최종연구보고서 KISA-RP-2010-0054 미국, 영국, 독일의기반보호법체계에관한연구 A study on the infrastructure protection law system in the United states, UK and German 2010. 12.
- 2 -
연구진 연구책임자 : 이창범팀장 (KISA 법제분석팀 ) 참여연구원 : 곽관훈교수 ( 선문대법대 ) 박완규교수 ( 숭실대법대 ) 장경원교수 ( 시립대법학전문대학원 ) 이희성주임연구원 (KISA 법제분석팀 ) ( 참여연구원가나다순 ) * 본연구보고서의작성에있어서제 1 부는박완규교수, 제 2 부는 곽관훈교수, 제 3 부는장경원교수가각각수고해주셨습니다.
- 4 -
요약문 1. 제목 미국, 영국, 독일의기반보호법체계에관한연구 2. 연구목적및중요성 정보화사회가급속도로진행되면서현대인은모든활동대부분을정보네트워크에의존하고있으며, 사회주요기반시스템의정보통신의존성이심화되었다. IT혁명에의한고속의정보유통및오픈환경의진전은한편으로네트워크를경유하여외부자가정보시스템으로침입하여데이터를부정취득하거나시스템파괴및이용방해를하는새로운위협의가능성을의미하고, 실제이른바해커에의한정보시스템으로의침입과컴퓨터바이러스를비롯하여정보보안에관한여러가지문제를발생시키고있다. 이러한정보통신인프라의위협이주요기반시설의위협으로까지확장되면서기반시스템의파괴시대규모의피해가예상된다. 또한산업기밀, 주요개인정보등정보가집약되고, 전자금융, 전자상거래활성화되면서다양한범죄의기회가증대되었다. 최근클라우드컴퓨팅과무선네트워크의중요도가커짐에따라국가자산으로서의국가기반보호는더욱중요시되었다. 또한중요기반시설을목표로한스턱스넷 (Stuxnet) 웜공격, 러시아마피아단등전문범죄조직과의연계, 핵티비즘 (Hacktivism) 의확산등으로 2009년의 7 7 D-Dos 대란과같은전문적범죄와같은목적달성을위한사이버공격이수단화 대규모화되면서정보통신기반보호의문제는국가간해킹전 ( 戰 ), - 5 -
사이버전 ( 戰 ) 양상으로진행되었다. 국내의전문가들사이에서는 7 7 D-Dos 대란시대응이미흡했던이유로국가전체의정보기반을총괄하는보안컨트롤타워의부재를꼽았는데, 이의도입은청와대와각부처, 보안업계간의의견차이로연기되었다. 미국, 영국, 독일등정보선진국에서는기반보호를단순한사회시설물안전관리에관한것이아니라국가안보차원에서격상하여인식하고그에따른법제정립을위해노력해왔다. 우리나라도전자적침해행위로부터주요정보통신기반시설의보호에관한대책을수립 시행하기위하여 2001년 정보통신기반보호법 을제정 시행하여왔다. 하지만아직우리는사이버침해의기반보호에대한인식수준을향상시키고그에걸맞는법제마련을할필요가있다. 국가운영의근간이되는네트워크와시스템을포함하는국가기반시설에대한보안체계를다시금되짚어볼때이다. 이연구는각국의기반보호체계와법제도를살펴봄으로써우리나라의기반보호법제및체계를개선하는방안을모색할것이다. 3. 연구내용및범위 미국의기반보호관련법률 ( 국토안보법, 주요기반정보보호법, 애국법 등 ) 을연구하였고, 기반보호관련대통령령 (Executive Order), 제정법에근거하여정부에서수립한기반보호를위한각종 계획 ' 과 전략 들을살펴보았다. 또한기반보호법제관련논문들을분석하여법률의배경, 제정경위, 입법취지, 법률의주요내용, 쟁점등에대해서도광범위하게살펴보았다. 독일의경우에는내무부 (BMI) 1) 와그산하의연방정보보호청 (BSI) 등의 기반보호의중추를담당하는기관들의역할 책임을분석하였고, 2005 년 ~2008 년에발표된세가지기반보호관련정부문서를통해독일의기 1) Federal Ministry of the Interior - 6 -
반보호전략및체계를분석하였다. 기반보호및사이버보안에대한내용을담은독일의주요법제분석을통하여독일의현황을살펴보고, 현재독일이우리나라와달리별도의기반보호법을제정하지않고각종법률에컴퓨터및네트워크보호, 테러대응등에관한조항을산재하여규정하고있는취지가무엇인지를검토하였다. 영국의경우에는 2005년과 2010년영국정부에의해발표된보고서를중심으로시민및기업중심서비스의구축, 자원공유체계 (Shared Service) 의구축및 IT전문가의육성등의내용을담고있는정보통신관련정책의기본방향에대해살펴보았다. 또한영국의행정조직및법률이갖고있는기본적인특성에대해살펴본후, 이를바탕으로정보통신기반보호와관련한제도들을검토하였다. 4. 연구결과 (1) 미국 미국은 9.11 테러에대한미국정부의대응으로 국토안보법 을제정하고국토안보부를신설하면서 22개연방정부기관을통합하여국토안보업무를명확하고효율적으로계속하기위한조직구조를갖추었다. 또한수색, 전자감시, 테러분자로의심되는자들을억류할수있는광범위한새로운권한을법집행기관에부여하는 애국법(USA Patriot Act) 의제정으로미국정부기관은테러활동의방지를위한감시활동과외국정보기관에대한미국내에서감시권한이더욱강화되었다. 또한법률을보충하는 NIPP( 국가기반보호계획 ), SSP( 특정부문계획 ) 등의기반보호관련계획과프로그램들의수립을통하여기반보호법제와체계를매우세밀하게마련하였으며그에따른기반보호활동도철저하고진지하게이루어지고있다. - 7 -
미국기반보호체계는다양한법적근거에각기관의권한, 역할, 책임등이규정되어있다. - NIPP는기반보호미션실행을위한일치된국가적노력과방법을기울이기위하여필요한법률, 국가전략, 국가안보에관한대통령령에서비롯되는활동들을협력, 통합과동시진행을위한기본구조를제시한다. - 국토안보국가전략 (the National Strategy for Homeland Security) 은국가기반보호에대한결단을제시하였는데 모든계층의정부, 민간산업과민간기관그리고미국국민들의전례없는협력 2) 으로미국의주요기반과핵심자원을테러공격으로부터보호할것을촉구하고있다. 또한미국정부는모든계층의정부, 민간산업과민간기관그리고미국국민들의전례없는협력으로미국의주요기반과핵심자원을테러공격으로부터보호할것을촉구하고, 더나아가장기간에걸쳐기반보호및회복력을강화하기위한프로그램들을실행하고있다. (2) 영국 영국의기반보호는민간영역을담당하는 CPNI 와함께정부의취약한 정보및기반과중요한국가기반시설을보호하는역할을담당하는 MI5 를중심으로이루어진다. 영국의경우법률에서정보통신정책과관련한구체적인내용을정하고있지않고, 정보통신과관련한정책을책임지는주체가기본적인방향을설정하여국가전체적관점에서기본적인방향을제시하고있다. - 영국의경우모든행정서비스가 ICT를통해이루어진다는점을전제로하여보다적은비용으로효율적인국가 ICT시스템을갖출수있는 2) Supra note 1, at 15. - 8 -
기본적인방향을제시하며, 정부전체적차원에서일관된 ICT 정책이추 진될수있도록하는것에중점을두고있었다. 또한정부전체를아우르 는공통기반시설및공통기준등을갖출것을제시하고있다. (3) 독일 독일의기반보호와관련된법체계는우리나라의기반보호법제보다더복잡한양상을띠고있으나정부부처별 기관별기능적협력체제를유지한다. - 독일의법제상정보통신기반보호를위한안전에관한조치들은 연방정보기술안전청설치법 상연방정보기술안전청 (BSI) 이담당하며, 정보통신관련시장규제, 고객보호, 무선방송송신, 주파수정책, 보편적서비스, 통신비밀, 정보보호및공적안전등을위한권한은연방망관리청 (BNetzA) 이담당하고있음을알수있었다. - 독일이정보통신기반보호와관련하여연방내무부가주관하고, 연방정보국은내용통제에중심을두어범죄행위의예방을위한정보통신의감시 기록권을가지고있다는점에서우리에게일종의시사점을제공한다. 독일은기반시설보호는정부당국의노력만으로는한계가있기때문에민간기관과의협력을중요시하고있으며이미민간부문과공공부문의상호협력및조정기능이활성화되어있다. 5. 활용에대한건의 본연구보고서는정보통신인프라의위협이주요기반시설의위협으로까지확장되면서사이버침해의기반보호에대한인식수준을향상시키고그에걸맞는법체계마련의방향을제시하기위해작성된것이다. 따라서우리나라기반보호관련법제의문제점을파악하고발전방향을논의하는데기초연구자료로활용되기바란다. - 9 -
목차 제 1 부미국의정보통신기반보호법체계 제 1 장서론 17 제 1 절연구목적 17 제 2 절연구방법 17 제 2 장미국의기반보호법제 18 제 1 절기반보호필요성과법률제정 18 1. 기반의개념 18 2. 기반보호의필요성 20 3. 9.11 테러의영향 20 제 2 절미국기반보호법제 21 1. 미국기반보호법제개관 21 2. 기반보호관련법률 21 3. 기타기반보호제도 38 제 3 장미국의기반보호체계 44 제 1 절국가기반보호계획 (NIPP) 개관 44 1. NIPP의의의 44 2. NIPP의목적 45 3. NIPP의범위 45 4. NIPP의적용성 46-10 -
5. 국가기반의위협에대한주의환기 47 제 2 절각기관의권한, 역할, 책임 48 1. 국토안보부 48 2. 각기반부문담당부서 (SSAs) 50 3. 주, 지방정부역할과책임 51 4. 민간부문기반소유자와운영자 52 5. 각종자문협의회 53 6. 학계와연구기관 54 제 3 절기반보호전략 : 위험관리체계 55 1. 위험관리체계개요 56 2. 위험관리활동 56 제 4 절기반보호를위한조정과협력 61 1. 리더십과조정메커니즘 61 제 5 절기반보호 : 국토안보책무 65 제 6 절장기간에걸친효과적이고, 효율적인프로그램보장 69 제 7 절기반보호프로그램을위한지원 70 제 4 장국내기반보호법제와의비교분석 71 1. 우리나라기반보호관련법제 71 2. 미국법제와의비교분석 75 3. 일반적시사점 78 제 5 장결론 80 부록 1: 장기간에걸친효과적이고, 효율적인프로그램보장 82 부록 2: 기반보호프로그램을위한지원 102 부록 3: 관련법률, 전략, 대통령령요약 114-11 -
제 2 부영국의정보통신기반보호법체계 제 1 장서론 137 제 1 절연구목적 137 제 2 절연구방법및범위 138 제 2 장영국의정보통신관련기본정책 140 제 1 절영국의정보통신관련정책의기본방향 140 1. 기반의개념 140 제 2 절영국의정보통신정책에관한구체적내용 142 1. 개요 142 2. 2005년보고서의주요내용 142 3. 2010년보고서의주요내용 149 4. ICT 전략운영의기본구조 162 5. 소결 164 제 3 장영국의기반보호관련조직및법률 165 제 1 절영국의행정조직및법률의특성 165 1. 영국행정조직의개요 165 2. 영국법률구조의개요 167 제 2 절기반보호관련조직의현황 168 1. 중요기반시설의범위 168 2. 기반보호관련조직체계 169 3. 기반보호관련조직의역할과운영 173 제 3 절기반보호관련법제 187-12 -
1. 개요 187 제 4 장국내기반보호법제와의비교분석 195 제 1 절기반보호관련조직의현황 195 1. 개요 195 2. 국가정보원 : 국가사이버안전센터 196 3. 국군기무사령부 : 국방정보전대응센터 197 4. 한국인터넷진흥원 198 제 2 절정보통신기반보호관련법제의현황 200 1. 정보통신망의이용촉진및정보보호등에관한법률 200 2. 정보통신기반보호법 203 제 3 절현행제도의문제점및개선방안 206 1. 개요 206 2. 기반보호조직관련개선방안 206 3. 기반보호법제관련개선방안 212 제 5 장결론 216-13 -
제 3 부독일의정보통신기반보호법체계 제 1 장서론 218 제 1 절목적 219 제 2 절범위 219 제 2 장독일의기반보호관련조직체계 221 제 1 절독일의주요기반시설 221 제 2 절독일의기반보호계획과정책 222 1. 위기대책반 (AG KRITIS) 222 2. 상황별위기상황의분석 (CIP계획) 223 제 3 절독일의기반보호조직체계 225 1. 독일기반보호주요공공기관 226 가. Federal Ministry of the Interior (BMI), 226 나. Federal Office for Information Security(BSI) 240 다. 연방시민보호및재난구조청 (BBK) 247 라. 연방범죄수사국 (BKA) 249 마. 연방경제기술부 (BMWI) 249 바. 연방망관리청 (BNetzA) 250 사. 기타관련기관 251 2. 민관협력 253 3. 조기경보와공공지원 254 가. CERT-Bund 254 나. CERT-Network 255 다. IT 상황실 255 라. IT 위기대응실 255-14 -
마. 시민의 CERT 256 바. 시민을위한 BSI 인터넷서비스 256 제 3 장독일기반보호관련법제 258 제 1 절독일통신법 258 제 2 절전자상거래통합법과텔레미디어법 262 제 3 절독일전자서명법 263 1. 개요 264 2. 인증기관의임무와면허 265 3. 인증기관의의무 267 4. 서명법과타임스탬프의역할 269 5. 신전자서명법등의제정 271 가. 신전자서명법상의전자서명의종류와그차이 273 나. 신서명법과타임스탬프 275 다. 독일에서서명법에의한 PKI 현상 275 라. 서명법후의전자서명관련법제의전개 277 제 4 절독일형법및형사소송법 282 제 4 장국내기반보호법제와의비교분석 284 제 1 절서론 285 제 2 절현황과문제점 285 1. 국내현황 285 가. 해킹및바이러스 286 나. 개인정보침해 287 다. 스팸메일 287 라. 불건전정보유통 287-15 -
2. 법제도상문제점 288 가. 기반보호관련기관및전략 288 나. 기반보호관련법제도 290 다. 문제점 290 제 3 절효과적인기반보호법제및체계구축방안 293 제 5 장결론 296 참고문헌 298-16 -
제 1 부미국의정보통신기반보호법체계 제 1 장서론 제 1 절연구목적 2001년 9.11 테러이후미국에서는기반보호를단순한사회시설물안전관리에관한것이아니라국가안보차원에서격상하여인식하고그에따른법제정립을위해노력해왔다. 우리나라에서도기반보호에대한인식수준을향상시키고그에걸맞는법제마련의필요성이있다. 이는첫째로우리나라의기반시설도더이상국내외테러집단의공격으로부터안전하다고할수없는것이현실이기때문이다. 둘째로정보통신의발달로모든기반시설이서로네트워크화되어있어일부기반의피해로인한파급효과가다른기반시설에미칠수있는영향이막대할수있기때문이다. 국가운영의근간이되는네트워크와시스템을포함하는국가기반시설에대한보안체계를다시금되짚어볼때이다. 이연구는미국의기반보호체계와법제도를살펴봄으로써우리나라의기반보호법제및체계를개선하는방안을모색하는것이이보고서의주된목적이다. 제 2 절연구방법 본연구를위해서미국의기반보호에관한문헌을광범위하게조사하 였다. 이를통하여첫째, 기반보호관련법률을연구하였다. 국토안보법, - 17 -
주요기반정보보호법, 애국법 등을연구하였다. 하나의제정법률 (statute) 로기반보호법제를완결하는것이아니고일련의연관된다양한법률들이유기적으로상호작용하기때문에기반보호관련법률들을전반적으로살펴야기반보호법제와체계를제대로이해할수있다. 둘째, 기반보호관련대통령령 (Executive Order), 제정법률에근거하여정부에서수립한기반보호를위한각종 계획 ' 이나 전략 들을살펴보았다. 이러한계획이나전략들은기반보호의실행을구체화한것으로서특히기반보호체계를이해하는데매우중요하다. 따라서이것들을통해서연방정부, 주정부, 지방정부및민간부문의역할과책임을포함한기반보호체계를분석하였다. 이가운데기반보호의실행메커니즘도눈여겨보았다. 셋째로기반보호법제관련논문들을분석하여법률의배경, 제정경위, 입법취지, 법률의주요내용, 쟁점등에대해서도광범위하게살펴보았다. 이러한문헌조사, 연구분석을바탕으로우리나라기반보호제도와의비교분석과미국기반보호체계와법제가우리나라에주는시사점을도출하였다. 제 2 장미국의기반보호법제 제 1 절기반보호필요성과법률제정 1. 기반 의개념 미국국토안보부에따르면 기반 (Infrastructure) 이란 미국의국방과 경제보안에필수적인제품과서비스의신뢰할수있는유통 (flow) 을제공 - 18 -
