리와근로자재산을늘리겠습니다. -

활력있는경제 튼튼한재정 안정된미래 년세법개정안 기획재정부

98 자료 개발 집필 지침

- 2 - 음으로써 국제적 위상을 제고하고 있음. 그러나 국내에서는 바둑에 대한 국민적 관심이 낮아짐에 따라 지속 적으로 바둑인구가 감소되고 있는바, 세계적으로 저변이 확대되고 있 는 바둑의 지속적인 발전과 우리나라의 국제적 위상강화를 위하여 국 가적 차원의 적극적인

Ⅰ Ⅱ Ⅲ Ⅳ



여수신북항(1227)-출판보고서-100부.hwp

C O N T E N T S 목 차 요약 / 1 Ⅰ. 태국자동차산업현황 2 1. 개관 5 2. 태국자동차생산 판매 수출입현황 우리나라의대태국자동차 부품수출현황 Ⅱ. 태국자동차산업밸류체인현황 개관 완성차브랜드현황 협력업체 ( 부

ad hwp

제1차 양성평등정책_내지_6차안

- 2 - 결혼생활 유지에 중대한 지장을 초래하는 정신질환 병력과 최근 10년간 금고 이상의 범죄경력을 포함하고, 신상정보(상대방 언어 번역본 포함)의 내용을 보존토록 하는 등 현행법의 운영상 나타나는 일부 미비점을 개선 보완함으로써 국제결혼중개업체의 건전한 영업을 유


**09콘텐츠산업백서_1 2

차 례

지능형전력망의구축및이용촉진에관한법률시행 지능형전력망의구축및이용촉진에관한법률시행령 [ 시행 ] [ 대통령령제25840호, , 타법개 산업통상자원부 ( 전력진흥과 ) 제1장총칙 제 1 조 ( 목적 ) 이영은 지능형전력망의


( 1 ) ( 2 )

신규투자사업에 대한 타당성조사(최종보고서)_v10_클린아이공시.hwp

태양광산업 경쟁력조사.hwp

hwp

외국인투자유치성과평가기준개발

목 차 Ⅰ. 사업개요 5 1. 사업배경및목적 5 2. 사업내용 8 Ⅱ. 국내목재산업트렌드분석및미래시장예측 9 1. 국내외산업동향 9 2. 국내목재산업트렌드분석및미래시장예측 목재제품의종류 국내목재산업현황 목재산업트렌드분석및미래시


2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전

서울특별시강서구식생활교육지원조례안심사보고서 행정 재무위원회 1. 심사경과가. 제출일자 : 2014년 9월 3일 / 신창욱의원외 12인발의나. 회부일자 : 2014년 9월 12일다. 상정일자 : 제232회서울특별시강서구의회정례회행정 재무위원회제1차회

보도자료 2014 년국내총 R&D 투자는 63 조 7,341 억원, 전년대비 7.48% 증가 - GDP 대비 4.29% 세계최고수준 연구개발투자강국입증 - (, ) ( ) 16. OECD (Frascati Manual) 48,381 (,, ), 20


목차 정보보호공시가이드라인 공시개요 공시내용 공시방법 첨부 정보보호공시서식 첨부 정보보호현황검증보고서 첨부 정보보호제품 서비스분류표


경북지역일자리공시제내실화방안

목 차 < 요약 > Ⅰ. 검토배경 1 Ⅱ. 반도체산업이경기지역경제에서차지하는위상 2 Ⅲ. 반도체산업이경기지역경제에미치는영향 7 Ⅳ. 최근반도체산업의여건변화 15 Ⅴ. 정책적시사점 26 < 참고 1> 반도체산업개관 30 < 참고 2> 반도체산업현황 31

목차 Ⅰ Ⅱ (2013)

2016년 신호등 4월호 내지A.indd


2003report250-9.hwp



장애인건강관리사업

- 2 -

제 1 호 지방자치단체녹색정보화추진동향 제 2 호 전자정부성과관리를위한평가동향 제 3 호 외국모바일전자정부추진동향 제 4 호 업무용 PC 가상화 제 5 호 증강현실구현기술현황 제 6 호 Web 기술의진화와공공서비스 제 7 호 ICT 를통한일자리창출방안 제 8 호 스마트

ICT À¶ÇÕÃÖÁ¾

목 차

암호내지

<28C0DABFAC29BDC0C1F6BAB8C8A3B9FDC0D4B9FDBFB9B0ED2E687770>

목차 Ⅰ. 기본현황 Ⅱ 년도성과평가및시사점 Ⅲ 년도비전및전략목표 Ⅳ. 전략목표별핵심과제 1. 군정성과확산을통한지역경쟁력강화 2. 지역교육환경개선및평생학습활성화 3. 건전재정및합리적예산운용 4. 청렴한공직문화및앞서가는법무행정구현 5. 참여소통을통한섬

<BFA9BCBABFACB1B8BAB8B0EDBCAD28C6EDC1FD292E687770>

경상북도와시 군간인사교류활성화방안

1. 주요시설의출입구에신원확인이가능한출입통제장치를설치할것 2. 집적정보통신시설을출입하는자의신원등출입기록을유지 보관할것 3. 주요시설출입구와전산실및통신장비실내부에 CCTV를설치할것 4. 고객의정보시스템장비를잠금장치가있는구조물에설치할것 2 사업자는제1항에따른보호조치를효율적

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

<BBEAC0E7BAB8C7E8C1A6B5B52E687770>

<C0FCB9AEB1E2BCFA20BFDCB1B9C0CEB7C220B3EBB5BFBDC3C0E520BAD0BCAE2E687770>

조사보고서 구조화금융관점에서본금융위기 분석및시사점

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

- 2 - 이상 5건의법률안을병합하여심사한결과, 이를통합 조정하여우리위원회대안을마련함. 마. 제331 회국회 ( 임시회 ) 제4차미래창조과학방송통신위원회 ( ) 에서법안심사소위원회에서심사보고한대로 5건의법률안에대해서는각각본회의에부의하지아니하기로하고,