하고모든수준의정부와사회기능을원활케하는산업, 각기관들, 그리고전달매체들로구성되는상호의존적인시스템및네트워크의체계 3) 로정의되어있다. 주요기반 (Critical Infrastructure) 은 무력화되거나파괴될경우연방, 주 ( 州 ), 미국령 (territorial) 4), 권역 (regional), 또는지역 (local) 5) 관할의보안, 경제, 공중보건, 환경등을약화시키는사이버나현실의필수적인시스템및자산 6) 이라고한다. 핵심자원 (Key Resources) 이란 " 경제와정부의최소한의운영유지에필요한공적또는사적으로통제되는자원들을말한다. 7) 본연구대상인기반보호법제및체계에서 기반 은 주요기반 과 핵심자원 을포함하는것을의미하는것으로영어로는 Critical Infrastructure and Key Resources 로표기된다. 이는 국토안보법 을비롯한여러문헌에서주요기반과핵심자원을같은보호대상으로규정하고있기때문이다. 미국의 기반 은우리나라 정보통신기반보호법상 정보통신기반시설 과같이정보통신기반시설에한정되지않는좀더넓은개념으로이해된다. 특히주요기반과핵심자원을포함한보호체계를이루고있기때문에더욱그렇다. 사이버공간뿐만아니라현실적시스템및자산그리고경제와정부운영에필요한최소한의자원까지도모두포괄하기때문이다. 우리나라의 정보통신기반보호법 상 정보통신기반시설 을 정보통신망 및 전자적제어 관리시스템 으로규정하고있어전자적기반에국한하고있다. 본연구초기에는우리나라 정보통신기반보호법 과의비교에서시사점을도출하려하였으나미국의 기반 의규율범위가광범위하여오히려우리나라의 재난및안전관리기본법 상의 국가기반 과유사한개념이라고생각되어 재난및안전관리기본법 과의비교분석도 3) U.S. DEP'T of HOMELAND SEC., NATIONAL INFRASTRUCTURE PROTECTION PLAN, at 110 (2009), [hereinafter NIPP], 4) Territorial government 는미국의어느주에속하지않으나미국의영토에포함되는지역을말한다. 이를테면푸에르토리코나미국령버진군도가대표적예가되겠다. 5) 여기서는 county, city, town 등의하부의행정단위를지칭하기로한다. 6) NIPP, supra note 1, at 109. 7) Id. at 109. - 19 -
시도하였다. 2. 기반보호의필요성 국토안보법에근거하여수립된미국의기반보호에관한종합계획인 국가기반보호계획 (the National Infrastructure Protetion Plan; 이하 NIPP 라한다 ) 에따르면미국의기반에대한공격이초래할영향에대해서다음과같이서술하고있다. 즉, 기반은국가의안보, 공중보건, 경제적활기, 그리고삶의방식에매우중요하다. 기반에대한공격은정부와기업모두의기능을심각하게방해하고표적이된부문과사건의물리적영향을훨씬웃도는전폭 ( 傳爆 ) 효과 (cascading effect) 를생성한다. 직접적테러공격, 인간에의한또는기술적위험요소는인적, 재산적피해와경제에악영향을줌은물론일반대중의사기와신념에심각한손상을불러일으킨다. 국가의기반의구성요소를대량파괴무기로공격하는것은더욱더파멸적인물리적심리적결과를초래할것이다. 8) 기반보호필요성에대한미국정부의인식을표현하는대목이다. 국가기반구성요소중한가지에대한공격일지라도오늘날상호의존적인특성상그파급효과가매우크기때문에보호의필요성은그어느때보다도절실한것이다. 3. 9.11 테러의영향 9.11 테러이후테러공격에대한미국민의안보의식이크게높아졌다. 대테러안보강화를위한법률제정으로기반보호법제도함께강화되었다. 이것을계기로 국토안보법 ( 주요기반정보보호법, 사이버보안강화법포함 ) 과 애국법 과함께제정되어기반보호법제의근간을이루고있는것이다. 8) NIPP, supra note 1, at 1. - 20 -
제 2 절미국의기반보호법제 1. 미국기반보호법제개관 미국의기반보호법제는 국토안보법, 기반보호와관련한대통령령 (Executive Order) 및국가안보에관한대통령령 (Presidential Decision Directives), 국토안보법 에근거한 NIPP를중심으로구성되어있다. 이밖에 연방정보보호법, 애국법, 911위원회권고실행법, 재난구제와비상지원법, 재난완화법, 사이버보안연구개발법등의법률, 국토안보분야의 PDD-63( 주요기반보호 ), HSPD-5( 국내사고관리 ), HSPD-7( 주요기반지정, 우선순위, 보호 ), HSPD-8( 국가재난대비 ) 등대통령령과국가안보에관한대통령령 9), 국토안보에관한국토안보국가전략, 기반의물리적보호를위한국가전략, 사이버안전국가전략등의각종 계획 과 전략 등이관련이있다. 이들은서로유기적관련을가지면서기반보호법제를구성하는데이를테면 연방정보보안관리법(Federal Information Security Management Act) 은연방정부의정보시스템및정보보호를위하여연방정부의각기관들이보안프로그램을개발하고실행하도록하는법률인데 NIPP의부처별정부시설보호계획 (Government Facilities Sector-specific plan) 과관련이있다. 10) 관련기반보호법제의핵심내용은이보고서의 부록 2 에요약 ( 번역 ) 되어있다. 2. 기반보호관련법률 가. 국토안보법 a. 제정배경 9) 이보고서의부록 2 에 NIPP 의내용을발췌하여번역하였으니참조바람. 10) NIPP, supra note 1. at 139. - 21 -
국토안보법제정배경을나타내는테러리스트의위협과고도화되어 가는파괴와방해의기술로인한국토안보환경과그에대응키위한변화 의필요성에대해미국의회기록은다음과같이기술하고있다. 2001년 9.11사태를비롯, 각지에서미국에대한테러분자들의공격이잇따르고 9.11 사태이후이들은종래군사력으로견제가가능했던특정국가가아니라미국국내를포함한세계여러나라에산재해있어서전통적방식으로는도저히저지가어렵고조만간알려지지않은방법으로 9.11 보다더욱더크게미국민을공격하리라예상이되었다. 기술의발달이광범위하게전파되어테러분자들이생물학적, 화학적공격뿐만아니라경우에따라서핵무기까지얻기가더욱쉬워지고있고국제교역량과교역속도의엄청난증가는그러한시도를감지하는것을더욱어렵게하고있다. 빈라덴은핵과같은비재래식무기를얻거나개발하는것이 종교적의무 라고까지천명하는실정이다. 테러분자뿐만아니라북한이란등의국가도핵무기의위협을가하고있다. 이들국가도테러분자와같이종래의방식으로는저지가어려울것이다. 이에더하여미국의주요기반에대한사이버공격위협도있다. 미국은네트워크정보시스템에크게의존하고있는나라이기때문에재무, 금융, 통신, 의료와운송네트워크에매우중요하다. 이런사이버공격은테러분자들에게는매우좋은선택이되고있다. 미국의광범위한국경과개방성은테러분자들이미국내로무기를반입하기쉽게되어있다. 매일 30만대이상의차량, 130만명이상의사람이미국에입국하고그중에서 1-2% 만검색이가능하다. 서로다른국경지역의이민국직원들은우선순위결정에재량권을가지고서로다른지역이민국에보고한다. 경우에따라관할이겹치기도한다. 이런현실이국내입국자들의감시를어렵게한다. 미국은첨단기술을이용하고국경을개방함과동시에개인의 - 22 -
자유와권리를보호하여야한다. 국토안보를보장하는것도시민의자유와프라이버시를보호하는틀안에서이루어져야하는것은본질적이다. 미국정부는헌법적원칙을축소시키지않으면서도국토안보를수행하여야한다. 더큰규모의테러공격이예상되었고미국국민은점점더이런공격에노출되고있으며정부조직은국민을보호하기에는적절히조직화되지못하고있다는점이문제였다. 일관성있고통합적인조직이필요하였다. 적절한조직이없는정책은사실상무정책이라는사실이핵심이다. 국토안보를담당하는조직은 100여개의정부조직에산재해있었다. 단일하고통합된조직은오늘날공격으로부터보호기능이향상될것이며알려지지않은방식의위협에대응키위한유연성도가지게될것이다. 11) b. 제정목적앞서제정배경에서밝혔듯이 2001년 9.11 이후국토안보환경변화에대응하여테러공격으로부터미국을보호하기위한취지에서 국토안보법 (Homeland Security Act) 이마침내 2002년 11월 25일부시당시미국대통령이서명함으로써제정절차가완료되었다. 이는 9.11 사태발생 14개월만의일이다. 국토안보법 제정목적이 국토안보부를신설하여미국인, 미국영토, 그리고미국주권을보호하도록하는데있다 12) 고기록되어있다. 미국의회는국토안보부의신설필요성과책무에관해서다음과같이기록하고있다. 국토안보부의주된책무는미국의안전을도모하는것이다. 국 토안보부의미션은미국에대한테러공격을막고, 테러에대한 미국의약점을감소시키고, 테러공격으로인한피해를최소화 11) H.R. REP. NO. 107-609, at 64-66 (2002), reprinted in 2002 U.S.C.C.A.N. 1352, 1354-1357, 2002 WL 1634718, 85-87. 12) Id. at 63, reprinted in 2002 U.S.C.C.A.N. 1352, 1352, 2002 WL 1634718, 84. - 23 -
하며, 테러공격시회복을지원하는것이다. 국토안보부의기본책무는정보를분석하고기반을보호하며화학, 생물, 방사선, 핵공격에대한대응책을마련하고미국국경과운송시스템을안전하게하고비상계획과대응노력을조직화하고국토안보와관련된연구, 개발, 기술, 조달계획을실시하며다른연방기관, 주정부, 지방정부, 그리고민간부문과대테러활동을조정하는것이다. 오늘날기술의발달과대량살상무기의확산으로미국의선량한국민을크게해치려는테러리스트와적대국의힘은기하급수적으로성장하였다. 지난수년간이러한새로운공격에대응키위한연방정부의재편이요구되어왔다. 더욱이최근일련의테러사태는테러공격에대응키위한집중화된조직, 명확한미션의설정, 직접적권한, 의무, 책임의제공에대한절실한필요를나타내었다. 미국은재앙적공격을막고국가자원을지속적분쟁에동원하고회복노력을지원하기위한국토안보담당부서를필요로하였다. 세계대전이나그밖의전쟁에서는국방부가그임무를잘수행하였지만그에비견할만한다양한국내위협에대처하여여러조직의협력을주관하는체계는없었다. 13) c. 개요 국토안보법 은 주요기반정보보호법 (Critical Infrastructure Information Act of 2002) 과 사이버보안강화법 (Cyber Security Enhancement Act of 2002) 을포함하고있다. 한편, 기반보호를구체화하는 NIPP 도 국토안 보법 에그근거를두고있다. 제 107 대의회에서제정된 국토안보법 은 17 개의장 (Title) 으로구성되어있다. 제 1 장에서는국토안보부신설과책무 등에관한규정, 제 2 장은정보분석과기반보호에관한규정, 제 3 장은국 토안보를지원하기위한과학과기술에관한규정, 제 4 장은국경과수송 13) Id. at 63-64, reprinted in 2002 U.S.C.C.A.N. 1352, 1352-53, 2002 WL 1634718, 84-85. - 24 -
안보청에관한규정, 제5장은비상계획과대응에관한규정, 제6장은미국군인과공무원의자선신탁 (charitiable trust) 에관한규정, 제7장은관리규정, 제8장은비연방 (non-federal) 조직과의협력에관한규정, 제9장은국가국토안보위원회에관한규정, 제10장은정보보안에관한규정, 제 11장은법무부조직에관한규정, 제12장은항공기보험입법규정, 제 13 장은연방인력향상에관한규정, 제14장은테러에대한파일럿무장에관한규정, 제15장은전이 (Transition) 에관한규정, 제16장은항공운송보안에관한법률의수정에관한규정, 제17장은기술적인수정에관한규정을두고있다. 국토안보법 의내용이대부분이미국연방법제6편 (Title 6) 에편제되어있고그밖에도제5편, 제40편, 제42편등에도약간씩산재되어있다. 미국의회에서법이제정되면얼마후팜플렛형식의 Slip Law가발행이되고다시회기말에당해회기에제정된법이 U.S. Statutes at Large 라는책자에실리게되는데이를 Session law라고한다. 다시이것은매 6년마다발간되는미국연방법 (United States Code) 의해당분야에조문화 (codify) 되어삽입된다. 미국연방법은분야별로 50개의편 (Title) 으로구성되어있고어떤법이제정되면관련되는편 (Title) 에맞게조문화되어삽입되기때문에 Session law에서의편제형식 (Homeland Security Act에서와같은법률형식 ) 과는다소차이가날수있다. 한편, Session law는 법률의강력한증거 (competent evidence of law) 로인정된다. 이는새로운법률이회기동안계속제정이되고그것이기존의법률에영향을주기때문에어떤것이현행법률의내용이라고하기어렵고다만 Session law가현행법률일가능성이높은것으로인정된다는의미로이해된다. 다시말해서이렇게다단복잡한조문화과정에서법률이끊임없이생성되고수정될수있기때문에 Session law나미국연방법전에나타나있는법률의내용이절대적으로현행법률을나타낸다고확신하기는어렵기때문이다. 이보고서에서국토안보법의제2장에있는주요기반보호에관한내용도또한미국연방법제6편에조문화되어있다. d. 주요내용 - 25 -
기반보호와가장관련이깊은내용으로서는국토안보부의신설과운영 규정, 정보분석과기반보호실규정, 주요기반정보법규정, 그리고정보 보안규정인데다음과같이요약될수있다. - 국토안보부의신설과운영국토안보부는기존의 22개연방정부기관을통합하여국토안보업무를명확하고효율적으로계속하기위한조직구조를가진다. 14) 국토안보부장관은대통령이상원의조언과동의에의해지명토록하고있다. 15) 한명의차관 (deputy secretary), 5명의차관보 (Under secretary) 를두고장관에게정보분석과기반보호, 과학기술, 국경과운송안전, 비상계획과대응책, 그리고관리에관한사항을보고토록하고있다. 16) 또한 12명의국장을두고있다. 해안경비사령관과연방비밀경찰국장또한장관에게직접보고하도록되어있다. 17) 국토안보법상주요용어의정의는다음과같다. 미국국토 (American Homeland) 와 ' 국토 (Homeland) 는미합중국을의미한다. 18) 자산 이라함은 계약, 시설, 재산권, 기록, 미지출책정예산, 그리고기타기금또는자원 을말한다. 19) 주요기반 이라함은 애국법 에서의정의된개념과동일하다고규정 20) 하고있는데이미앞서설명한바와같다. 21) ' 기능 이라함은 권한, 권능, 권리, 특권, 면책, 프로그램, 프로젝트, 활동, 의무, 그리고책임을포함한다." 22) " 핵심자원 (key resources) 이라함은공공또는민간에의해통제되는자원으로서경제와정부의최소한의운영에본질 14) Id, at 63, reprinted in 2002 WL 1634718, 84, 2002 U.S.C.C.A.N. 1352, 1353. 15) Id 16) Id 17) Id 18) Homeland Security Act of 2002, Pub. L. No. 107-296, 2(1), 116 Stat. 2135, 2140 (2002). 19) Id. 2(3). 20) Id. 2(4). 21) See supra p. 5 and note 4. 22) 2(8). - 26 -
적인것을말한다." 23) 지방정부 (local government) 라함은 A. 군, 지방 자치정부, 시, 읍, 면, 지역공공기관, 학교구역, 특별구역, 주 ( 州 ) 내구역, 정부위원회, 지역또는주제 ( 州際 ) 정부기관, 또는지방정부의대리기관 이나단체, B. 인디안부족또는승인된부족기관, 또는알라스카에서는 원주민마을또는알라스카지역기업그리고 C. 농촌사회, 조직화되지 않은읍또는마을, 또는기타공공기관 24) 을의미한다. 테러리즘이라 함은다음의활동들을말한다 ; A. (i) 사람생명에위험하거나또는잠 재적으로주요기반또는핵심자원을파괴할수있는행위 (ii) 미국의형 법위반과관련되는행위그리고 B. 다음의의도된행위들즉, (i) 시민들 을위협하거나억압하는것, (ii) 위협하거나억압함으로써정부정책에영 향을미치는것, (iii) 대규모파괴, 암살또는납치에의해서정부의행 위에영향을주는것 25) 을말한다. 국토안보법 에서국토안보부의주된미션을 테러분자의공격을막고 테러리즘에대한취약성을줄이고테러발생시손해를최소화하며회복 을지원하고재난시구심점역할을수행하며전반적인경제안보가국토 안보활동과관련해서위축되지않도록하고시민의자유가국토안보활 동에의해감소하지않도록하고테러와마약의연계를관찰하고그연 계를끊도록하는것 26) 이라고규정하여국토안보부가국토안보활동 수행의핵심적인역할을함과동시에그로인한시민의자유와경제활동 이위축되지않도록하는역할도동시에강조하고있다. 국토안보부장관의의무가운데주목할것은연방정부이외의기관들 과국토안보에관하여협력하여야한다는것이다. 27) 즉 주와지방정부 협력실 (Office of State and Local Coordination) 을통하여주와지방정 부관료, 기관 (agencies), 그리고권한당국 (authorities), 민간부문, 기타기 관들과국토안보에관하여협력하여그들이충분한기획, 장비, 교육훈련 23) 2(9). 24) 2(10). 25) 2(15). 26) 101(b). 27) 102(c). - 27 -