목 차. 산업의메가트렌드 1 우리의대응실태 8 우리산업의발전방향 기본방향 주요정책과제 산업별추진과제 28

2001 년 4 월전력산업구조개편과함께출범한전력거래소는전력산업의중심 기관으로서전력시장및전력계통운영, 전력수급기본계획수립지원의기능을 원활히수행하고있습니다. 전력거래소는전력자유화와함께도입된발전경쟁시장 (CBP) 을지속 적인제도개선을통해안정적으로운영하고있으며, 계통운영및수급

- 2 - 장하려는것임. 주요내용 가. 기획재정부장관은공기업 준정부기관임원임명에양성평등을실현하기위하여특정성별이임원정수의 100분의 70을초과되지아니하도록하는지침을정하되, 그비율을 2018년부터 2021년까지는 1 00분의 85, 2022년부터 2023년까지는 100분의

ÁÖ5Àϱٹ«Á¦Á¶»ç(03).hwp

신영_플랜업0904내지_출력

목 차 주요내용요약 1 Ⅰ. 서론 3 Ⅱ. 스마트그리드산업동향 6 1. 특징 2. 시장동향및전망 Ⅲ. 주요국별스마트그리드산업정책 17 Ⅳ. 미국의스마트그리드산업동향 스마트그리드산업구조 2. 스마트그리드가치사슬 3. 스마트그리드보급현황 Ⅴ. 미국의스마트그리드정



20.춘천시 기초생활 보장기금 설치 및 운용조례.hwp

2015 년 SW 개발보안교육과정안내

담당부서 배포일시 대한민국임시정부수립 보도참고자료 ( 금) 총 3매 2019년 4월 11일은 100주년기념일입니다 과장이창기사무관김진후주무관이동우첨단자동차기술과담당자,, (044) , 3849 보도일시즉시보도가능합니다. 자율주행자동차상


<B8D3B8AEB8BB5F20B8F1C2F72E687770>

Special Theme TV SNS 2015 Spring vol

¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp

CONTENTS 목 차 요약 / 1 Ⅰ. 이란시장동향 / 2 1. 이란시장개요 2. 주요산업현황 3. 이란의교역및투자동향 Ⅱ. 한 - 이란경제교류현황 / 10 Ⅲ. 경쟁국의이란진출현황 / 12 Ⅳ. 對이란 10 대수출유망품목 / 15 Ⅴ. 對이란진출전략 /

( 제 20-1 호 ) '15 ( 제 20-2 호 ) ''16 '15 년국제개발협력자체평가결과 ( 안 ) 16 년국제개발협력통합평가계획 ( 안 ) 자체평가결과반영계획이행점검결과 ( 제 20-3 호 ) 자체평가결과 국제개발협력평가소위원회

.....hwp


<5BC3B7BACE31335D20B9DAB9B0B0FCB9D7B9CCBCFAB0FCC1F8C8EFB9FD2E485750>

제 2 차 (2013~2015) 어린이식생활안전관리종합계획

UDI 이슈리포트제 18 호 고용없는성장과울산의대응방안 경제산업연구실김문연책임연구원 052) / < 목차 > 요약 1 Ⅰ. 연구배경및목적 2 Ⅱ. 한국경제의취업구조및취업계수 3 Ⅲ. 울산경제의고용계수 9

3. 총전력생산량중신 재생에너지발전량이차지하는비율의목표 4. 에너지법 제 2 조제 10 호에따른온실가스의배출감소목표 5. 기본계획의추진방법 6. 신 재생에너지기술수준의평가와보급전망및기대효과 7. 신 재생에너지기술개발및이용 보급에관한지원방안 8. 신 재생에너지분야전문인력

<C0FCC5EBBCF7B9DABDC3BCB320C0B0BCBAB9E6BEC820C3D6C1BEBAB8B0EDBCAD E687770>

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,

<31302D313128C8AD2920C1B6B0A320BAB8B5B5C0DAB7E128BFDCB1B9B1B3C0B0B1E2B0FC20C6AFBAB0B9FDBDC3C7E0B7C920C1A6C1A4292E687770>

<B3EDB4DC28B1E8BCAEC7F6292E687770>

<C1DF29B1E2BCFAA1A4B0A1C1A420A8E85FB1B3BBE7BFEB20C1F6B5B5BCAD2E706466>

화해와나눔-여름호(본문)수정

화해와나눔-가을호(본문)

±Ù·Î½Ã°£ ´ÜÃà°ü·Ã ¹ýÁ¦µµ Á¤ºñ¹æ¾È.hwp


2009 April

204

종합물가정보 2016년 4월호

005- 4¿ùc03ÖÁ¾š

2013_1_14_GM작물실용화사업단_소식지_내지_인쇄_앙코르130.indd

Ⅰ 일반직경력직원 1. 모집분야및인원 ~ 2. 수행직무주요내용 NEXT Energy, With KOGAS - 1 -



2010 산업원천기술로드맵요약보고서 - 화학공정소재

소준섭

센터표지_ 수정




Transcription:

F O C U S 4 정보보호산업진흥법제정필요성및추진방향 FOCUS 임정민 * 최근사회기반전반에걸쳐 ICT에대한의존도가확산됨에따라사이버공격에따른피해도속출하고있다. 이를효과적으로대처하기위해서는안정된정보보호산업의발전이뒷받침되어야한다. 하지만현재정부차원에서종합적이고체계적인정보보호산업진흥에관한법적 제도적기반이미약한실정이다. 따라서국내정보보호시장의확대, 체계적인전문가양성 관리시스템구축등을골자로하는정보보호산업진흥법제정에대한추진방향을소개함으로써국내정보보호산업발전에필요한정책적근거를논하고자한다. Ⅰ. 서론 Ⅱ. 본법안제정의필요성 1. 국내정보보호산업현황 2. 시장실패의관점에서국내정보보호산업의분석 3. 정보보호산업관련기존법체계분석 Ⅲ. 정보보호산업진흥법입법방향 1. 건전한발주관행정착 2. 원천핵심기술경쟁력강화 3. 정보보호전문인력의체계적양성 4. 글로벌정보보호기업육성 지원 Ⅳ. 결론 ** 한국인터넷진흥원정보보호산업기획팀주임연구원 (jml426@kisa.or.kr) 79

Ⅰ. 서론 최근정교한 외부해킹위협대비 와 내부보안 이라는두마리토끼를잡아야하는각국의정부와기업의움직임이분주하다. 외부적으로는 APT( 지능형지속위협 ) 와같이정교화 고도화된사이버위협, 해킹에의한고객개인정보유출위험이도사리고있는상황에서지난 1월카드사고객정보유출사고사례에서볼수있듯이파견근무자등내부자에의한기밀정보유출위험역시상존하고있기때문이다. 더욱이향후클라우드 스마트워크도입, 그리고 IoT(Internet of Things 사물인터넷 ) 등새로운서비스가등장함에따라해킹대상이산업영역에서생활영역전반에이르기까지확장될수있다는우려가현실화되고있다. 따라서 ICT기술의발전 - 보안위협의증가 - 보안강화를뒷받침할수있도록정책적논의가필요한시점에서국내정보보호산업의현실에기반한정보보호산업진흥법 ( 가칭 ) 제정추진방향을소개하고자한다. Ⅱ. 본법안제정의필요성 1. 국내정보보호산업현황 1) 정보보호시장현황작년한해동안전세계에서일어난사이버공격을분석한 2013년지능형위협보고서 에서는우리나라가미국에이어세계에서두번째로 APT 공격대상으로나타났다. 1 하지만이에대한현재우리나라정보보호대응역량은의문의여지가있다. [ 그림2] 에서볼수있듯이속출하는개인정보유출사고사례에도불구하고기업들태반이실질적인정보보호시스템구축과더불어정보보호를위한투자의중요성을간과해왔다. 13년기준정보보호관련실질적인지출이없는기업의수가 80% 가넘는다는사실은사태의심각성을여실히보여주고있다. 정부또한침해사고가발생할당시에만예산을편성하기에급급하여속출하는사이버침해사고위협에효과적으로대응하지못하고있는실정이다. 1 FireEye Advanced Threat Report 2013, http://www.fireeye.com/ 80 INTERNET & SECURITY FOCUS April 2014

FOCUS 출처 : FireEye Advanced Threat Report 2013, http://www.fireeye.com [ 그림 1] APT 공격대상국가순위 3.4 o 침해사고 전산망해 6.25 사이버공격 1.25 인터넷침해사고 1 675 원 7.7 o 침해사고 544 원 해 3 5 3.2 사이버공격 672 원 해 163 25 ( 신세계 등 ) 2 T 7 T 1 2 스 1 15 4 3 5 보해 ( 정보화예산대비비 ) 1 757 원 (5.6 ) 2 6 5 원 (.2 ) 235 원 (6.2 ) 2 633 원 (.1 ) 2 4 2 원 (7.3 ) 2 46 원 (5.) ( 정보보호지출 1 미만 ) 7.7 1.4 2. 6. 2.6 출처 : 한국인터넷진흥원, 2013 정보보호실태조사, 기업부문 [ 그림 2] 사이버침해사고사례에대한정부및기업의대응현황 FOCUS 4 정보보호산업진흥법제정필요성및추진방향 81

한편우리나라정보보호시장규모는세계시장의약 2.8%( 13 년기준 ) 에불과하고, 국 내업체중약 92%(611 개업체 ) 가매출액 300 억미만의중소기업이다. 다만국내정보보 호산업의연평균성장률은 18.1% 로써세계시장 (10.5%) 성장률을능가하기때문에기술 출처 : 한국인터넷진흥원, 2013 국내정보보호산업실태조사 [ 그림 3] 세계정보보호시장대비국내정보보호시장현황 출처 : KISIA & KDCA, 2013 국내정보보호산업실태조사 [ 그림 4] 우리나라정보보호시장전망 82 INTERNET & SECURITY FOCUS April 2014

개발, 인력양성, 투자촉진등적절한지원이뒷받침된다면, 정보보호 는더이상골칫거 리가아닌새로운먹거리산업으로성장할전망이다. FOCUS 2) 정보보호기술현황우리나라정보보호기술수준은미국에비해 1.6년의격차, 79.9% 수준이다. 2 때문에국내기업은기초 원천기술의부족으로인해혁신적인신규제품의개발보다는이미포화상태의시장의제품군개선에주력하고있다. 따라서향후정보보호관련기초 원천기술및사업화기술개발을위한 R&D 투자의단계적확대방안이마련되어야한다. 7. 1. 4.6.2 72.7 한국 국 국.. 1.6 1.2 한국 국 국 2.2 출처 : KEIT, 2013 년산업기술수준조사보고서 [ 그림 5] 기술수준현황 3) 정보보호인력현황 2012년도정보보호인력수급실태조사및분석전망최종결과보고서 ( 한국인터넷진흥원 ) 에따르면, 2013년 1,749명, 2014년 2,144명의정보보보인력부족이예상된다고전망했다. 향후정보보호시장의성장전망과더불어사이버침해사고의증가에따라정보보호전문인력에대한수요는급증할것으로예상된다. 물론현재대학등정규교육기관을통해 2 2013 년산업기술수준조사보고서 (KEIT) 에따르면현재정보보호분야에서는미국이세계최고수준의원천기술을확보하고있다. FOCUS 4 정보보호산업진흥법제정필요성및추진방향 83