이이루어지도록하고필요시국토안보에관한연방정부의통신및시스템이그들과조화를이루도록하고그들에게필요시경고와정보를전파하도록협력하여야한다. 28) 장관은특별보좌관을임명토록하는데주요기반보호와관련한임무중하나는주요기반보호를강화하기위하여민간부문에서의최선의실행방법 (best practice) 을개발촉진하는것을돕는것이다. 29) 정보분석과기반보호담당차관보 (Under Secretary) 도임명토록하고있다. 30) - 정보분석과기반보호실 ( 기반보호담당부서 ) 의신설정보분석과기반보호국 (Directorate for Information Analysis and Infrastructure Protection) 을두도록하고기관장인정보분석과기반보호담당차관보 (Under Secretary for Information Analysis and Infrastructure Protection) 는대통령이상원의협의와동의를거쳐임명토록하고있다. 31) 그밑에두명의국장 (Assistant Secretary) 을두어각각정보분석과기반보호를담당토록하고있다. 32) 정보분석과기반보호담당차관은다음과같은책임이있다. 첫째, 미국연방정부기관, 주정부, 지방정부기관과민간부문으로부터법집행정보, 첩보, 그리고기타정보의접근, 수령, 분석, 통합으로국토에대한테러의성격과범위를파악, 미국에대한테러공격감지, 실제적이고잠재적인취약점에대한위협에대한이해, 33) 둘째, 미국에서의특정방식의테러공격에따른위험도평가를포함한핵심자원과주요기반의취약성에대한종합평가시행, 34) 셋째, 국토안보부, 연방정부의타기관, 주정부, 지방정부담당기관과권한당국, 민간부문기관, 기타기관이보호하고지원하기위해우선시해야할일들을파악 28) Id. 29) 102(f)(7). 30) 102(a)(2). 31) 201(a)(1). 32) 201(b). 33) 201(d)(1). 34) 201(d)(2). - 28 -
하기위해관련정보, 분석자료, 취약성평가의통합관리, 35) 넷째, 전기생산, 발전, 송전시스템, 정보통신시스템, 전자적재무재산권기록과전송시스템, 비상통신시스템, 그리고그런시스템을지원하는물리적, 기술적자산을포함하는핵심자원과주요기반을안전하게하기위한종합적인국가적계획의개발, 36) 다섯째, 기반 37) 을다른연방정부기관, 주정부기관, 지방정부기관과협력하여보호하는방법의추천 38) 이다. 정보분석과기반보호담당차관보 (Under Secretary for Information Analysis and Infrastructure Protection) 에게새로이이관된기능과역할은 FBI의국가기반보호센터, 국방부의국가통신시스템, 상무부의주요기반확보실, 에너지부의국가기반시뮬레이션분석센터와그확보프로그램및활동, 총무국의연방컴퓨터사고대응센터의것들이다. 39) 한편, 국토안보부장관에게국토안보에관련되는정보에대한광범위한접근권을부여하여 애국법 등에의하여중앙정보국국장에게제공되는정보까지도포함시키고있다. 40) - 주요기반정보법 국토안보법 제3장 B절에 주요기반정보법(Critical Infrastructure Information Act of 2002) 을포함하고있다. 41) 국토안보법과주요기반정보법이서로별개의법이라고생각할수있으나주요기반정보에관한규정이 국토안보법 에포함되어있는데그부분을 주요기반정보법 으로인용될수있다는 ("cited as") 것이다. 즉, Session law에 "This subtitle may be cited as "Critical Infrastructure Information Act of 2002"" 라고기술되어있는데이는주요기반정보에관한규정을 Critical Infrastructure 35) 201(d)(3). 36) 201(d)(5). 이조항에근거하여 NIPP 가수립된다. 37) See supra p. 5 제 1 절.1. 38) 201(d)(6). 39) 201(g). 40) 202(c). 41) 주요기반정보법규정은연방법제 6 편의일부로서 6 USC 131-134 에삽입되어있다. - 29 -
Information Act" 로서인용할수있다는의미로해석된다. 주요기반정보법 은주요기반정보와보호시스템그리고프로그램에대해서다음과같이설명하고있다. 주요기반정보 는관습적으로일반공중에존재하지않는정보로서주요기반또는보호시스템의안전과관련있는정보인데, (A) 주요기반에대한실제적인, 잠재적인또는위협적인피해를주는것으로서연방, 주, 지방법을위반하거나서로다른주간의상업적교류를해치거나또는공중건강과안전을위협하는것에관한정보 (B) 보안시험, 위험평가, 위험관리계획, 위험감사등과같은주요기반또는보호대상시스템에대한계획되거나이미시험, 예측되었거나취약성평가등주요기반또는보호시스템에대한방해, 약화, 또는무기력화에대항하는능력에관한정보또는 (C) 방해, 약화, 무력화에대응하는수리, 회복, 재건설, 보험, 또는지속성등주요기반또는보호시스템에관해계획되거나과거의운영상문제점이나해결책에관한정보를의미한다. 보호시스템이란어떠한서비스, 물리적또는컴퓨터기반시스템, 과정, 절차로서직간접적으로주요기반시설의기능의실행에영향을주는것으로물리적또는컴퓨터기반시스템으로서컴퓨터와컴퓨터시스템, 컴퓨터또는통신망, 또는구성하드웨어나구성요소, 소프트웨어, 진행지침, 또는전송과저장중에있는정보나데이터를포함한다. 주요기반보호프로그램 이란대통령이나정부기관의장으로부터주요기반정보를받을수있도록지정된연방정부기관내의구성요소또는조직을말한다. 42) 자발적으로제공되는주요기반정보에대한보호를위하여다음과같이규정하고있다. 이는정보제공자의보호를두텁게하기위한장치를둠으로써자발적정보제공을촉진하기위한규정이라고이해된다. 42) 212(3), (6). - 30 -
주요기반과보호시스템의안보, 분석, 경고, 상호연구, 회복, 재구성, 또는기타정보목적과관련하여자발적으로제출된정보는 본정보는 2002 주요지방정보보호법에의해공개로부터보호될것으로기대하고자발적으로연방정부에재공되었다. 는내용이첨부되면 ( 이내용이구술에의한것이라면그이후합리적인기간안에유사한내용의문서제출 ) 첫째, Freedom Of Information Act 에의한공개의무로부터면제되어야하며, 둘째, 의사결정관료 (decision making officials) 와의일방적의사소통 (ex parte communications) 에관련한정부기관규정 (agency rules) 이나법적원칙 (judicial doctrine) 에구속받지않으며, 셋째, 만약그정보가선의로제공되었다면정보제공자의서면동의없이정부기관, 다른연방, 주, 지방당국또는제3자에의해민사소송에직접사용될수없으며, 넷째, 정보제공자의서면동의없이이조항에서열거하는목적을제외하고는미국정부의관료또는피고용인에의하여사용되거나공개될수없는데다만, (i) 형사사건의수사나기소에필요한경우, (ii) 정보공개가의회하원이나그관할에관한사항, 하원의위원회나하부위원회, 합동위원회나그런합동위원회의하부위원회, 또는회계감사원장에게나감사위원장의대리인연방회계국의업무진행과정에제공되는경우는예외로한다. 다섯째, 만약주, 지방정부기관에제공되는경우 (i) 정보나기록을공개하도록하는주, 지방정부의법률에의한것이아니어야하며 (ii) 정보제공자의서면동의없이주, 지방정부, 기관에공개되거나배포되는것이아니어야하며, (iii) 정보는주요기반이나보호시스템을보호하거나형사사건의수사나기소를위한목적이외에는사용될수없으며, 여섯째, 그정보제공이법률상영업비밀과같은면책특권의포기를의미하지않는다. 이절의규정하에정부당국에자발적으로제공되어공개로부터보호되는정보도다른법률에따라연방기관에제 - 31 -
출도록하는요구사항을준수한것으로해석되지않는다. 국토안보부장관은이절의규정이제정된후 90일이내에국가안전위원회와과학기술정책국의담당자들과의자문을통하여자발적으로제출되는정보의연방정부기관에의한수령, 관리, 저장에대한동일한형식절차를마련하여야한다. 연방정부는주요기반에대한위협에대해서관련회사, 타깃부문, 기타정부기관, 또는근거가되는자발적제출에의한주요기반정보의원천또는재산가치가있거나사업상민감하거나, 제출한사람이나단체와관련되거나, 또는그렇지않으면일반대중에게알려지는것이적절하지않은정보가공개되지않도록모든적절한조치를취하여야한다. 43) - 정보보안국토안보법의 C절에서는정보보안 (Information Security) 의내용을다루고있다. 이부분에서기반보호강화를위한개인정보가무분별하게사용되는것을방지하기위한규정을두고있다. 장관은이법에서공유되는정보의사용절차를수립하여사용권한밖의목적으로사용되지않도록해당정보의확산을제한토록하여야하고, 해당정보의보안과기밀을확보하고, 해당정보의대상이되는개인들의헌법적이고제정법적권리를보호하고, 무용하거나잘못된이름과정보의시의적절한제거와파기를통하여데이터의무결성을제공하여야한다. 장관은고위급프라이버시정책담당관을임명하여기술의사용이개인정보의사용, 수집, 그리고공개와관련한프라이버시보호가지속되고약화되지않도록확고히해야하고, 프라이버시법기록시스템에내재되어있는개인정보가프라이버시법에규정된대로공정정보실행 (fair information practices) 를완전하 43) 214(a), (d), (e), (g). - 32 -
게준수하고, 연방정부에의한개인정보의수집, 사용, 그리고노출과관련한입법적, 규제적인제안사항의평가, 수집된개인정보의형태와영향을받는사람의숫자등과같은개인정보보호에관한국토안보부의제안된규정이나기존규정에대한프라이버시영향평가의실시, 프라이버시침해에대한민원, 프라이버시법의실행, 내부통제, 그리고여타사안들을포함하는프라이버시에영향을주는국토안보부의활동에대한연간의회보고서의마련을하여야한다. 44) 연방정부가아닌기관의 (nonfederal cybersecurity) 사이버보안강화를위해서다음의규정을두고있다. 주요기반보호를실행함에있어적절한방법으로주, 지방정부기관들, 그리고요청이있을시주요기반을보유하거나운영하는민간부분기관들에게다음을제공하여야한다. 첫째, 주요기반시스템에대한위협과취약성과관련된분석과경고, 둘째, 비상계획담당차관보와의협력으로주요기반정보시스템에대한위협과공격에대응하는위기관리의지원, 셋째, 적절한방식으로, 비상기획담당차관보와의협력으로주요기반정보시스템의실패에대응하기위한비상회복계획과관련한요청이있을시민간부문및다른정부기관에기술지원을제공하여야한다. 정보분석과주요기반보호담당차관보는국가기술경비대를설치할수있는데관련과학기술분야에전문성이있는지역자원봉사팀들로구성되는데이는정보시스템과통신망에대한공격에대응하고그로부터회복하도록지역사회를지원하기위한것이다. 45) 나. 애국법 (USA PATRIOT ACT) a. 제정배경및의의 44) 221, 221 45) 223, 224-33 -
911사태이후부시미대통령은수색, 전자감시, 테러분자로의심되는자들을억류할수있는광범위한새로운권한을법집행기관에부여하는법안 ( 테러를저지하기에요구되는적절한수단을제공함으로미국을통합하고강화하는법률 46) 에서명하게되었는데이것을줄여서 애국법 (USA Patriot Act) 이라고도한다. 이법의제정으로미국정부기관은테러활동의방지를위한감시활동과외국정보기관에대한미국내에서감시권한이더욱강화되었다. 47) b. 개요및기반보호규정 애국법 제1장에서는테러리즘에대한국내안보강화, 제2장에서는감시절차의강화, 제3장에서는국제자금세탁감소와테러분자재원억제법률규정, 제4장에서는국경보호, 제5장에서는테러리즘수사장애제거, 제6장에서는테러리즘희생자와안전요원, 그들가족에대한지원책, 제7 장에서는주요기반보호를위한정보공유촉진, 제8장에서는테러리즘에대한형법강화, 제9장에서는정보활동강화, 제10장에서는기타조항을열거하고있다. 48) 각장의제목에서알수있듯이 애국법 은테러리즘에대한예방과대책을주로규정하고있음을알수있다. 기반보호에관련한조항을살펴보면다음과같다. 첫째, 국토안보부에속한미국비밀첩보국장은주요기반과지급시스템에대한테러공격에대비하기위한전국전자범죄 TFT 계획 (national network of electronic crime task forces, based on the New York Electronic Crimes Task Force model) 개발에적절한조치를취하도록하고있다. 49) 둘째, 제7장주요기반보호를위한정보공유촉진이다. 같은장 701조에서 46) USA Patriot Act Pub. L. No. 107-56, 115 Stat. 272 (2001). Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 Id. 47) American Civil Liberties Union v. U.S. Dept. of Justice, 265 F.Supp.2d 20, 21 (D.D.C.,2003) 48) USA Patriot Act Pub. L. No. 107-56, 115 Stat. 272 (2001). 49) Id. 105, 115 Stat. 272, 277. - 34 -
테러분자공격에대응하는연방, 주, 지방정부의법집행을강화하기위한지역정보의공유를규정하고있다. 50) 이것은미국연방법제42편국민건강과복지 (Title 42: The Public Health and Welfare), 제46장법률제도향상 (Chapter 46: Justice System Improvement), 제7-A절지역정보공유제 (Subchapter XII-A. Regional Information Sharing Systems Grants) 제 3796h조지역정보공유제도장려금 (Regional Information Sharing Systems Grants) 의제a항에장려금지원대상에관할구역내에서테러분자의활동을제거하는주, 지방정부기관이나비영리단체를포함하는것으로조문화되어있다. 51) 또한같은조제b항에서제4호를신설하여여러관할구역에서의테러분자의음모와활동을수사하고기소할수있는능력을강화하기위한안전한정보공유시스템을설치운영하는것을장려금의목적으로추가하도록하고있다. 52) 나중 (2006년 1월 5일 ) 에제3호가신설되어연방정부, 주정부, 지방정부의법집행기관간의정보공유를위한안전한통신시스템을설치유지하는것도목적에추가되었다. 53) 또한제 d항을신설하여이부분을실행하도록 2002년에는 5,000만불 2003년에는 1억불의예산을배정한바있다. 54) 셋째, 애국법 제10장 ( 일반규정 ) 제1016조에서주요기반보호를규정하고있다. 55) 제1016조내용을주요기반보호법 (Critical Infrastructures Protection Act of 2001) 으로인용할수있도록하였다. 56) 미국의회는기반정보보호와관련하여다음과같은사실을발견한것으로기록하고있다. 즉, 1) 사업의수행과정부운영그리고기반시설이국방과국가안보를위하여정보혁명에의존하게변하였고, 2) 민간기업, 정부그리고국가안보기구가통신, 에너지, 재무서비스, 물, 그리고운송분야를포 50) Id. 701, 115 Stat. 272, 374. 51) See id. 52) See id. 53) See id. 54) See id. 55) See id. 1016, 115 Stat. 272, 399. 56) See id. - 35 -