연간 800여명의신규인력이양성되고있지만, 이것이곧바로채용및정보보호업계종사로이어진다고볼수는없다. 현장에서는일할사람이없다고하소연하고, 구직자는일할수있는직장이없다고한탄하는 구직난속의구인난 의상황이벌어지고있는것이다. 더중요한문제는인재를키우지도, 유입시키지도못하는산업은결코경쟁력을가질수없다는점이다. 정보보호는 IT/SW 분야내에서도전문적인영역에속하기때문에현업에적합한인력을체계적으로양성하는것도어려운문제이지만, 타산업군에비해상대적으로낮은인센티브로인해우수인력의유입에있어서도제약이존재한다. 따라서현재 정보통신산업진흥법 과 정보통신진흥및융합활성화등에관한특별법 에서정하고있는전문인력양성을위한기반조성에대한근거를토대로, 이를체계적으로정비하여정보보호전문인력양성을위해특화시키는작업이필요하다. 2. 시장실패의관점에서국내정보보호산업의분석 현재국내정보보호산업은수요적측면 ( 협소한시장 ), 공급적측면 ( 열악한기술경쟁력및우수인력확보의어려움 ), 구조적측면 ( 영세한산업구조의악순환, 미약한글로벌경쟁력 ) 에서집중적인지원정책이필요하다. 정보보호산업과관련하여이러한측면들을시장실패로규정할수있다면, 정부는적절한시장개입정책을집행함으로써문제를해결하고, 경제적효율성을향상시킬수있기때문이다. 따라서현재정보보호산업을경제학적으로분석해보고, 어떠한측면에서시장실패가발생할수있으며, 이를어떻게문제를해결해나갈수있는지정책집행방향을살펴보고자한다. 1) 시장실패와정부개입시장의가격기구가효율적인자원배분및공평한소득분배를실현하지못하는경우를시장실패 (market failure) 라고한다. 시장실패의발생원인은불완전한경쟁 ( 시장지배력 ), 공공재 ( 무임승차 ), 외부성 ( 유인구조의왜곡 ), 불완전한정보 ( 정보의비대칭성 ) 등다양하다. 이중외부성과정보의비대칭성으로인한역선택의관점에서현재우리나라정보보호산업의시장실패현상을분석해보고, 이를해결하기위해정보보호산업진흥법제정에따른시사점에대해논의하고자한다. 84 INTERNET & SECURITY FOCUS April 2014

2) 외부성 긍정적외부효과 외부효과 (externality) 란한경제주체의행위가제 3 자의경제적후생에영향을미치는데 반해, 그영향에대한보상이이루어지지않는경우에발생한다. 3 제 3 자의경제적후생수준 FOCUS 을낮추는외부효과를부정적외부효과 (negative externality) 라하고, 제3자에게이득을주는외부효과를긍정적회부효과 (positive externality) 라고한다. 외부효과가발생하면사회적후생을고려할때시장에참여하는수요자와공급자의경제적후생뿐만아니라, 방관자로서간접적인영향을받는제3자의경제적후생까지도감안해야한다. 다만수요자와공급자의의사결정과정에서제3자및사회적으로어떠한영향을미치는지의식하지않기때문에시장균형이자원의효율적인배분을달성하지않는경우가발생할수있다. 즉시장에의한균형상태에서경제적후생이극대화되지않을수있는것이다. 이를우리나라정보보호산업에적용해보면, 먼저해킹의경우사회적으로부정적외부효과를초래한다고볼수있다. 해킹으로인해개인정보등이유출되는경우정보관리주체 ( 기업등 ) 가직접적으로손해를보지않는이상, 자유방임상태 ( 시장에전적으로맡겨두었을때 ) 에서고객 ( 유출된개인정보당사자 ) 의손해를방지하기위해정보보호에대한투자유인이부족하다. 따라서정부는정보보호제품및서비스에대한투자를강화하도록인센티브구조를설계하고, 투자촉진을위한정책을집행해야한다. 한편정보보호제품및서비스는긍정적외부효과를창출한다. 정보관리주체 ( 기업등 ) 의정보보호제품및서비스에대한투자는고객 ( 유출된개인정보당사자 ) 에게정보유출방지에따른편익을제공하고, 이는궁극적으로기업의신뢰도제고의결과로이어진다. 또한정보보호제품및서비스를기반으로탄탄한정보보호인프라가구축되면고객및기업에대한직접적인사적편익을넘어사회적으로 ICT산업의발전을안정적으로뒷받침할수있다. 향후가상화, 클라우드 스마트워크도입, 그리고사물인터넷 (IoT) 에대한이슈가부각됨에따라잠재된보안위험에선제적으로대응함으로써안정적인 ICT산업발전의초석이될수있을것이다. 다만 [ 그림6] 에서볼수있듯이긍정적외부효과를창출하는재화및서비스에대한수요곡선은그재화의사회적가치를반영하지못한다. 이경우사회적가치는사적가치보다크기때문에사회적가치곡선은수요곡선보다높은곳에위치한다. 이에따라최적생산량 3 외부성및정보의비대칭성에관한경제학적정의는 맨큐의경제학 을차용하였다. FOCUS 4 정보보호산업진흥법제정필요성및추진방향 85

[ 그림 6] 정보보호제품및서비스의의수요 - 공급그래프 은사회적가치곡선이정보보호제품및서비스를생산하는데따른한계비용을나타내는공급곡선과만나는점에서결정되어야한다. 이는사회적으로바람직한생산량은현재시장에서결정되는균형거래량보다많아야한다는것을뜻한다. 따라서정부는시장참여자들에게긍정적외부효과를내부화하도록유도함으로써시장실패를바로잡을수있다. 시장균형을최적의상태로유도하기위해정부는인센티브를부여해야한다. 이는정보보호산업진흥법제정을통해긍정적외부효과를창출하는정보보호제품및서비스에대한투자를유도할수있도록인센티브에관한조항을반영한다면, 정부는이를근거로적절한진흥정책을통해긍정적외부효과를내부화할수있다. 4 이처럼일반적으로시장실패가발생하면자원배분이효율적으로이루어지지못하기때문에정부의시장개입이필요하다. 즉, 시장실패가정부의시장개입에대한이론적인근거가되는것이다. 다만정부가시장에개입하는과정에서오히려자원배분이더비효율적으로될가능성도상존하므로시장실패가정부의시장개입에대한필요조건일뿐, 충분조 4 정보보호산업진흥법이정보보호제품및서비스에대한사회적인투자를유도할수있도록구체적인인센티브방안은이후에설명한다. 86 INTERNET & SECURITY FOCUS April 2014