함한상호의존적인주요물리적그리고정보적기반의네트워크에점 차의존적이되고 3) 국가방위, 정부의계속성, 경제적번영, 그리고 삶의질에매우중요한신뢰할만한사이버와물리적기반서비스 제공을확보하기위하여정부의지속적노력이요구되고 4) 이런국 가적노력은복잡하고상호의존적인시스템의안정과정책적제안들을 구현하는적정한메커니즘을평가하기위한광범위한모델링과분석 능력을요구하는데이는결국국가주요기반의지속적생명력과적 절한보호를달성하기위함이다. 57) c. 기반보호정책및지원 미국의관련정책에관해서는다음과같이기록하고있다. 1) 미국의주요기반의운영에대한어떠한물리적또는가상적 방해도거의없어야하고, 있더라도짧고, 효력면에있어지 역적으로제한적이고, 관리할수있으며, 경제, 인적그리고정 부의서비스, 그리고미국의안보에최소한영향을미치도록 하여야하며, 2) 전항에기술된정책을달성하기에필요한행 동들은기업그리고비정부조직을참여시키는공공과민간의 파트너십에의해수행되어야하며, 3) 모든상황에서연방정부 의본질적기능의지속성을확보하는종합적이고효과적인프 로그램을마련하는것이다. 58) 주요기반시설보호를위한국가적기능 ( 권한 ) 의설치에대하여다음과 같이규정하고있다. 국가적기반시뮬레이션과분석센터 (The National Infrastructure Simulation and Analysis Center)(NISAC) 에의한주요기반보호와 지속성에대한지원에관하여 (1) NISAC 은대테러대응, 위협 평가, 그리고위험완화와관련된활동의지원을통하여주요기 반보호와지속성을다루는국가기능의원천으로기능할것이다. (2) (1) 에서제시된지원이란다음을포함한다. (A). 사이버기반, 57) See id, at 400. 58) Id. - 36 -
통신기반과물리적기반등의모델링, 시뮬레이션, 그리고주요기반을구성하는시스템분석을통하여그런시스템의대규모복잡성에대한이해를높이고그런시스템의수정을촉진하여같은시스템과주요기반에대한위협을완화시키도록하는것, (B). 같은시스템과주요기반시설의모델을만들고유지하기위하여필요한데이터의주정부, 지방정부, 민간부문으로부터의취득, (C). A항에있는것의모델링, 시뮬레이션, 그리고분석을통하여다음과같은분야의사안에관련된정책입안자들에게교육을제공하도록하는것으로서 (i) A항하에서수행되는분석 (ii) 의도되지않은주요기반에대한방해가나타내는시사점들 (iii) 정부의지속성과민간부문의활동을포함하는주요기반과관련되는사건또는재난기간동안또는사후의반응을포함한다. (D) 요청시주요기반의안정과보호를강화하는수단과관계되는 (A) 항에서모델링, 시뮬레이션, 그리고분석을활용하여정책입안자들과연방정부의부처기관그리고민간부문에게권고사항들을제공하는것이다. (3) 이조항에서제공되는모델링, 시뮬레이션과분석은특히주요기반의보호와정책에대한책임있는관계연방정부, 주정부, 그리고지방기관에제공될것이다. 59) 국토안보법에서와같은개념의주요기반시설이정의되어있다. 주요기반이라함은시스템과자산, 물리적이든가상의것이든미국에매우중요해서그것의무력화또는파괴가국가경제적안보, 국가공공보건또는안전또는그것들의어떤조합을약화시키는영향을주는것을말한다. 60) 59) Id. at 401. 60) Id. at 401-402. - 37 -
3. 기타기반보호제도 하나의법률에기반보호에대한규정을모두담고있지않고여러법률, 계획등이함께작용하여기반보호법제를구성하는것이다. 그중에서도국토안보법은국토안보미션에대한기본적인권한근거를제시하고 NIPP, 특정부문계획 (Sector Specific Plan), 그리고관련기반보호노력과활동들의근거를제공한다는점에서큰의미가있고 NIPP는기반보호를실행하기위한기반보호에관한종합적계획을제시하고있다는점에서가장관련깊은기반보호의실행근거이다. 기반보호를위한다양한권한근거, 전략, 그리고계획들은국토안보미션을부분이아닌공통적이고전체적인체계로서접근함을의미한다. 이밖에기반보호법제를이루는각구성요소의의의에대해서간략히살펴보면다음과같다. 이들기반보호와직, 간접적으로관련되는법률과법률에근거한계획이나전략의내용에대해서는부록 2에도번역수록되어있다. 가. NIPP NIPP의목적을그서문에서 우리나라의기반의구성요소들을격파, 무력화, 또는탈취하려는테러분자들의계획적노력의예방, 방지, 희석, 또는완화함으로써더욱안전하고더욱견고하고더욱복원력있는미국을건설하고공격이나, 자연재해, 또는다른비상사태가발생했을때국가적준비상태, 시의적절한대응, 그리고신속한기반의복구를강화하기위해서이다. 61) 이라고기술하고있다. NIPP는기반보호목적을달성하기위한 통합적구조 를가진국가계획이다. 나. 특정부문계획 (SSP) 61) NIPP, supra note 1, at 1. - 38 -
SSP는 NIPP가실행될수있는방법을제시하고각정부의각부문이주, 지방국토보안전략과기반보호프로그램을개발, 실행, 현행화할수있도록하는국가적체계를제시하는데각부문의특성을고려하며부문간역할과책임, 상호의존성, 정보공유, 조정과파트너십을설정하고조직화한다. 62) 다. The National Strategy for Homeland Security 이전략은 미국의기반보호를국토보안의핵심미션이자국토안보와국내사태관리에대한종합적접근방법의핵심요소로설정하였다. 상호연결되고보충적인국토안보시스템으로서이중적이기보다더욱강화된, 필수적인요구사항을충족하고연방예산의자원이국토안보업무에직접적으로배정될수있도록하는체계 63) 의개발을주문하고있다. 라. The National Strategy for the physical protection of critical infrastructure and key assets 이것은 국가안보, 통치, 공중보건, 경제, 그리고국민의신념에매우중요한기반과자산을보호 64) 하기위해필요한국가정책, 목표들, 그리고원칙들이무엇인지밝혀낸다. 65) 이것은단기간에수행될우선순위에매진하기위한특정계획들을밝혀내고자원배분절차를알려주고, 각기반부문을안전하게하기위해필요한핵심계획들도밝혀낸다. 66) 더욱이이것은정부와민간이자신의책임을수행함에있어좀더효과적이고효율적으로하는협력적환경을세우는초석을설정한다. 67) 62) Id. at 76. 63) Id. at 72. 64) Id. 65) Id. 66) Id. 67) Id. at 73. - 39 -
마. 국토안보대통령령과국가계획 HDPD는특정한프로그램과활동을위한국가정책과행정의무사항을제시한다. 68) 최초에발행된것은 911 직후국토안보자문위원단을구성하기위한것으로시작해서테러리즘공격으로부터미국을보호하기위해피해를최소화하기위한조치들을포함한내용들이여러차례발행이되었다. 69) 상당한것들이기반보호와관련이있다. 이를테면 HSPD-3은국토안보조언시스템 (Homeland Security Advisory System) 에관한내용으로서연방, 주, 지방, 지역정부그리고미국국민들에게테러공격에대한정보를퍼뜨리기위한의무사항을제시한다. 70) HSPD-5는국내사고관리 (Management of Domestic Incidents) 에관한내용으로서국내사태관리에대한국가적접근을다룬다. 71) HSPD-8은국가준비태세 (National Preparedness) 에대한내용으로서테러공격, 국가적재난등에필요한적정수준의대비체제를확보하는데초점을맞추고있다 72) HSPD-9은농업과식량방어 (Defense of the United States Agriculture and Food) 에관한내용이고, HSPD-10 은생물학적방어 (Biodefense for the 21st Century), HSPD-19 는, 테러범의폭발물과의전투 (Combating Terrorist Use of Explosives in the United States), HSPD-20는국가지속정책 (National Continuity Policy), HSPD-22는국내화학방어 (Domestic Chemical Defense) 를그내용으로하고있다. 73) 기반보호를위한가장중요한국가안보에관한대통령령으로서 HSPD-7은기반보호미션에초점을두고분리된권한근거와국가안보에관한대통령령들은 HSPD-7에서의통합된체계를통해서기반보호에대한국가적접근방법의각부분으로결속되어있다. 74) 68) See id. 69) See id. 70) See id. 71) See id. at 74. 72) See id. 73) See id. at 73-75. - 40 -
이것에의하여기반보호를위해 NIPP의개발을강제하고있다. 75) 2003년 12월발행된 HSPD-7은국가의기반의보호를강화하는미국정책을수립하였다. 76) 여기서국토안보부, SSA, 다른연방부처와기관, 주, 지방, 부족, 그리고영역정부, 지역파트너, 민간부문, 그리고다른기반보호파트너의역할과책임을정하고있다. 77) 바. 주, 지역, 지방, 부족, 그리고소지역기반보호프로그램 The National Preparedness Guidelines는기반프로그램의개발과실행은주, 지역, 지방, 부족, 그리고미국령국토안보프로그램의핵심적구성요소라고적고있다. 78) 기반보호프로그램에서자신의관할구역내에서의조직구조와메커니즘을자세히설계하면정부와민간실체들간의조정을통해서 NIPP의위험관리체계를실행하는데사용될수있다. 79) 주, 지역, 지방, 부족, 그리고미국령정부의수준에서의기반프로그램이 NIPP와 SSP의실행을강화하는데도움이되는데이는 ' 지역적집중 (geographical focus) 과범부문협력잠재력 (cross-sector coordination potential) 에서비롯된다. 80) NIPP에서는이런노력들이다른기반보호와일관성있게진행되도록이런노력에부합하는권고사항들을제시하고있다. 81) 이것들은다양성을인정하고각주, 또는지역내에서의다양한관계당국, 자원, 그리고쟁점들을충분히반영할수있도록하는유연성을가지고있다. 82) 74) Id. Citation omitted. 75) NIPP, supra note 1, at 74. 76) Id. Citation omitted. 77) Id. Citation omitted. 78) NIPP, supra note 1, at 77. 79) Id 80) Id 81) Id 82) Id. - 41 -
사. 기반보호관련기타계획및프로그램 연방정부관계자는다른계획및프로그램들이기반보호요소들을명시할때그것들이 NIPP와일관성있게마련되어중복되거나불필요한옥상옥을형성하지않도록하여야한다. 83) 주, 지역, 지방, 부족수준에서의기반보호에대한프로토콜을포함하는계획은재해감소 (hazard mitigation), 운영지속성 (continuity-of-operations), 정부지속성 (continuity of government), 환경보건운영, 그리고상황변화에따른통합운영에관한내용을내포할수있다. 84) 아무튼이러한차원의정부계획과전략에대한검토는전반적인국토안보와장려금프로그램지침에따라서완성되어야한다. 85) 민간부문에서도기반보호를위해서전략과계획을세우고기업의위험관리, 기업의지속성, 비상관리계획등다양한방책을마련한다. 86) 이런기업들의노력이여러수준의정부와잘조정이될때 NIPP를실행하는데있어효과를한층발휘할수있을것이다. 87) 이런면에서민간부문의국가적기반보호실행참여가적극고무되는것이다. 88) 아. 국가대응체계 (The National Response Framework) 국가대응체계 (The National Response Framework), 즉, NRF 는모든 위험접근방법을채택하여소방, 방재, 법집행, 비상의료서비스등다 양한상황에서최고의실행방법을포함하도록하고있다. 89) NRF 는특정한 83) Id. 84) Id. 85) Id. 86) Id. at 78. 87) Id. 88) Id. - 42 -
위협이나사건이발생시의사결정을지원하는운영및자원조정구조를제시하여사고관리능력을제고한다. 90) NRF에서는연방정부, 주정부및그아래수준의지방정부, 민간부문의협력 ( 조정 ) 절차를설명하고있다. 91) 이것은사고발생전의준비상태나사고발생후의단기복구를위한대응문제를다루고있다. 92) NRF는비상시각자의역할과책임을설정해놓고재난지역에필요자원이신속제공될수있도록하는역할과기능을포함한다. 93) NRF의특정정부부문 (Sector Specific Agency) 와다른연방기관들의역할과책임은 NIPP와상호보완적이나구별이된다. 94) NIPP에서계속되는위험관리체계, 파트너십, 그리고정보공유 network는 NRF에의해서비상사태발생시에잘조정 / 연계가되어효과적으로기반을보호할수있는메커니즘을제공한다. 95) 이밖에도바이오테러리즘과다른공중보건비상사태를예방하고준비하며대응하기위해마련된 The Public Health Security and Bioterrism Preparedness and Response Act of 2002 를비롯하여 The Maritime Transportation Security Act, The Aviation Transportation Security Act of 2001, the Energy Policy and Conservation Act, The Critical Infrastructure Information Act, the Federal Information Security and Management Act, Implementing Recommendations of the 911 Commission Act of 2007 등의여러법률들이기반보호법제를구성한다고볼수있다. 89) Id. 90) Id. 91) Id. 92) Id. 93) Id. 94) citation omitted. 95) NIPP, supra note 1, at 78. - 43 -
제 3 장미국의기반보호체계 제 1 절국가기반보호계획 (NIPP) 개관 1. NIPP 의의의 앞장에서도언급한바와같이미국의국가기반보호체계에대해서는 NIPP에서잘기술되어있기때문에무엇보다도 NIPP에대한면밀한분석이필요하다. NIPP의관점에서보호 (protection) 라함은 노출, 손상, 파괴, 무력화, 또는탈취로부터초래되는기반, 자산, 시스템, network, 기능, 또는그것들의상호연결고리에대한전반적인위험을줄이는행동 들을포함한다. 96) NIPP에의해서전개하는활동은기반에대한위협을줄이고, 취약성을감소시키고테러공격으로인한피해를최소화하는데모아지고있다. 97) NIPP는한번세워진것에그치는것이아니라계속해서상황과환경에맞게업데이트가된다. 2003년에처음마련된것이 2009년에수정되었다. 각 기반보호담당부서계획 으로서 NIPP 부속계획인 Sector-Specific Plans(SSPs) 도그에따라현행화되는데 2007년 5월에만들어진 SSP는 2010년에수정되도록되어있다. 업데이트되는 NIPP에는다음과같은진행상황도반영이된다. 98) NIPP에따른 SSP에관한내용, 위험대처방법, 정보공유메커니즘, 기타보호프로그램, 산출에초점을맞춘성과측정과보고절차, 화학물질산업의규제표준을정하는 對테러화학화학설비표준 의발간. 확대된기반보호를위한교육, 훈련프로그램에대한논의등. 96) NIPP, supra note 1, at 7. 97) Id. 98) Id. at 8. - 44 -
2. NIPP 의목적 NIPP는각계각층의정부기관과민간부문의협력을위한기반보호체계를제공하기위한것이다. NIPP도해당기관들의 SSP들에의해서지원이되어야실행가능하다. NIPP와 SSP들은연방정부기관, 주, 지역, 지방, 부족정부와조직그리고민간부문소유자와운영자에의해서실행이된다. 99) SSP는 HSPD-7 에서지정된 SSA들에의해서서로긴밀한협력으로마련된다. 100) NIPP와 SSP는함께작용하여 주요자산, 시스템, network, 그것들과연계하는기능의파악 ; 기반에대한위협의이해 ; 취약성과결과에대한인식과이해 ; 최대한의위험감소를위한원가와이득에기초한보호계획과투자에대한우선순위결정 ; 기반의부문내외에서의정보공유메커니즘, 보호와복원력강화 에대한메커니즘을제공함으로써기반보호의실행을가능케한다. 101) NIPP와 SSP들도기반보호환경과기술의발전에따라그에맞게진화할것이다. 102) 3. NIPP 의범위 NIPP는 물리적, 사이버, 그리고인간적위험요소 103) 까지도포함한다. 104) HSPD-7, 기반의물리적보호를위한국가전략 (National Strategy for the Physical Protection of Critical Infrastructure and Key assets) 과 사이버공간보안을위한국가전략 (the National Strategy to Secure Cyberspace) 에서나타난확립된정책에따르면테러공격에서나타나는 독특하고잠재적인재난 에초점을맞추고있다. 105) 그와동시에총체적국토안보 99) Id. at 9. 100) Id. at 8 101) Id. 102) Id. 103) Citation omitted. 104) Citation omitted. 105) NIPP, supra note 1, at 9. - 45 -
태세와일관성을유지하고있다. 106) 모든위험을염두해두고준비를할때기반보호프로그램과전략이실효성있다고보는것이다. 107) NIPP는미국국내의모든기반뿐만아니라 국가간의기반 (cross-border infrastructure) 까지도고려하는확장적계획이다. 108) 4. NIPP 의적용성 NIPP는모든기반을관리하는연방정부기관과기반보호의무를가지고있는모든파트너들에게다양한방법으로적용된다. 109) 주, 지방, 지역정부파트너들도기반보호프로그램을 국가대비지침 (National Preparedness Guideline) 과일관성을유지하고또한일정한연방장려금프로그램자격조건으로서도마련할것이요구된다. 110) 기반소유자와운영자들도 NIPP의보호체계에대한적극참여가권고된다. 111) 민간부문과의협력이기반의보호에매우중요하다. 한통계자료에따르면 80-90% 의기반이민간부문에의해소유되고운영되는것으로나타나있다. 산업계파트너와의밀접한공조관계는기반보호를위해서절대적으로중요하다. 112) 산업계의능력은분명정부에큰도움이된다. 한편원활한협력을위해서민간부문이얻게되는이득에대해서도강조할필요가있다. 113) 정부가민간부문으로하여금해당산업의능력을활용하는등민간부문의협력으로얻게되는이득을제시할필요가있다. 114) 일례로기업가들에게기반보호에투자되는것이기업과국가모두의안보이익을가져다준다는사실을여러경로를통해서설득력있게제시하는것도하 106) Citation omitted. 107) NIPP, supra note 1, at 9. 108) Id. 109) Id. 110) Id. 111) Id. 112) Id. at 10. 113) Id. Citation omitted. 114) Id Citation omitted. - 46 -
나의방법이될것이다. 115) 5. 국가기반의위협에대한주의환기 9.11 테러이후발행되는여러가지전략들은그어느때보다도부문간의긴밀한협력을요하고있다. 민간부문에서는이미오랜기간여러가지형태의재난에대한준비와훈련이되어왔는데이제기존의재난뿐아니라테러등새로운재난형태가등장하고있다. 미국정부는민간부문의잘발달된능력을이런새로운형태의재난에결집할필요가있다. 수자원과정부시설 (Water and Government Facilities) 부문의소유자와운영자는정부이거나준정부기관에의해서운영되지만미국기반의대부분은민간부문에의해서소유되고운영되어왔다. 116) NIPP은견고성과취약성을동시에내포하는미국의기반구조에대해서다음과같이설명하고있다. 기반의 다양성 과 중첩성 은테러공격과다른재난이발생시미국이매우중요한물리적경제적복원력을가지게하고미국경제의견고함에기여하지만이러한다양한기반을구성하는 network, 시스템, 서로연결된자산은테러공격의좋은목표가될수있고또한잘못될경우그피해가전반적으로확산될가능성이높은것도사실이다. 따라서이런기반들이테러공격의쉬운먹이가되지않도록하고일단공격이시도되어도그대응과회복에있어복원력을강화할수있도록기반의보호와복원력에더많은주의가필요하다. 117) 115) Supra note 1, at 10. 116) Id. at 11. 117) Id. at 11. - 47 -
제 2 절각기관의권한, 역할, 책임 기반에대한각기관의권한, 역할과책임은다양한법적근거에서제시되어있다. 국토안보법, 여타기반관련법률, 대통령령 (Executive Orders), 국토안보대통령령 (Homeland Security Presidential Directives), 그리고다양한국가전략들에나타낸내용들이모두기반보호에관해규정하고있다. 118) 국토안보국가전략 (the National Strategy for Homeland Security) 은국가기반보호에대한결단을제시하였는데 모든계층의정부, 민간산업과민간기관그리고미국국민들의전례없는협력 119) 으로미국의주요기반과핵심자원을테러공격으로부터보호할것을촉구하고있다 120). 미국의모든기관과일반시민들도함께동참할것을요구하고있는것이다. HSPD-7에서는 주요기반의지정, 우선순위의결정, 그리고보호 (Critical Infrastructure Identification, Prioritization, and Protection) 를주제로하여국토안보국가전략에서제시된비전을실행하기위한방향을제시하였다. 121) NIPP는기반보호미션실행을위한일치된국가적노력과방법을기울이기위하여필요한법률, 국가전략, 국가안보에관한대통령령에서비롯되는활동들을협력, 통합과동시진행을위한기본구조를제시한다. 국토안보와기반보호미션을수행하는기관과부문기반보호기능, 프로그램과책임에관계하고있는모든기관이관련된다. 1. 국토안보부 국가의전반적기반보호노력을조정하고 NIPP 의협력개발, 실행, 그 리고국가준비계획 (the National Preparedness Plan) 과의연계를감독한 다. 122) 국토안보법 은국토안보부에기반의핵심적인보호책임을부여 118) 부록 2 의각종법률참조 119) Supra note 1, at 15. 120) Id. at 15. 121) Id. - 48 -
하였다. 123) 기반에대한국가적보호체계는 HDPD-7에의해서구체화되었다. 이것에의하여국가적차원의기반보호계획을세우고실행하도록의무화하고있다. NIPP도이것을직접적근거로마련된것이다. 국토안보법 은 전기생산, 발전, 송전시스템, 정보통신시스템, 전자적재무재산권기록과전송시스템, 비상통신시스템, 그리고그러한시스템을지원하는물리적, 기술적자산을포함하는핵심자원과주요기반의안전을위한종합적인국가계획의개발 124) 을하도록하였고또다른연방정부기관, 주정부기관, 지방정부기관과협력하여보호하는데필요한수단들을권고하도록하고있다. 125) NIPP는기반보호를수행하는협력파트너들의권한, 관할등을존중하고결집하면서도이들의역할과책임을자세히기술하고있다. HDPS-7 에서대통령은국토안보부장관을국가기반보호를위하여연방, 주정부, 지방정부와민간부문을이끄는연방최고관료로지정하고기반보호의통합, 조정, 실행의주도적역할과책임을부여하고있다. 국토안보부는기반을보호하려는국가적노력을 지도, 통합, 그리고조정 할책임이있는데 협동해서 NIPP를만들고 SSP를지원하고 ; 종합적이고다층적인위험관리프로그램과방법의개발과실행 ; 부문간및부문내의보호지침, 그리고프로토콜의개발 ; 위험관리와내외부의수행기준과측정방법의권고를하는것이다. 126) 여기서사이버공간의보안도국토안보부의책임이다. 국토안보부는기반보호의리더역할을하는이외에 HSPD-7에서명시된부문 (sector) 중에서 11개의부문 (sector) 의기반부문담당부서 SSA(Sector-Specific-Agency: 이하 SSA ") 127) 로서의역할기능을수행한다. 128) 즉이부문들은 IT, Communications, 122) Id. at 16. 123) Id. 124) Homeland Security Act of 2002, Pub. L. No. 107-296, 201(d)(5), 116 Stat. 2135, 2146 (2002). 125) 201(d)(6). 126) NIPP, supra note 1, at 15. 127) SSA는각각의기반부문의특성에맞는형태로 NIPP 체계를실행하는기관들이다.(citation omitted). 128) NIPP, supra note 1 (citation omitted). - 49 -
Transportation systems, Chemical, Emergency services, Nuclear reactors, Materials, 그리고 Waste, Postal 과 shipping, 주요생산시설, 정부시설, 그 리고상업적시설등을포함한다. 129) 2. 각기반부문담당부서 (Sector-Specific Agencies) 국토안보부이외의다른연방기관들도해당기관의맡은부문에서기반의 파트너로서참여하고기반에대한피해의발생을예방하고최소화하기 위해서서로협력할책임이있다. 이런점에서그들은 NIPP 와 SSP 가잘 실행될수있도록지원하여야한다. 130) HSPD-7, 여타의대통령령이나법 률에따른기반보호역할의수행한다. SSA 는각각의기반부문의특성에맞는형태로 NIPP 체계를실행하는 기관들이다. 국토안보법과 HDPD-7 에근거해서 SSA 를지정하고해당하는부문의기 반보호책임이부여되어있다. 131) 농무부, 보건부는농업과식품부문, 국 방부는국방산업기지부문, 에너지부는에너지부문, 보건부는공중보건부 문, 내무부는국가기념시설, 상징시설부문, 재무부는은행과재무부문, 환경보호국은수자원부문, 국토안보부의기반보호실은화학, 상업시설, 주 요생산시설, 댐, 에너지서비스, 핵처리시설, 재료, 폐기물부문, 사이버 보안과통신보안실은 IT 통신부문, 해안경비대운송보안실은운송시스템 부문, 이민과관세국, 연방보호국은정부시설부문의기반시설과핵심자원 에대한보안을담당하게된다. 132) HSPD-7 에서는기반부문들이각기독특한특징과운영모델, 그리고 위험형태를가지고있다는점을감안하여연방정부 SSA 를기반부문에 배정하였다. 133) SSA 는국토안보부와관련 GCC(Government Coordinating 129) Id. at 16. 130) Id. at 20. 131) Id. (citation omitted). 132) Id. at 3. 133) Id. at 18. - 50 -
Councils) 134) 와협력해서 NIPP 부문파트너십모델과위험관리체계를실행하고, 보호프로그램, 복원전략, 그리고관련준수사항을개발하고 ; HSPD-7에따라국토안보부에의해서설정된전반적지침을반영하여부문수준의기반보호지침을제공한다. 135) SSA는 SSP와부문수준성과피드백보고서를제출해서국토안보부가이를바탕으로국가적범부문기반보호프로그램에대한평가를할수있도록하는책임이있다. 136) SSA는민간부문과도협력해서자발적인적절한정보공유와정보분석메커니즘을마련토록할책임이있다. 137) SSA는또한타부문과도긴밀히협력해서그들부문에서기반보호와복원력을찾아내고, 우선순위를정하고, 조정하는것에관한그들의노력에대한연차보고서를국토안보부장관에게제출하도록되어있다. 미연방예산국 OMB(Office of Management and Budget) 에연간예산안을제출할때 SSA의기반보호와관련된예산을연간예산안에포함시켜제출토록함으로써 SSA 기반보호의무사항을수행토록하는것이기본적인실행메커니즘이다. 138) 3. 주, 지방정부역할과책임 주, 지방정부도 NIPP 보호체계에따른기반보호프로그램의개발과실행할책임이있다. 지역파트너들을지정하여특정지역에서의기반보호를위해여러관할과부문의협력을위해다자간의파트너십을활용한다. 주, 지방정부등의 CIKT 보호역할에대해다음과같이설명하고있다. 주, 지방, 부족 (tribal), 그리고미국령정부 (territorial government) 는국토안보미션을실행하고공공의안전과복지를보호하고, 관할내에서의필수적인서비스를사회와산업에제공할책임 134) Sector Specific Councils(SSCs), 연방정부, 지방정부대표들로구성. Id. at 4. 한편, SSC 는민간부문기반운영자와소유자의대표들로구성된다. Id. 135) Id. at 18. 136) Id. 137) Id. 138) Id. - 51 -
이있다. 그들은관할내에서운영되는기반파트너와그들통제하의기반을포함한기반보호와복원력에중요한역할을한다. 모든정부조직에서기반파트너들은국가준비지침 (the National Preparedness Guidelines) 에서확립된우선순위에맞게국토안보전략을개발했다. NIPP의실행을이런우선순위의하나로설정한만큼, 기반보호프로그램은주, 지방, 부족과미국령의국토안보전략의필수적인구성요소이고특히, 자원조달우선순위결정과보안에관한투자결정에해당된다. 이런전략들은 NIPP 체계의핵심적요소와궤를같이해야한다. 이를테면위험관리에초점을둔기반보호프로그램, 핵심관할간보안과정보공유통로와같은것들이다. 139) 주또는미국령정부등은전반적인기반보호프로그램을개발하고실행해야하는데기반보호를위해독자적인계획을세우는것이아니라이것들은 NIPP 관련활동들을 온전히 담고있어야한다. 140) 주, 각계층지방정부의위원회, 관련당국, 회의체등은기반운영과보호를위한관할과부문의내부는물론부문간의영역에서규제, 조언, 정책, 그리고사업감독기능을수행한다. 141) 4. 민간부문기반소유자와운영자 민간부문기반소유자와운영자의책임은부문에따라서다양하다. 어떤부문에서는규제적체계를만들어서민간부문의보안업무를다룬다. 그러나대부분은자발적으로보안정책을세우고산업계에서의최선의실행방법 (best practice) 을추구하도록유도한다. 142) 139) Id. at 21. 140) Id. 141) Id. at 24. 142) Id. - 52 -
5. 각종자문협의회 (Advisory Councils) 자문협의회 (Advisory Councils) 는조언, 권고와전문성을기반보호정책과활동들에대해서정부 ( 국토안보부, SSA, 주또는지방기관 ) 에제공한다. 143) 이런실체들은또한공공과민간부문의협력과정보공유를강화하는데도한몫을한다. 144) 가. 기반파트너십자문협의회 : Critical Infrastructure Partnership Advisory Council(CIPAK) 기반파트너십자문협의회 (CIPAK) 는정부와민간부문기반소유자와운영자간의파트너십이다. 이것은효과적인연방기반보호프로그램의실행에기여한다. CIPAK은기반보호를위해광범위하게활동하는데기획, 위험관리, 조정, NIPP의실행, 그리고사고대응과회복과같은운영활동에관여한다. 145) 나. 국토안보자문협의회 : Homeland Security Advisory Council (HSAC) 국토안보자문협의회 (HSAC) 는자문, 추천, 전문지식을보호정책과활동에관련하여정부에제공한다. 146) 국토안보부장관에게관련쟁점들에대한조언과권고를한다. 147) 회원들은장관에의해임명되고주, 지방정부전문가, 공중안전, 보안과최초대응집단, 학계, 그리고민간부문의전문가로구성된다. 148) 143) Id. at 25. 144) Id. 145) Id. 146) Id. 147) Id. 148) Id. - 53 -
다. 국가기반자문협의회 : National Infrastructure Advisory Council(NIAC) 국가기반자문협의회 (NIAC) 는장관을통해대통령에게모든기반부문의 물리적사이버시스템에서의보안에관한조언을한다. 149) 이것은대통 령에의하여임명되는최대 30 명까지의위원으로구성될수있다. 150) 라. 국가안보통신자문위원회 : National Security Telecommunications Advisory Committee(NSTAC) 국가보안통신자문위원회 (NSTAC) 는산업에기초한전문성으로국가안보와에너지준비커뮤니케이션정책 ( National Security and Emergency Preparedness communications policy) 에대한쟁점과문제점에대해대통령에게자문한다. 151) 6. 학계와연구기관 학계와연구기관도기반보호에대해전문지식, 독자적분석, 연구개발, 그리고교육프로그램제공을통하여기여한다. 152) 이들도 NIPP의실행에중요한역할을하는데가령연방정부의자금지원으로설립된 Centers of Excellence를통해기반보호이슈에대한독립적분석, 기반보호기술의연구개발테스트, 평가와실행지원등을한다. 153) 149) Id. 150) Id. 151) Id. 152) Id. at 2. 153) Id. at 26. - 54 -