건까지만족시키는것은아님을염두에두어야한다. 중요한점은정보보호산업진흥법의제정을통해국내정보보호산업육성을위한가장효 과적인정책추진의근거를확보할수있다는것이다. 때문에현재입법을추진하는단계에 FOCUS 서부터정부의시장개입및정책추진에따른효율성및형평성을검증하는것이필요하다. 이번입법을통해정보보호산업육성의법적 제도적틀을갖춤으로써 ICT산업발전과정에서사이버위협 ( 부정적외부효과 ) 으로인한또다른시장실패의가능성을방지한다는측면에서의의를찾을수있는것이다. 그렇다면이어서우리나라정보보호산업의 투자부족 상황을정보의비대칭성관점에서설명해보고자한다. 3) 과소투자, 역선택의결과 [ 그림7] 은사회적으로정보보호투자수준과그에따른사회적비용의상관관계를나타낸다. 위에서분석했듯이정보보호제품및서비스의긍정적외부효과에따라현재우리나라정보보호산업이 B점에서투자 ( 과소투자 ) 가이루어지고있다고가정하면, 사회적으로 R2-R1 만큼의사이버공격위험이고스란히노출되게된다. 그결과 A-B-R1-R2 사각형면적에해당하는해킹피해즉, 사회적손실을초래하게된다. [ 그림 7] 정보보호투자수준 - 사이버위험의관계그래프 FOCUS 4 정보보호산업진흥법제정필요성및추진방향 87

이는실제로우리나라를비롯해세계적으로속출하는사이버사고와그에따른손해배상등으로인해천문학적인사회적비용이초래되고있는사실을통해증명할수있다. 다만사회적으로투입할수있는자원이제한되어있는상황에서모든종류의사이버위협을방지하는수준의투자 ( 과대투자 ) 는가능하지도않고, 바람직하지도않다. 따라서그림에서볼수있듯이이론적으로 C수준, 즉최적규모의투자가이루어진다면, 총사이버위험은충분히사회적으로대응할수있는수준으로관리할수있다. 물론이경우에도사이버공격수법이지능과, 고도화됨에따라일부신규취약점발견을통한개별위험은여전히존재하고, 이에따라피해가발생할수있다. 다만사회적으로적정한투자규모가지속적으로투입된다면 (C수준), 총위협수준및사이버사고로인한피해액은사회적으로충분히대응 관리할수있는수준으로유지할수있다. 적어도최근사이버사고로인해손해배상및천문학적인사회적비용등경제적비효율을초래하는것을방지하고, 이를최소화할수있는것이다. 문제는사회적으로정보보호제품및서비스에대한수요를정확하게파악하지못한다는점이다. 실제로기업의경우보호해야하는정보자산을파악하고, 이를보호할수있는방법을알지못하거나사이버공격에따른피해규모를산정하지못하는등, 최적투자규모를알지못하는경우가많다. 5 해커의취약점공격방법은갈수록지능화 고도화되고있지만실제로자신의정보가얼마나, 어떠한방법으로유출되고있는지제대로파악하지못하는상황이기때문에정보보호제품및서비스에대한수요를과소계상할수밖에없다. 더구나이러한정보의비대칭성으로인한역선택의결과사회적으로정보보호제품및서비스에대한과소투자 (B에서투자의사결정이이루어짐 ) 가초래되고, 이는더이상시장기구를통한자원배분의효율성을기대할수없다 ( 시장실패 ) 는것을의미한다. 따라서정보보호산업진흥법제정을통해민간부문의투자를활성화하고, 정보보호산업의경쟁력을강화하여사이버공격에의한피해규모를사회적으로적절한수준에서관리할수있도록유도하는것이필요하다. 5 한국인터넷진흥원, 2013 년정보보호실태조사, 기업부문 88 INTERNET & SECURITY FOCUS April 2014

3. 정보보호산업관련기존법체계분석 정보보호산업진흥법제정을추진함으로써전반적인산업육성방안을모색함으로써급 FOCUS 증하는사이버위협에대응할수있도록경쟁력을강화하고자한다. 때문에입법추진과정에서정보보호산업육성의법적 제도적틀을갖추는것을목표로하는것과동시에 ICT 산업발전의기반이되는 정보통신산업진흥법, 정보통신진흥및융합활성화등에관한특별법, 정보통신망이용촉진및정보보호등에관한법률 등기존법률과의상호체계적연관성을고려해야한다. 따라서현재정보보호산업관련법제도를검토해봄으로써정보보호산업육성에대해보완및개선사안을살펴보고자한다. 1) 정의 정보보호산업 이란정보보호제품을개발 생산또는유통하거나정보보호에관한컨설팅, 보안관제등서비스를수행하는산업으로정보보안, 물리보안, 융합보안을총칭하는개념이다. 정보보호산업에대한정의는 국가정보화기본법 제3조제6호, 정보통신산업진흥법 제 32조에서근거조항을찾을수있는데각각법에서정하고있는정보보호산업에대한개념상차이가있기때문에통합하여정보보호를재정의해야할필요성이있다. 먼저국가정보화기본법제3조6호에서는정보보안을중심으로정보보호의개념을정의하고있다. 한편정보통신산업진흥법제32조의경우정보보안과물리보안의개념을포함하여지식정보보안을정의하고있다. 따라서정보보호및정보보호산업의개념이혼동되지않도록재정의작업이선행되어야한다. < 표 1> 정보보호관련정의조항 조항 국가정보화기본법제3조제6호 ( 정의 ) 정보통신산업진흥법제32조 ( 지식정보보안산업의육성등 ) 내용 정보보호 란정보의수집, 가공, 저장, 검색, 송신, 수신중발생할수있는정보의훼손, 변조, 유출등을방지하기위한관리적 기술적수단 ( 이하 정보보호시스템 이라한다 ) 을마련하는것을말한다. 1 미래창조과학부장관은암호 인증 인식 감시등의보안기술 ( 이하 보안기술 이라한다 ) 이적용된제품 ( 이하 보안제품 이라한다 ) 을제조또는판매하거나, 보안기술또는보안제품을활용하여재난 재해 범죄등에대응하거나관련장비 시설을안전하게운영하기위한모든서비스제공 ( 이하 지식정보보안 이라한다 ) 과관련되는산업의육성및경쟁력강화를위하여필요한시책을마련하여야한다. < 개정 2013.3.23> 2 미래창조과학부장관은제1항에따른시책을원활하게시행하기위하여민간부문에의한지식정보보안산업의진흥에필요한재정및기술등의지원을할수있다. FOCUS 4 정보보호산업진흥법제정필요성및추진방향 89

2) 정보통신산업진흥법진흥관련조항의경우 정보통신산업진흥법 및 정보통신진흥및융합활성화등에관한특별법 에근거를두고있다. 정보통신산업진흥법 지식정보보안산업의육성등 ( 제32 조 ), 지식정보보안컨설팅전문업체의지정 ( 제33조 ), 결격사유 ( 제34조 ), 지식정보보안컨설팅전문업체의양도 합병등 ( 제35조 ), 휴업 폐업 재개 ( 제36조 ), 지식정보보안컨설팅전문업체의지정취소등 ( 제37조 ), 보고등 ( 제38조 ), 기록 자료의보존등 ( 제39조 ), 지식정보보안산업협회의설립 ( 제40조 ) 등이다. < 표 2> 정보통신산업진흥법 조항 제32조 ( 지식정보보안산업의육성등 ) 제33조 ( 지식정보보안컨설팅전문업체의지정 ) 제34조 ( 결격사유 ) 내용 1 미래창조과학부장관은암호 인증 인식 감시등의보안기술 ( 이하 보안기술 이라한다 ) 이적용된제품 ( 이하 보안제품 이라한다 ) 을제조또는판매하거나, 보안기술또는보안제품을활용하여재난 재해 범죄등에대응하거나관련장비 시설을안전하게운영하기위한모든서비스제공 ( 이하 지식정보보안 이라한다 ) 과관련되는산업의육성및경쟁력강화를위하여필요한시책을마련하여야한다. < 개정 2013.3.23> 2 미래창조과학부장관은제1항에따른시책을원활하게시행하기위하여민간부문에의한지식정보보안산업의진흥에필요한재정및기술등의지원을할수있다. 1 미래창조과학부장관은다음각호의업무를안전하고신뢰성있게수행할능력이있다고인정되는자를지식정보보안컨설팅전문업체 ( 이하 지식정보보안컨설팅전문업체 라한다 ) 로지정할수있다. < 개정 2013.3.23> 1. 정보통신기반보호법 제8조에따라지정된주요정보통신기반시설 ( 이하 주요정보통신기반시설 이라한다 ) 의취약점분석 평가업무 2. 주요정보통신기반시설보호대책의수립업무 2 지식정보보안컨설팅전문업체로지정받을수있는자는법인으로한정한다. 3 미래창조과학부장관은제1항에따라지식정보보안컨설팅전문업체를지정할때에는 3년의유효기간을정하여지정할수있으며, 그유효기간이끝났을때에는재지정할수있다. < 개정 2013.3.23> 4 제1항에따른지정및제3항에따른재지정의기준, 절차및방법등에관하여필요한사항은미래창조과학부령으로정한다. < 개정 2013.3.23> 다음각호의어느하나에해당하는자는지식정보보안컨설팅전문업체로지정받을수없다. 1. 임원중다음각목의어느하나에해당하는사람이있는법인가. 미성년자, 금치산자또는한정치산자나. 파산선고를받고복권되지아니한사람다. 금고이상의실형을선고받고그집행이끝나거나 ( 집행이끝난것으로보는경우를포함한다 ) 면제된날부터 2년이지나지아니한사람라. 금고이상의형의집행유예를선고받고그유예기간중에있는사람마. 제37조제1항제1호또는제3호부터제5호까지의규정에따라지정이취소된법인의취소당시의임원이었던사람 ( 취소된날부터 2년이지나지아니한사람만해당한다 ) 2. 제37조제1항제1호또는제3호부터제5호까지의규정에따라지정이취소된후 2년이지나지아니한법인 90 INTERNET & SECURITY FOCUS April 2014