제 3 절기반보호전략 : 위험관리 1. 위험관리체계개요 NIPP는위험관리체계에대해서다음과같이요약하고있다. NIPP의초석은위험관리체계이다. 위험관리체계는목표의설정, 자산, 시스템, 네트워크의인식, 그리고결과, 취약성과위협에기초한위험평가, 위험평가에기초한우선순위결정, 프로그램과복원전략의실행과효과성의측정을통하여지속적으로기반보호를강화해가는것이다. 위험관리체계는각기반부문의기본특성에따라자산, 시스템, 네트워크미션의본질적기능에맞게적용된다. 국토안보부, SSA, 그리고여타의기반파트너들이위험관리체계를실행하는책임이있다. 154) 위험관리체계는각기관의전략, 능력, 지배구조를통합하고조정해서기반에관련되는위험요소에대한의사결정을가능케한다. 155) 국토안보부, SSA, 그들의공공및민간파트너들은 NIPP 위험관리체계를실행할책임이있다. 156) SSA는그들의담당부문에서의위험관리프로그램을이끌어갈책임이있고그부문의특성에맞춰진위험관리체계가 SSP에반드시포함되도록하여야한다. 157) 국토안보부는이를돕기위하여 SSA와다른파트너들에게지침과분석적지원을제공한다. 158) 범부문간위험분석과위험관리활동을위해서국토안보부는최선의정보를사용할책임이있다. 이런최선의정보란 의존성평가, 상호의존성평가, 전폭효과, 공통적인취약성의파악, 공통적인위협시나리오에대한개발과공유, 부문간위 154) Id. at 4. 155) Id. (Citation omitted). 156) Id. (Citation omitted). 157) Id. (Citation omitted). 158) Id. (Citation omitted). - 55 -
험평가와비교, 부문간위험관리기회의파악과우선순위결정, 범부문위험감소나관리수단의개발과공유, 범부문의파악된구체적연구개발수요등 이다. 159) NIPP의위험관리체계는자산, 시스템, network, 또는기능에맞춰져있고적용되는데이는기반부문의성격에따라차이가날수있다. 2. 위험관리활동 NIPP 위험관리체계는다음의활동들로이루어져있다. 가. 목표의결정 구체적인결과, 조건, 또는이행타겟을정하는데이것들이효과적인 위험관리태세를구성하게된다. 160) 나. 자산, 시스템, 그리고 network 의인식 161) 자산, 시스템, network 의내역을파악하는데이것들은미국밖에있는 것까지포함해서국가의기반을구성하거나그것의주요기능에이바지하고 위험관리와관련한정보를수집하는것들로서각부문의본질적인특성을 고려하게된다. 162) 이것들이기반인벤토리를구성한다. 국토안보부는다른 기관과기반파트너들이이것들을계속적으로정비하고향상하도록독려 한다. 163) 이런인벤토리에대한지식이파트너들이기반의의존성과상 호의존성그리고각수준의정부와부문이위험을평가하고우선순위, 관리를가능케하는지식을제공한다. 164) 159) Id. (Citation omitted). 160) Id. (Citation omitted). 161) Id. at 29. 162) Id. 163) Id. - 56 -
a. 국가기반인벤토리 (National Infrastructure Inventory) 165) 국토안보부는국가수준의기반인벤토리를유지한다. 166) 가장중요한인벤토리는 IDW ( 기반데이터저장고 : Infrastructure Data Warehouse) 이다. 167) IDW는국가의기반인벤토리를일목요연하게알아볼수있는자료를가지고관련기관에제공된다. 168) IDW의목적은주요기반의인벤토리정보를가지고재난에대한정보를제공할수있고이런다양한자산, 시스템, network 의관계, 의존성, 상호의존성에관한기본정보를제공한다. 169) 현재인벤토리와관련자료들은 IDW의연방차원의기반정보수집시스템 (Infrastructure Information Collection System) 을통해서유지된다. 170) 국토안보부와 SSA는이런인벤토리정보들이현행화될수있도록지역정부와민간부문과긴밀히협조하고있다. 171) 국토안보부는이런인벤토리를개발하고유지하기위한관련정보에대한가이드라인을제공한다. 172) IDW의정보는다음의다양한소스로부터공급이된다. 173) 즉, 부문인벤토리 (Sector inventory), 기반파트너들의자발적제출자료, 각종연구결과, 고위험지역에서의지속적관찰결과물등이다. 174) b. 인벤토리정보의보호와접근 175) 국토안보부는권한없는자가정보에접근하지못하도록할책임이있다. 이것을위한다양한안전조치를취하고있다. 176) c. 인벤토리개발과유지에있어서의역할 177) 164) Id. 165) Id. 166) Id. 167) Id. 168) Id. 169) Id. 170) Id. 171) Id. 172) Id. 173) Id. 174) Id. 175) Id. at 30. 176) Id. 177) Id. at 31. - 57 -
국토안보부는각정부가 IDW에기여하는기반인벤토리를생성하기위한지식을확보할수있도록다양한도구와자원을지원한다. 이것은자동주요자산관리시스템 (the Constellation/ Automated Critical Asset Management System) 을포함하는데이는각정부 ( 주, 지방등 ) 의인벤토리지식형성과기반보호프로그램, 그리고모든기반파트너들간의정보교류를촉진한다. 178) 사이버기반의인식을위한것도국토안보부가지원한다. 179) 다. 위험평가 NIPP 위험체계는시나리오기반위험평가를하도록하는데위험은위협의성격과규모, 그위협에대한취약성, 그리고그로부터발생할수있는결과의함수로정의된다. 즉 R=f(C,V,T) 로표현된다. 180) a. NIPP 위험평가를위한핵심기준 181) - 문서화 (documented): 평가방법과평가는명확하게어떤정보가사용되었으며어떻게그것이모아져서위험측정을하게되었는지문서화가되어야한다. 182) - 재생가능성 (reproducible): 설사다른분석가가다른기반을평가가하더라도방법론은비교가가능하고, 반복될수있는결과를생산하여야한다. 183) 주관적요소들은최소화하고정책과가치판단은정책결정자에게맡겨져야한다. 184) - 신뢰성 (Defensible): 위험평가방법은논리적으로구성요소를통합하고전문성에걸맞는방법을사용하여야하고심각한오류나빠뜨림이 178) Id. 179) Id. at 32. 180) Id. 181) Id. at 33. 182) Id. 183) Id. 184) Id. - 58 -
없어야한다. 185) - 완결성 (Complete): 평가방법은모든시나리오에의한위험에대해 서결과, 취약성, 위협을평가하여야한다. 186) 라. 우선순위결정 위험평가결과를축적하고비교하여자산, 시스템, 그리고 network 위험과그와관계되는미션의계속성에대한합당한관점을개발하고, 위험에기초한우선순위를설정하고, 보호, 복원력, 또는사업지속계획을결정해서그것들이위험완화를위한투자에대한최대한의효과를가져오게한다. 187) 우선순위결정과정은위험평가를바탕으로기반보호가우선적으로이루어져야할자산, 시스템, network, 부문또는이들의조합중에서위험노출순서를결정한다. 위험완화로인한이익도제시해서기획과자원결정을할때참고하도록한다. 188) 마. 보호프로그램과복원전략의실행 발견위험을감소시키거나관리하는데적정한행동과프로그램을선택 하고우선적인조치를취하는데필요한자원이무엇인가를결정하고제 공하는과정이다. 189) - 효과적인보호프로그램과복원력전략의특성 국토안보부는기반보호와취약성평가전문가를리에종으로국토안보부, 기반보호집단, 각정부수준의주요기반이집중되어있는지역을중 심으로배정한다. 190) 이들은위험정보공유와기술적지원을그들책임 185) Id. 186) Id. 187) Id. (citation omitted) 188) Id. (citation omitted) 189) Id. (citation omitted) - 59 -
구역내에서지방집행기관과운영자들에게제공한다. 191) 보호보안자문인 (Protective Security Advisor: PSA) 은평상시나비상시에 PSA 간, 국토안보부, 지방정부, 운영자들의조정과협력을촉진시키는구심점역할을한다. 192) 바. 방법의효과성측정 사용된방법이효과적이었는지에대한객관적평가와보고는기반보호를향상시키는데매우중요하다. - 기반보호수단의효과성측정 : 성과정보수집, 성과평가와진척보고여러평가방법을이용해서전국, 주, 지방, 지역, 그리고부문수준별로진척사항과기반보호프로그램의효과성을측정한다. 193) 이런과정은계속적인피드백을필요로한다. 194) 연방정부와그기반파트너들이진척사항을추적하여국가기반보호와복원력을시간이경과함에개선하여실행할수있다. 물리적, 공간적, 인간적위험요소들이위험관리체계의모든면에서고려되어야한다. 195) 사. 계속적향상 위험관리체계의실행으로부터효과적인위험관리수준을도모하고변화 하는위협에잘대응할수있도록할필요가있다. 196) 190) Id. (citation omitted). 191) Id. (citation omitted) 192) Id. at 43. 193) Id. (citation omitted) 194) Id. (citation omitted) 195) Id. at 48. 196) Id. - 60 -
제 4 절기반보호를위한조정과협력 기반운영자간, 공급자간정부와전략적의사소통과조정창구기반보호의광범위함과복잡성, 국가보호구조의분산된성격, 그리고테러위협의불확실성으로보호와복원노력의실행은거대한도전이다. 197) 이것이효과적이기위해서 NIPP는조직적구조와파트너십을통해서가능하다. 198) NIPP는기반보호를위한협력체계를연방, 주, 지방등의모든계층의정부뿐만아니라각부문간에도이루어질수있도록구축하고있다. 199) 1. 리더십과조정메커니즘 200) 부문조정자문위원회 (Sector Coordinating Councils) 는일반적으로민간부문의보유자와운영자의대표들로구성되어있다. 201) 정부조정자문위원회 (Government Coordinating Councils) 는 SSA의대표들, 여타의연방부와기관들, 주, 지방, 부족과지역정부의대표들로구성된다. 202) 이자문위원회는각정부기관의대표들과민간부문들의대표들이함께일하여기반보호능력을향상시키도록한다. 203) 지역컨소시엄조정자문위원회 (Regional Consortium Coordinating Council: RCCC) 는기반보호에있어서지역기반이해관계를가진자들에게회의체이다. 204) 기반보호는외국정부나국제기구들과의협력도중요한데 NIPP은국토안보부, 국무부, 여타정부기관들이외국과의협력을할수있도록메커니즘과절차를제공한다. 205) 197) Id. at 49. 198) Id. 199) Id. 200) Id. 201) Id. at 52. 202) Id. 203) Id. 204) Id. at 4. - 61 -
가. 국가수준조정 206) 국토안보부는 GCC, SSA들과공조하여기반파트너십협력 / 조정을위해서 NIPP 실행을지도, 통합, 조정하는데이를위해서개별부문지배구조의정보공유, 보고, 그리고협력활동의통제소역할을하는등국가수준의조정을위한다양한활동들을한다. 207) 나. 부문파트너십조정 208) 국토안보부는 SSA들, 그리고부문파트너들과협력하여공공-민간기반파트너십체계를위한조정지침뿐아니라효과성측정방법을제공하는등다양한노력을기울인다. 209) 국토안보부는범부문조직들을설치해서협력, 소통, 그리고기반부문, 관할, 특정지역을막론하고최선의실행방법 (best practices) 을공유하는것을향상시키도록한다. 210) 범부문적이슈와상호의존성은범부문자문위원회 (Cross sector Council) 를통해서다루어진다. 211) 이는각부문조정자문위원회 (SSC) 의지도자들로구성되어진다. 212) 주요기반보안파트너십 (The Partnership for Critical Infrastructure Security) 은국토안보부의기반장관실 (Executive Secretariat) 의지원으로이런대표성을제공한다. 213) GCCs 간의범부문적이슈는정부범부문자문위원회 (the Government Cross Sector Council) 를통해서이루어지는데이는 NIPP 연방고위지도자자문위원회 (Federal Senior Leadership 205) Id. at 54. 206) Id. at 50. 207) Id. 208) Id. 209) Id. 210) Id. 211) Id. at 51. 212) Id. 213) Id. - 62 -
Council: FSLC) 와주, 지방, 부적, 지역정부조정자문위원회 (State, Local, Tribal, and Territorial Government Coordinating Council: SLTTGCC) 를통해서다루어진다. FSLC는연방정부부처간의의사소통을촉진하고조정하는데, 이를테면기반위험관리전략에대한공감대형성, 위험관리체계에기초한기반프로그램의평가와실행의촉진, 기반보호활동의진행사항의평가와보고등의역할을수행한다. 214) SLTTGCC는연방수준의기반프로그램이잘진행되도록하고관할간의기반협력이이루어질수있도록하는데이를테면국토안보부, SSA와기반소유자와운영자들을통한고위급, 범관할전략커뮤니케이션과조정을제공하는등의역할을한다. 215) 부문조정협의회 (Sector Coordinating Council) 216) 는기반소유자와운영자들이기반이슈와활동들에대해서정부와조정할수있는조직이다. SCC는자체적으로조직, 운영된다. SCC는소유자와운영자들이특정부문전략에대해서상호교류케하는데이것은정부가해당부문의기반보호활동과이슈들에대해접촉을시도하는출발점이된다. 217) 관련부문의기획과조정은조정자문위원들을통해서취급된다. 218) 다. 정보공유 : network 접근방법 효율적인정보공유와정보보호절차가상호이익이되고신뢰에바탕을둘때효과적이고, 협력적이고잘결합된기반보호프로그램과활동을실행할수있도록한다. 219) 정보공유는위험평가를정확히하게하고그에따른적절한조치를할수있도록하는데 NIPP에서는이를위해서네트워크접근방법을채택하고있다. 220) 이를통해서기반파트너들은위험을 214) Id. 215) Id. 216) Id. at 52. 217) Id. at 52. 218) Id. at 50. 219) Id. - 63 -
평가하고위험관리활동들을찾아내고우선순위를정하고자원을배분하고위험관리활동을수행하고국가의기반보호태세를계속적으로향상시킨다. 221) NIPP 실행은보유자와운영자들과같은정보보유자들에의한자발적인제공에의존한다. 222) 이런정보들은흔히사업상매우민감하거나보안정보라서노출될경우기업, 공중안전에심각한타격을입힐수있다. 223) 연방정부는기반보호관련정보의보호를위한제정법적근거를제공하고있다. 224) 국토안보부와여타의연방기관들은보안관련정보가잘파수 ( 把守 ) 될수있도록여러가지프로그램과절차를사용하는데이를테면주요기반정보보호프로그램 (Protected Critical Infrastructure Information Program) 같은것이다. 225) NIPP에정의된개념의기반보호활동들은프라이버시법과같은곳에서적시되어있는대로정해져있는데이는안보와시민의권리와자유의보호를동시에달성하려는것이다. 226) 연방정보교점 (Federal Intelligence Node) 227) 은국토안보부, SSA, GCC와다른연방부처로구성되어여러소스로부터위협, 사태, 그리고다른운영정보를수집한다. 228) 지방정부교점 (State, Local, Tribal, Territorial, and Regional Node) 은국토안보부, SSA와지방정부의파트너들을연결한다. 229) 몇몇설치된의사소통채널은지방에서주로주에서연방으로의정보전달과정보를연방에서다른파트너들에게배급하는역할을한다. 230) 민간부문교점 (Private Sector Node) 은기반소유자, 운영자, SCC, 와교역협회들로구성되어사건정보와의심스러운테러활동을보고한다. 231) 국토안보부는모든위험경고, 보호수단등을기반소유자와운영 220) Id. at 56. 221) Id. at 57. 222) Id. 223) Id. 224) Id. 225) Id. 226) Id. at 5. 227) Id. at 62. 228) Id. 229) Id. 230) Id. - 64 -