조항 제35조 ( 지식정보보안컨설팅전문업체의양도 합병등 ) 내용 1 지식정보보안컨설팅전문업체는다음각호의어느하나에해당하는경우에는미래창조과학부령으로정하는바에따라미래창조과학부장관에게신고하여야한다. < 개정 2013.3.23> 1. 제33조제1항각호의업무를양도하는경우 2. 지식정보보안컨설팅전문업체인법인간에합병하는경우 2 미래창조과학부장관이제1항에따른신고를수리할때에는양수인또는합병에따라설립되거나존속하는법인이제33조제4항에따른지정기준에적합하고제34조에따른결격사유에해당하지아니하는지를확인하여야한다. < 개정 2013.3.23> 3 제2항에따른양수인또는법인은같은항에따라미래창조과학부장관이신고를수리한때에그지식정보보안컨설팅전문업체의지위를승계한다. < 개정 2013.3.23> FOCUS 제36조 ( 휴업 폐업 재개 ) 제37조 ( 지식정보보안컨설팅전문업체의지정취소등 ) 제38조 ( 보고등 ) 제39조 ( 기록 자료의보존등 ) 제40조 ( 지식정보보안산업협회의설립 ) 지식정보보안컨설팅전문업체가휴업 폐업하거나업무를재개할때에는휴업 폐업또는재개하려는날의 30 일전까지미래창조과학부령으로정하는바에따라미래창조과학부장관에게신고하여야한다. < 개정 2013.3.23> 1 미래창조과학부장관은지식정보보안컨설팅전문업체가다음각호의어느하나에해당하면미래창조과학부령으로정하는바에따라지식정보보안컨설팅전문업체의지정을취소하거나 3개월이내의기간을정하여그업무의전부또는일부의정지를명할수있다. 다만, 제1호부터제3호까지의어느하나에해당하는경우에는지식정보보안컨설팅전문업체의지정을취소하여야한다. < 개정 2013.3.23> 1. 속임수나그밖의부정한방법으로지정을받은경우 2. 제33조제4항에따른지정기준에미달한경우 3. 제34조각호의어느하나에해당하게된경우 ( 임원이결격사유에해당된날부터 3개월이내에그임원을바꾸어임명한경우는제외한다 ) 4. 업무를수행하면서알게된정보를오용하거나남용하여주요정보통신기반시설의운영에장애를가져온경우 5. 제39조제1항을위반하여기록및자료를안전하게보존하지아니한경우 2 미래창조과학부장관은제1항에따라지식정보보안컨설팅전문업체의지정을취소하려면청문을하여야한다. < 개정 2013.3.23> 1 미래창조과학부장관은주요정보통신기반시설의정보보호를위하여특히필요하다고인정하는경우에는지식정보보안컨설팅전문업체로하여금관련서류또는자료를제출하게할수있다. < 개정 2013.3.23> 2 지식정보보안컨설팅전문업체는제1항에따라관련서류또는자료의제출을요구받았을때에는특별한사유가없으면이에따라야한다. 1 지식정보보안컨설팅전문업체는주요정보통신기반시설의취약점분석 평가업무와관련하여작성한기록및자료를안전하게보존하여야한다. 2 지식정보보안컨설팅전문업체는제37조에따라지정이취소되거나폐업한때에는제1항에따른기록및자료를 정보통신기반보호법 제5조제1항에따른주요정보통신기반시설을관리하는기관의장에게반환하거나폐기하여야한다. 3 제2항에따른관련기록및자료의폐기에필요한사항은미래창조과학부령으로정한다. < 개정 2013.3.23> 1 지식정보보안산업과관련된사업을하는자는지식정보보안산업의건전한발전과국가산업전반의지식정보보안수준의향상을위하여미래창조과학부장관의인가를받아지식정보보안산업협회를설립할수있다. < 개정 2013.3.23> 2 지식정보보안산업협회는법인으로한다. 3 지식정보보안산업협회의인가절차, 사업및감독등에관하여필요한사항은대통령령으로정한다. 4 지식정보보안산업협회에관하여이법에서정한것을제외하고는 민법 중사단법인에관한규정을준용한다. FOCUS 4 정보보호산업진흥법제정필요성및추진방향 91

다만제33조 ( 지식정보보안컨설팅업체의지정 ) 에서부터제39조 ( 기록 자료의보존등 ) 는지식정보보안컨설팅업체에한정된사안만다루고있기때문에정보보호산업육성에관한직접적인근거조항으로보기어렵다. 더불어제40조 ( 지식정보보안산업협회의설립 ) 도마찬가지로, 산업발전의부수적인측면만언급하고있을뿐, 이를토대로인력양성, 기술개발, 투자촉진등정보보호산업을육성하기위한직접적인정책적추진근거로볼수없다. 3) 정보통신망이용촉진및정보보호등에관한법률 정보통신망이용촉진및정보보호등에관한법률 제2조제1항제8호에서도정보보호산업을정의하고있다. 하지만본법에서는정보통신망의안전망확보를위한정보보호의당위성만정의되어있을뿐더이상정보보호산업육성과관련된조항은찾을수없다. 때문에전반적인정보보호산업육성에관한정책지원의근거로써한계가있다. 즉, 본법을근거로심각한인력수급불균형, 정보보호기업의영세성, 글로벌진출기반미약, 투자인센티브부재등현재정보보호산업의당면한과제들을해결할수없는것이다. < 표 3> 정보통신망이용촉진및정보보호등에관한법률 조항 제 2 조제 1 항제호 ( 정의 ) 내용 정보보호산업 이란정보보호제품을개발 생산또는유통하는사업이나정보보호에관한컨설팅등과관련된산업을말한다. 4) 정보통신진흥및융합활성화등에관한특별법 정보통신진흥및융합활성화등에관한특별법 은정보통신의상태계활성화, SW 및콘텐츠등정보통신융합활성화를위한목적으로제정되었다. 즉, 정보통신설비, 컴퓨터등의기기, 정보통신설비및컴퓨터등의이용기술에한정된진흥및융합활성화에초점이맞추어져있다. 때문에앞서소개한두법률과마찬가지로우리나라정보보호산업의수요적측면 ( 협소한시장 ), 공급적측면 ( 열악한기술경쟁력및우수인력확보의어려움 ), 구조적측면 ( 영세한산업구조의악순환, 미약한글로벌경쟁력 ) 에서의산업진흥을위한정책추진의근거로보기어렵다. 아래 < 표4> 에서볼수있듯이 정보통신진흥및융합활성화등에관한특별법 내에서정보보호에관한사안은제5조기본계획의수립및시행의제2항제6호뿐이다. 즉, 디지털콘텐츠, 소프트웨어등일반정보통신융합기술, 서비스등에초 92 INTERNET & SECURITY FOCUS April 2014