자에게알리기도한다. 232) 제 5 절기반보호 : 국토안보책무 기반보호가원활히수행되기위해서는 파트너십, 조정, 협력 이필요한데, 이를위해서 NIPP는각정부기관이수립한기반보호계획에포함될내용에대한지침을제공한다. 233) 이렇게해서기반의보호를위한관련부문계획, 주, 지방정부전략등의 개발, 실행, 현행화 가각각의실정에맞게이루어질수있도록한다. 234) 연방, 주, 지방, 지역, 부족정부는각각의영역에맞는기반보호계획을마련하고마찬가지로기반소유자와운영자들도나름대로의기반보호를위한조치를취하는데 NIPP를통해서이런노력들이중복되거나낭비적으로실행되지않도록하여야한다. 235) NIPP, 국가준비지침 (National Preparedness Guidelines), 그리고국가대응체계 (National Response Framework) 는국토안보책무를 종합적 이고 통합적 으로달성할수있도록작성되어있다. 236) NIPP는 국가의기반보호태세 에대한전반적 위험인지 에대한접근법을마련하고 NRF는 국내사건관리 에대한접근법을제시한다. 237) NPG는 예방, 보호, 대응, 그리고복구미션분야 의능력재고를위한 국가적우선순위, 원칙, 그리고역할과책임 을규정하고있다. 238) 국내사건관리에대한 전반적조정 에대한지침을제시하고 NRF의기반보호분야에있어 사건예방, 대응, 복구 등과같은일련의 위협및사건관리활동 의 231) Id. 232) Id. 233) Id. at 71. 234) Id. (citation omitted) 235) Id. (citation omitted) 236) Id. (citation omitted) 237) Id. (citation omitted) 238) Id. (citation omitted) - 65 -
초석 을제공한다. NPG는 평가, 기획, 교육, 훈련, 장려금, 그리고기술적지원 을하면서 목표능력의적용 을통해서실행이된다. 239) 기반보호를위한다양한권한근거, 전략, 그리고계획들은국토안보미션을부분이아닌공통적이고전체적인체계로서접근함을의미한다. 240) 가. NIPP 와 SSP 의다른기반계획과프로그램의관계 241) NIPP와다른기반보호계획과의관계는다음과같이요약될수있다. NIPP와 SSP는각부문의안팎에서적용될수있는기반보호노력의공통적인요인들의골격을제시한다. SSP는 NIPP의통합적인구성요소로서각부문의독특한관점, 위험형태, 그리고방법론과접근방법과관련하여다루는독립적인문서로존재한다. 242) 주, 지방, 그리고부족정부단계의국토안보계획과전략은그들의관할내에서의기반보호뿐만아니라다양한지역적노력과여타외부실체들과의조정을위한메커니즘을다룬다. 243) NIPP는또한민간부문의자발적인노력이나각종법적요구사항에의한기반보호를위한 계획 과 프로그램 과도연계할수있도록설계되어있는데이를테면이런계획과프로그램은 사업의계속성과복원방법 을포함하는것이다. 244) a. SSP 245) SSP의개발과기능에대해서다음과기술하고있다. 국토안보부의지침에기초해서 SSP는 SSA, SCC, GCC와그부문과밀접한이해관계와전문성이있는다른주, 지방, 부족 239) Id. at 5. 240) Id. (citation omitted) 241) Id. at 76. 242) Id. 243) Id. 244) Id. 245) Id. at 6. - 66 -
정부파트너들과협력하여개발된다. SSP는 NIPP가실행될수있는방법을제시하고각부문이주, 지방국토보안전략과기반보호프로그램을개발, 실행, 현행화할수있도록하는국가적체계를제시한다. SSP는각부문의 독특한특성 '(unique characteristics) 과 ' 위험형태 '(risk landscape) 에맞춰져있고또한기반보호프로그램, 민관의기반보호투자, 그리고자원배분에대한일관성을제시한다. SSP는부문파트너, 권한, 규제근거, 역할과책임, 그리고상호의존성을설정하고기존의부문교류, 정보공유, 조정과파트너십을설정하고조직화한다. 246) SSA가국토안보부와다른부문파트너들과의조정에있어서사용하고부문내의기반우선순위와기능을밝히는등의 NIPP 체계를통한일련의활동들을수행하기위한부문특정접근방법을확인하는등의기능을한다. 247) b. 주, 지역, 지방, 부족등의기반보호프로그램 248) 국가준비지침 (The National Preparedness Guidelines) 에따르면 기반 프로그램의개발과실행은주, 지역, 지방, 부족, 그리고미국령국토안보 프로그램의핵심적구성요소 이다. 249) 기반보호프로그램에서자신의 관할구역내에서의조직구조와메커니즘을자세히설계하면정부와민 간단체들간의조정을통해서 NIPP 의위험관리체계를실행하는데사용 될수있다. 250) 주, 지역, 지방, 부족, 그리고미국령정부의수준에서의기반프로그램이 NIPP 와 SSP 의실행을강화하는데도움이되는데이는 지역적초점 (geographical focus) 과범부문조정잠재력 (cross-sector coordination potential) 의제공으로 비롯된다. 251) 이는지역적초점을맞추면서도다른부문과도조화를이 246) Id. 247) Id. 248) Id. at 77. 249) Id. 250) Id. - 67 -
룰수있도록유연성을가지는것이라고이해된다. NIPP에서는이런노력들이다른기반보호와일관성있게진행되도록이런노력에부합하는권고사항들을제시하고있다. 이것들은다양성을인정하고각주, 또는지역내에서의다양한관계당국, 자원, 그리고쟁점들을충분히반영할수있도록하는유연성을가지고있도록하는것이다. 252) c. 기반보호에관련한다른계획또는프로그램 253) 연방정부관계자는다른계획또는프로그램들이기반보호요인들을명시할때그것들이 NIPP를지원할수있도록일관성있게마련되어중복되거나불필요한계층을형성하지않도록하여야한다. 254) 주, 지역, 지방, 부족수준에서의기반보호에대한프로토콜을포함하는계획은재해감소 (hazard mitigation), 운영지속성 (continuity-of-operations), 정부지속성 (continuity of government), 환경보건운영, 그리고통합상황운영을나타낸다. 255) 이러한정부 계획과전략에대한검토는전체적인국토안보와장려금지침을준수하여야한다. 256) 민간부문에서도기반보호를위해서전략과계획을세우고기업의위험관리, 기업의지속성, 비상관리계획등다양한방책을마련한다. 이런기업들의노력이각층의정부와잘조정이될때 NIPP를실행하는데있어효과를한층발휘할수있을것이다. 257) 이런면에서민간부문의국가적기반보호실행에참여가적극고무되는것이다. 258) 나. 기반보호와사고관리 (Protection and Incident Management) 259) 251) Id. 252) Id. 253) Id. 254) Id. 255) Id. 256) Id. 257) Id. 258) Id. at 78. 259) Id. - 68 -
NIPP는국토안보의핵심요인을제시해서테러공격방지, 취약성감소, 모든위험에따르는사태에대한대응 (respond to incidents in an all-hazards context) 을위한종합적이고통합적인접근을제시하고있다. 260) a. 국가대응체계 261) NRF는모든위험접근방법을채택하여소방, 방재, 법집행, 비상의료서비스등다양한상황에서최고의실행방법을포함하도록하고있다. 262) NRF는특정한위협이나사건이발생시의사결정을지원하는운영및자원조정구조를제시하여사태관리능력을제고하고자원을적절히자신의권한범위내에서쓰도록한다. 263) NRF에서는연방정부, 주정부및그이하정부, 민간부문의조정절차를설명하고있다. 264) NRF는사태발생전의준비상태나사태발생후의단기복구를위한대응을다루고있으며비상시역할과책임을설정해놓고재난지역에자원이급파될수있도록하는기능을포함한다. 265) NRF의 SSA와다른연방기관들의역할과책임은 NIPP과보완적이지만구분이된다. 266) NIPP에서계속되는위험관리체계, 파트너십, 그리고정보공유 network는 NRF에서일단비상사태발생시잘조정이되고연계가되어효과적으로기반보호에대응할수있는메커니즘을제공한다. 267) 제 6 절장기간에걸친효과적이고, 효율적인프로그램보장 ( 상세내용부록 1 참조 ) 260) Id. 261) Id. 262) Id. 263) Id. 264) Id. 265) Id. 266) Id. 267) Id. - 69 -
장기적인기반보호와복원력강화를위한활동들은가능한모든위험요소와그리고이러한위협에상응하는국가기반의보호와시의적절한복구를위해서수행할조치에대한확실한이해를통해서기반보호프로그램과그것을위한투자및보호활동을지원하도록하는국가적인식의확립하는것, 교육, 훈련, 연습프로그램을실행함으로써전문가를양성하고기관들의경험을넓힘으로써 NIPP에서부과하는책임을다할수있도록하는것, 기반보호를위한기술의연구및개발로보호수행기관이좀더적은비용으로효과적인보호활동을할수있도록하는것, 사건관리를위한준비를확고히하기위한부문간의위험평가를지속적으로하기위한데이터시스템과시뮬레이션의개발, 보호, 유지 NIPP 및연결된계획과프로그램의지속적개선및검토하는것이다. 268) 제 7 절기반보호프로그램을위한지원 ( 상세내용부 록 2 참조 ) NIPP는기반보호자원의배분에있어통합적 (integrated) 이고위험인지 (risk-informed) 접근법을택하고있는데이는기반보호에필요한자원배분, 우선순위의결정, 필요사항등을정하고, 연방장려금을주, 지방, 지역, 부족정부등과민간부문에서필요한재원을보충하는데필요하다. 269) 국토안보부는연방수준에서는기반연차보고서를통해서기반우선순위와필요사항에대한권고사항을제공한다. 270) 국토안보부는주, 지방, 부족, 지역기반보호우선순위와필요사항을수집하여기반보호를위한국가적우선순위를정하고자원이가정효율적으로쓰일수있도록한다. 271) 이러한위험인지접근법은민간부문과의협력을통한우선순위결정, 필요사항파악, 정보공유, 위험최소화를위한메커니즘을포함한다. 272) 268) Id. (citation omitted) 269) Id. (citation omitted) 270) Id. (citation omitted) 271) Id. at 97. - 70 -
제 4 장국내기반보호법제와의비교분석 1. 우리나라의기반보호법제 가. 재난및안전관리기본법 우리나라 재난및안전관리기본법 은 각종재난으로부터국토를 보존하고국민의생명 신체및재산을보호하기위하여국가와지방자치 단체의재난및안전관리체제를확립하고, 재난의예방 대비 대응 복구와 그밖에재난및안전관리에필요한사항을규정함을목적으로한다. 273) 여기서 재난 이란국민의태풍, 홍수와같은자연재해, 일정규 모이상의화재, 붕괴와같은사고, 그리고 에너지, 통신, 교통, 금융, 의 료, 수도등국가기반체계의마비 등을포함시키고있다. 274) 국무총리를위원장으로하는중앙안전관리위원회 ( 이하 " 중앙위원회 " 라 한다 ) 는안전관리정책의심의및총괄 조정, 부처간협의 조정등을, 행정안전부장관을위원장으로하는조정위원회 ( 이하 " 조정위원회 " 라한 다 ) 는부처간의협의 조정사항중경미한사항의협의 조정등을하도록 하며분과위원회를두어중앙위원회의업무를효율적으로수행하도록 하고있다. 275) 중앙위원회의기능중하나는국가안전관리계획집행계획을 심의하는것이다. 276) 국가안전관리계획은국무총리가수립지침을관계 중앙행정기관의장에게시달하고그에따라중앙행정기관의장은소관에 속하는안전관리업무의기본계획을제출하면국무총리는이를종합하여 국가안전관리기본계획을작성하여중앙위원회의심의를거쳐중앙행정기 272) Id. at 6. 273) 재난및안전관리기본법제 1 조. 274) 법제 3 조제 1 호참조. 275) 법제 9 조참조. 276) 법제 10 조참조. - 71 -
관의장에게시달하게된다. 277) 관계중앙행정기관의장은국가안전관리기본계획에따라그소관업무에관한집행계획을작성하여행정안전부장관과협의한후국무총리의승인을받아확정 278) 하고재난관리책임기관의장에게시달한다. 279) 지역별안전관리정책의심의및총괄 조정, 지역별안전관리업무의협의 조정을위하여특별시장 광역시장 도지사 특별자치도지사 ( 이하 " 시 도지사 " 라한다 ) 소속으로시 도안전관리위원회 ( 이하 " 시 도위원회 " 라한다 ) 를두고, 시장 군수 구청장 ( 자치구의구청장을말한다. 이하같다 ) 소속으로시 군 구안전관리위원회 ( 이하 " 시 군 구위원회 " 라한다 ) 를둔다. 280) 대규모재난의예방 대비 대응 복구등에관한사항을총괄 조정하고필요한조치를하기위하여행정안전부에중앙재난안전대책본부 ( 이하 " 중앙대책본부 " 라한다 ) 를둔다. 281) 중앙대책본부의본부장 ( 이하 " 중앙본부장 " 이라한다 ) 은행정안전부장관이되며, 중앙본부장은중앙대책본부의업무를총괄 282) 하는데그기능으로서 국내외에서발생한재난사례및수습체계의분석, 재난유형별수습시나리오의작성, 재난유형별전문가의데이터베이스구축및상시연락체제구축, 재난유형별물적자원의파악및데이터베이스구축, 재난유형별사고조사기법 인력및장비의개발 283) 등을포함하고있다. 지역별의재난대책에대비한지역본부를둘수있는데중앙본부장은지역본부장을지휘할수있다. 284) 같은법제25조의2에서는 에너지, 통신, 교통, 금융, 의료, 수도등국가기반체계의마비와전염병확산등으로인한피해 에따른국가기반체계의보호를위한시설 ( 국가기반시설 ) 을지정할수있도록하고있다. 행정안전부장관이나소방방재청장은국가기반체계에대한안전관리규 277) 법제 22 조참조. 278) 법제 23 조제 1 항. 279) 법제 23 조제 2 항. 280) 법제 11 조. 281) 법제 14 조제 1 항. 282) 법제 14 조제 2 항. 283) 법제 15 조제 6 항. 284) 법제 13 조제 3 항. - 72 -
정, 안전관리체계, 단계별예방, 대응, 복구과정, 재난대응조직의구성등에대한평가를할수있다. 285) 같은법제26조에서는 재난관리책임기관의장의재난예방조치 를규정하여 재난에대응할조직의구성및정비, 재난의예측과정보전달체계의구축, 재난발생에대비한교육 훈련과재난관리예방에관한홍보, 재난이발생할위험이높은분야에대한안전관리체계의구축및안전관리규정의제정, 재난이발생할위험이높거나재난예방을위하여계속적으로관리할필요가있다고인정되는시설및지역 ( 이하 " 특정관리대상시설등 " 이라한다 ) 의지정 관리및정비, 국가기반시설의관리 286) 등을하도록하고있다. 이밖에같은법제34조를통한재난예방교육및홍보, 제34조의2를통한재난유형의파악및그에대한재난대비활동지침의작성, 제34조의3을통한재난관련용어의정의및표준체계의정립, 재난대응체계의원칙, 자원관리에대한일반적기준등도규정하고있다. 나. 정보통신기반보호법 이법은 전자적침해행위에대비하여주요정보통신기반시설의보호에 관한대책을수립 시행함으로써동시설을안정적으로운용하도록하여 국가의안전과국민생활의안정을보장하는것을목적으로한다. 287) 정보통신기반시설이라함은국가안전보장 행정 국방 치안 금융 통신 운 송 에너지등의업무와관련된전자적제어 관리시스템및정보통신망을 말한다. 288) 전자적침해행위라함은정보통신기반시설을대상으로해 킹, 컴퓨터바이러스, 논리 메일폭탄, 서비스거부또는고출력전자기파 등에의하여정보통신기반시설을공격하는행위를말한다. 289) 285) 법제 29 조제 1 항. 286) 법제 26 조. 287) 정보통신기반보호법제 1 조. 288) 법제 2 조제 1 호. 289) 법제 2 조제 2 호. - 73 -