점이맞추어져있기때문에정보보호산업육성과관련하여본법의한계는명확하다. 따라 서오늘날 ICT 산업은정보보호산업을기반으로발전과성장이가능하다는패러다임을 반영한별도의특별법 ( 정보보호산업진흥법 ) 이필요하다. FOCUS < 표 4> 정보통신진흥및융합활성화등에관한특별법 조항 내용 제 5 조 ( 기본계획의수립및시행 ) 1 미래창조과학부장관은정보통신진흥및융합활성화를위하여 3년단위의기본계획 ( 이하 기본계획 이라한다 ) 을 3년마다수립하여시행하되, 필요한경우수립주기를단축하거나기본계획을변경할수있다. 2 기본계획 ( 기본계획의변경을포함한다. 이하같다 ) 에는다음각호의사항이포함되어야한다. 1. 정보통신진흥및융합활성화정책의방향및목표 2. 정보통신진흥및융합활성화를위한전문인력양성과시설투자확대등인적 물적기반조성에관한사항 3. 정보통신융합등지식재산권의보호에관한사항 4. 정보통신진흥및융합활성화를위한연구개발지원및연구성과의확산과사업화추진에관한사항 5. 정보통신진흥및융합활성화를위한관련법 제도개선에관한사항 6. 정보보호와정보보안에관한사항 7. 정보통신진흥및융합활성화에관한국제협력과해외진출지원에관한사항 8. 관계중앙행정기관간정책및업무협력에관한사항 9. 그밖에정보통신진흥및융합활성화를위하여필요한사항 3 기본계획은제7조제1항에따른정보통신전략위원회의심의를거쳐야한다. 4 미래창조과학부장관은기본계획의수립을위하여관계중앙행정기관, 지방자치단체및관련공공기관의장에게소관분야별계획이나자료의제공등을요청할수있다. 이경우계획이나자료의제공등을요청받은기관은특별한사유가없으면이에협조하여야한다. 5 미래창조과학부장관은기본계획의시행과그추진실적을평가하여다음기본계획수립시그평가결과를반영하여야한다. Ⅲ. 정보보호산업진흥법입법방향 기본적으로정보보호산업진흥법은 ICT 산업발전의기반이되는 정보통신산업진흥법, 정보통신진흥및융합활성화등에관한특별법, 정보통신망이용촉진및정보보호등에관한법률 등기존법률과의상호체계적연관성을고려하는것을원칙으로해야한다. 다만기존 ICT 관련법제들이정의상정보보호를 통신상의정보보호 에한정하고있다면, 정 FOCUS 4 정보보호산업진흥법제정필요성및추진방향 93

보보호산업진흥법을통해 개인및사회안전을위한정보보호 에이르기까지목표를확장시 킬수있도록토대를마련하고자하는것이다. 이를통해최근국내정보보호산업발전에 필요한네가지목표를제시하고자한다. 1. 건전한발주관행정착 공공기관의정보보호제품및서비스에대한구매수요정보, 정보보호시스템구축사업계획을마련하여이를대다수가영세규모인정보보호기업에게제공함으로써제품개발및생산에있어경쟁력을제고하고자한다. 이과정에서합리적인유지보수요율및정보보호제품 서비스대가지불관행을확립할수있도록법적근거를마련해야한다. 2. 원천핵심기술경쟁력강화 정보보호원천핵심기술개발을위해민간부문의투자를유도할수있도록정보보호기업의기술시험, 개발등사업지원근거를마련하고자한다. 또한품질향상을통해정보보호제품의경쟁력을높이기위해표준화에필요한사업근거를마련한다. 6 이를구체적으로살펴보면다음과같다. - 정보보호관련기술거래및기술 서비스의공공구매활성화를통한수요창출을위한근거마련 - 정보보호관련유망기술 서비스의사업화지원, ICT 등신규융합정보보호기술 서비스의신속처리를위한근거를마련함으로써핵심원천기술개발을통한신성장동력확보 - 그밖에정보보호기술및서비스의표준화사업, 품질인증제, 정보보호인증사업을위한법적근거마련 6 국제표준화활동지원강화등정보보호제품간호환성확보를위한사업근거를마련하고자함 94 INTERNET & SECURITY FOCUS April 2014

3. 정보보호전문인력의체계적양성 정보보호산업의글로벌경쟁력제고및일자리창출을위해전문성을갖춘전문가양성 FOCUS 기반을마련하고자한다. 특히우리나라의비약적인 ICT발전에비해현재대학등정규교육과정을통해실무형인재를효과적으로육성하지못하는상황이다. 더욱이정보보호관련중소기업의인력난을해결할수있도록정책적추진근거가필요하다. 따라서향후정보보호인력의전문성향상과더불어일자리안정성및정부지원의근거를마련할수있도록법안을설계해야한다. 4. 글로벌정보보호기업육성 지원 향후정보보호제품및서비스에대해소비자들이신뢰할수있도록편의성 안정성 신뢰성등의품질인증기준을마련할수있는법적토대를마련하고자한다. 더불어국제적으로통용될수있는기준을제시함으로써향후해외시장진출을염두에두고, 정보보호전문인력의국제협력및국제공동연구개발사업을지원할수있도록근거를마련한다. 또한영세한국내정보보호기업에대해세제혜택, 자금융자등금융지원과더불어해외진출을적극장려할수있도록재원근거를마련한다. 이를구체적으로살펴보면다음과같다. - ICT 산업의기반이되는정보보호산업활성화및지원, 정보보호산업관련중소기업및벤처기업의육성과지원을위한근거를마련하여신성장동력확보, 글로벌기업으로성장할수있는정보보호산업생태계를구축하고자함 - 정보보호기업의국제협력및해외진출지원, 정보보호관련중소기업및벤처기업의창업활성화및해외진출지원, 정보보호관련중소기업및벤처기업에대한등의특별지원을할수있는근거마련 FOCUS 4 정보보호산업진흥법제정필요성및추진방향 95

Ⅳ. 결론 지난해 12월정보보호산업진흥을위한정책토론회를통해제시된정보보호산업진흥법제정에관한각계 각층의전문가의견을종합하고, 어떤이슈들이주로다루어지고있는지논의현황을소개함으로써법제정을통해기존의정보통신망법이다루지못했던정보보호산업진흥에관한보다심도깊은공론의장의토대가될수있도록방향성을제시하고자했다. 7 향후정보보호산업진흥법이발의되어통과된다면, 구체적인조문을바탕으로국내정보보호산업의현실에기반한법적 제도적논의가더욱활성화될것을기대한다. 참고문헌 한국인터넷진흥원 (2013), 정보보호산업진흥법제정을위한정책토론회자료집 한국인터넷진흥원 (2013), 2013 정보보호실태조사 한국인터넷진흥원 (2013), 2013 국내정보보호산업실태조사 한국인터넷진흥원 (2012), 2012년도정보보호인력수급실태조사및분석전망최종결과보고서 FireEye, FireEye Advanced Threat Report 2013, <http://www.fireeye.com> KEIT (2013), 2013년산업기술수준조사보고서 N. Gregory Mankiw (2009), 맨큐의경제학 7 2013.12.17.( 화 ) 정보보호산업진흥을위한정책토론회, 권은희의원실, 미래부주최, 한국인터넷진흥원주관 96 INTERNET & SECURITY FOCUS April 2014