주요정보통신기반시설의보호정책의조정, 보호계획의종합 조정, 보호계획의보호와관련된제도의개선에관한사항등을심의하기위하여국무총리실장을위원장으로하고중앙행정기관의차관등을위원으로하는정보통신기반보호위원회 ( 이하 " 위원회 " 라한다 ) 를두도록하고있다. 290) 주요정보통신기반시설을관리하는기관의장은취약점분석 평가의결과에따라소관주요정보통신기반시설을안전하게보호하기위한물리적 기술적대책을포함한주요정보통신기반시설보호대책을수립 시행하여야한다. 291) 관계중앙행정기관의장은 제출받은주요정보통신기반시설보호대책을종합 조정하여소관분야에대한주요정보통신기반시설에관한보호계획을수립 시행 292) 하여야하는데그내용은 주요정보통신기반시설의취약점분석 평가, 주요정보통신기반시설의침해사고에대한예방및복구대책 293) 등을포함하도록하고있다. 행정안전부장관과국가정보원장등은관리기관에대하여 주요정보통신기반시설보호대책의이행여부를확인할수있다. 294) 이밖에주요정보통신기반시설의보호지원 ( 제7조 ), 주요정보통신기반시설의지정등 ( 제8조 ), 취약점의분석 평가 ( 제9조 ), 기술지원및민간협력등 ( 제24, 제25조 ) 에관한규정을두고있다. 다. 국가정보원법 ( 기반보호관련주요내용 ) 국가안전보장업무의효율적인수행을위하여필요한사항을규정함을목적 295) 으로하는데국정원의직무로서 국외정보및국내보안정보 ( 대공 대정부전복 방첩 대테러및국제범죄조직 ) 의수집 작성및배포, 정보및보안업무의기획 조정 296) 을포함하고있다. 290) 법제 3 조, 제 4 조참조. 291) 법제 5 조참조. 292) 법제 6 조제 1 항. 293) 법제 6 조제 3 항. 294) 법제 5 조의 2. 295) 국가정보원법제 1 조. 296) 법제 3 조제 1 항제 1 호, 제 5 호. - 74 -
2. 미국법제와의비교분석 가. 재난및안전관리기본법 재난및안전관리기본법 은자연재해뿐만아니라국가기반시설의보호에관한규정도포함한다는점에서역시국가기반보호에관한규정을다루고있는미국의 국토안보법 과비교될수있다. 9.11 테러가 국토안보법 제정을촉발하였다. 한편, 재난및안전관리기본법 은대구지하철참사가법제정의계기가되었다. 297) 재난및안전관리기본법 은행정안전부장관이조정위원회위원장이되어서안전관리에관한부처간협의를조정토록하고대규모재난에대한 예방 대비 대응 복구 업무를총괄케하도록하는규정은있으나국토안보법에서와같이테러공격대응에관한직접적규정은없다. 다만, 재난및안전관리를위한 모든활동 298) 을포함하고있으므로넓게해석하면테러공격에대비한재난및안전관리도그규율대상이라고볼여지가있다. 즉, 기반에대한피해가자연재해나사고에의해서발생할수있을뿐만아니라테러분자등에의해서도피해가발생될수있기때문에기반보호의안보적측면을배제할수는없을것이다. 국가정보원법 제3조제1항은국정원의직무중에서 정보및보안업무의기획조정 을포함하고있으므로국정원과의유기적공조가필요할것이다. 그러나 재난및안전관리기본법 과 국가정보원법 과의관계가명확하지않아보인다. 혹시중복된업무로인한비효율이없는지검토할필요가있어보인다. 한편, 미국의경우조정위원회위원장의역할을국토안보부기반보호국장과 SSA 대표가공동위원장이되어담당한다. 297) 오준근, 재난 테러등각종위기상황에대비한시설물의종합적안전관리를위한법제정방안, 토지공법연구제 35 집 359-380, 3 면, 한국토지공법학회 (2007.2). 298) 재난및안전관리기본법제 3 조제 3,4 호참조. - 75 -
재난및안전관리기본법 에의한 국가안전관리기본계획 은그제목이말해주듯이앞서살핀 NIPP와비교될수있을것이다. 다만, NIPP 가기반보호계획이라면 국가안전관리기본계획 은종합적안전계획이기때문에기반보호에관해서는 NIPP가좀더구체적이고치밀하게짜여져있다고볼수있다. 국가안전관리기본계획 이철저히실행되고또지속적피드백을통해서지속적으로개선될필요가있을것인데이를위해 NIPP의위험관리체계를참고할만할것이다. 또한 SSA의각종위험관리프로그램등도참고할만할것이다. 특히미국의이런계획이나프로그램들이매우구체적이고현실적이고세밀하다는점에서유용할것이다. 국가안전관리기본계획수립절차를살펴보면우리나라에서는국무총리가국가안전관리기본계획수립지침을시달하면중앙행정기관의장은소관분야의안전관리기본계획을국무총리에게제출, 총리가이를종합하여국가안전관리기본계획을수립하여중앙행정기관의장에게시달하고중앙행정기관의장은재난관리책임기관장에게시달한다. 미국의경우 NIPP는국토안보부기반보호실에서수립하고, SSA, 주, 지방정부는 NIPP 계획및위험관리체계를기초로각각의상황에맞는계획의수립과실행을한다. 부처별안전관리계획에관한사항은미국의담당부문별계획즉, Sector Specific Plan에상응한다고볼수있다. 지역별기반보호를위해서도여러조직이가동되고있음은 NIPP와유사하다. 다만미국의정부구조는연방정부, 주정부, 지방정부등정부의계층구조가우리나라보다복잡하게구성되어있기때문에그에따른기반보호체계도복잡한것이사실이다. 지역위원회 가지역별기반보호안전관리정책이나업무를협의, 조정하는데미국에서처럼지역간의기반보호업무협의, 조정등을담당할기구를두는것도참고할만하다. 국가기반시설의지정에관해서는미국의경우국가인벤토리 DB를통해서관리하고있다. 나. 정보통신기반보호법 - 76 -
미국과의비교분석에앞서우선 정보통신기반보호법 과 재난및안전관리기본법 의관계에대해서살펴볼필요가있다. 이는두법이모두 기반 보호에관한것이기때문이다. 재난및안전관리기본법 에서는 에너지, 통신, 교통, 금융, 의료, 수도등국가기반체계의마비 에대응키위한법률이라면이법은 국가안전보장 행정 국방 치안 금융 통신 운송 에너지등의업무와관련된전자적제어 관리시스템및정보통신망 에대한전자적침해에대응키위한법이다. 따라서정보통신기반의보호업무수행이두개의법률에의해중첩되거나우선순위가불분명할수가있을것이다. 이는전자적시스템도기반의일부이고전자적침해가그렇지않은침해와반드시구별될수있는것은아닐것이기때문이다. 두개의법을준수하는데있어비효율이발생하는지살펴볼필요가있을것이다. 한편기반보호체계를살펴보면우리나라에서는 정보통신기반보호위원회 가기반관련업무의조정, 계획실행등을담당하도록하고있는데미국의경우이와같은성격의자문, 조정, 협력을위한위원회가정부계층별, 부문별로다양하게존재한다. 주요정보통신기반시설보호계획수립은중앙행정기관의장이소관분야기반보호계획을수립하도록하고있는데미국의경우 NIPP를기초로 SSP를수립하도록한점은흡사하다. 주요정보통신기반시설의지정및취약점분석, 평가, 정보공유, 복구조치등에관한것은미국 NIPP의위험관리체계와비교될수있을것이다. 한편, 국가사이버안전관리규정제5조에서는 국가사이버안전과관련된정책및관리에대하여는국정원장이중앙행정기관의장과총괄조정 토록하고있는데미국의경우국토안보부내 Office of Cyber Security and Communications가 NIPP상의 SSA로서이분야를담당하고있다. 다. 법체계의차이 미국에서는국토안보부가미국국내의국토안보 ( 국방을제외한 ) 의핵심 적역할을하기위하여 22 개의관계기관을국토안보부로편입시켰다. 기 - 77 -
반보호도이러한차원에서국토안보부가주도한다. 우리나라에서는기반보호에관한핵심적총괄부서가명확하지않아보인다. 국정원은정보, 보안업무의조정총괄을담당하고있는데이것이기반보호에관한업무도포함하는것인지명확하지않다. 국정원과행안부모두주요정보통신기반시설에관해서는관계기관을평가하고개선을요구할수있다. 이런규정이자칫업무의중복이나충돌에의한비효율을야기할수도있을것이다. 미국의경우국토안보부에서기반보호목적의중요한사항에관해서는중앙정보국의정보에접근할수있도록하고있다. 국토안보, 특히기반보호의주된책임부서를결정할것인지현재의보호체계를유지할것인지정책적검토와판단이필요해보인다. 미국법체계와우리나라와의차이로인해서미국기반보호법제와의단순비교는어려우나미국의기반보호체계가좀더명확하고, 세밀하며, 구체적이라는인상은지울수가없다. 그런면에서앞으로좀더깊은연구를통해서참고할만한가치가있다고본다. 3. 일반적시사점 가. 기반보호필요성에대한인식과홍보강화 우리나라에대한국내외테러위협이점증하고있는것이사실이다. 따라서기반보호에대한인식이강화될필요가있어보인다. 이분야에대한국가정책적관심과자원배분이필요하다. 기반의피해는국가경제에막대한피해를초래할수있으므로홍보등을통해서국민개개인의관심을유도하고정책적우선순위도격상시킬필요가있을것이다. 나. 기반보호에관한교육훈련강화 우리나라기반보호법제에서도교육훈련에관한규정을두고있지만 이것은기반보호에있어반드시필요한조건이다. 자칫이런교육은형 - 78 -
식적으로진행될수도있으나교육에대한평가강화등을통해서내실을다질수있을것이다. 미국의기반보호법제와체계를살펴보면서계획이나프로그램등이매우철저하고세부적이고치밀하다고느끼지않을수없었다. 이런것은법적, 문화적인차이에기인하기도하지만교육훈련에의한차이도클것으로보인다. 다. NIPP 위험관리체계에대한참고 NIPP의위험관리체계는목표설정에서부터피드백까지매우정치하게마련되어있다. NIPP의위험관리체계는깊이분석하여적용할필요가있어보인다. 또한기반보호를위한시뮬레이션센터의운영및활성화는참고할만하다. 라. 기반보호를위한정보공유촉진과프라이버시보호를위한노력 미국에서는기반보호를위한자발적정보제공을지원하는것과동시에그로인해정보제공자가피해를입지않도록법적으로철저히보호하고있다. 프라이버시담당관을지정하는것도그한예이다. 국토안보강화와동시에국민의프라이버시, 자유경제활동보장과기본권침해가발생하지않도록하는책무를국통안보부장관에게지워짐으로써균형을유지한다는점은반드시고려해야할점이다. 마. 일관성, 통일성있는기반보호체계 기반보호를위한행정안전부, 국정원와각정부부문간의역할과의무가명확히확립될필요가있어보인다. 기관별조정협력에관한세부적이고구체적인 R&R(Role and Responsibility) 설정이필요할것이다. 또한부처간협력이나조정을위한위원회등의활동이촉진될필요가있어보인다. - 79 -
바. 민간참여유도 앞서언급하였듯이기반보호를위해서는여러수준의정부기관뿐아니라민간의긴밀한협력이요구된다. 우리나라국가안전관리기본계획에도민간참여를유도하는내용을포함시키고있지만기반보호에관한민간의역할은중차대하므로실질적으로기여할수있는방법을지속적으로모색하고실천하는것이바람직하다. 특히기반소유자와운영자를중심으로한적극적민간참여가중요할것이다. 이를위해서 NIPP에서볼수있는각기관의역동적역할과기능, 그리고활동성은참고할필요가있어보인다. 각종리에종사무소및위원회의활용도그렇다. 또한 NET GUARD도참고할만하다. 사이버보안을위해서자발적으로구성되는민간인전문가에의한사이버기반강화도관심있게볼필요가있다. 국가기반보호체계의한계를극복하고잠재적인전문성을활용한다는측면에서그렇다. 제 5 장결론 미국의기반보호체계와법제는 9.11 테러에대한미국정부의대응으로국토안보부를신설하면서국토안보의일부로취급되고있다. 기반보호법제와체계는매우세밀하게마련되어있으며그에따른기반보호활동도철저하고진지하게이루어진다는인상을갖게되었다. 9.11 테러가미국국민에게가져다준충격과독특한법률체계와문화적배경, 그리고정부와국토의규모등이아우러져보다치밀한보호체계가마련되었다는것이다. 한편기반보호를강화하면서도프라이버시보호, 국민의기본권보장에대해서도철저히강조하고있다는점은인상깊었다. 이는우리나라에서도기반보호정책결정시간과해서는아니될중요한점이라고생각된다. - 80 -
본연구를통해서미국의방대하고복잡한법률체계속에서터잡은기반보호체계와세부적절차를일일이살펴볼수는없었지만기반보호법제와체계를조관할수있었다. 그러나우리나라의기반보호법제와체계에대해서는깊이연구하지않고추후별도의심도있는연구가있어야할것이다. 미국의기반보호에수반되는프라이버시강화에대한노력, 기반보호를위한 SSA들의프로그램, 기반보호를위한각정부기관의역할분담과조정, 그리고갈등해결방식, 중앙정보국과국토안보부와의역할분담, 국토안보법 과 연방정보보안관리법, 기타재난관련법들과의관계등에관해서좀더깊이있는연구가필요하다고생각한다. - 81 -
부록 1 장기간에걸친효과적이고, 효율적인프로그램 보장 299) 이장에서는효과적이고, 효율적인기반보호프로그램에필요한활동들을설명한다. 이것은특히숙련된인적자원육성, 첨단시스템개발및일반대중의주의 (Public Awareness) 구축과같이계획과투자그리고지속적이고장기적인시간이요소들에초점을맞추고있다. 장기간에걸쳐기반보호및회복력을강화하는데필요한주요활동은다음과같다. - 위험발생시국가기반의적시복구를활성화하고이를보호하기위한모든위험과위험요소를집중적으로이해하여기반보호프로그램과이와관련된투자들을지원하기위한국가적인식구축 - 미래에 NIPP 관련임무를수행할수있는경험있는기관과숙련되고지식있는전문가들을확보하기위한교육, 훈련, 실습프로그램활성화 - 기반의파트너가제한된예산으로더많은일을감당할수있도록위험관리비용절감, 회복력전략과보호능력개선을위한기술사용과 R&D 수행 - 국내사고관리를위한준비와각부서들에걸쳐위험을계속적으로개선하도록하는시뮬레이션과데이터시스템의개발, 보호및유지관리 - 필요시 NIPP와그와관련된계획과프로그램의계속적개선 제 1 절국가인식구축 국토안보부는 SSA 와다른기반의파트너들과함께기반보호, 투자 299) NIPP. supra note 1, at 81-95. 부록 1A 는 NIPP 6 장을요약번역한내용이다. 이하개별인용부호는생략한다. - 82 -
및위험유지 관리계획의지속가능성을지원하기위한행동에동기를부여하고, 기반의모든위험과위험환경에대한공공및민간부분의이해에초점을맞춘포괄적인국가인식프로그램을구현할책임이있다. 기반국가인식프로그램 (CIKR National Awareness Program) 의목적은다음과같다. - 정부와민간부분의모든수준에걸친, 직원과수석매니저교육및훈련프로그램을포함한기반보호와복원을고려한사업계획및운영을통합 - 공공및민간부분의의사결정지원기반보호및복원을위한적합하고효율적인전략을기획하고자원배분과정에대한정보제공 - 기반의존성과상호의존, 기반보호와복원계획에대한이해를지역사회수준으로확대된범부서적 (cross-sector) 가치의확대 - 기반보호, 회복력, 신속한복구강화와위험환경을설명하기위한노력국토안보부와여타연방기관들은기반파트너들간의취약점정보공유를위해이에따른방해물을제거하기위한포괄적인국가사이버보안인식캠페인에참여한다. 이캠페인은수령자중심인식자료 (audience-specific awareness material) 와유지안전온라인 (Stay Safety Online) 의확장, 그리고이러한노력에상당한기여를위한보상프로그램의개발을다루고있다. 이장에서는기반보호임무의효과적인수행을위해필요한전문가와핵심능력의유지, 개발을위한사람과조직을위한교육, 훈련, 실습프로그램을활성화하기위한기초를제공한다. 필수구성원과조직기능구축은특별한전문지식을가진충분한전문가의모집, 훈련, 유지를필요로한다. 다음으로이것을개발하고유지하기위해기술적, 학문적인전문가개발프로그램을통해위험관리기능의필수단계들마다개인적인교육과훈련이필요하다. 그리고필요절차를합리화하기위한조직훈련과연습및기반프로그램의능률과효율성 - 83 -
강화도필요하다. 가. 교육과훈련 기반에서다루는위험완화와보호는광범위한대중을목적으로한다. 교육과훈련관점에서일반대중들은조직이나공동체라기보다는개인의집합으로써놓여있다. 그것은개개인들의약속이자의사결정이고, 공공- 민간기반파트너십의성공을결정지을전문성과책임감이그들에게달려있다. 기반과관련된교육과훈련의효율적이고효과적인전달을보장하기위해이대중들의유사점과차이점을파악하는것은매우중요하다. 나. 기반보호수행을위한핵심역량 미국인사관리소에서는역량을다음과같이정의한다. 개인이업무역할이나직업적인기능을성공적으로수행하기위해필요한지식, 기술, 능력, 행동및기타특성의측정가능한패턴이다. 역량모델은필요업무수행을위해필요한요소들을함께정의할역량들의집합이다. 또한이를관리하기위해훈련과교육프로그램들은전형적으로다음과같은단계를거친다. a. 인식자료 : 이과정의참가자들에게기반에관련된개념, 원칙, 정책, 또는절차에대해서동기부여하고설명한다. b. 대학과정 : 전문성개발촉진을위한이론, 연구조사, 고급지식을제시한다. c. 기술개발기간 : 훈련받는동안, 그리고직장에서모두특별한기반기능과일의수행을개선하기위해집중한다. d. 연습 : 기반기술습득, 과정, 절차를테스트하고강화한다. e. 직업지원 : 찾고자하는사람이일을수행하는데필요한기반정보에개인이빠르게접근할수있게허락 ( 예를들면가이드등의체크리스트나견본, 의사지원 ) 하는자료나도구를포함한다. - 84 -
다. 개인교육과훈련 현존하는공인학술프로그램, 전문자격표준및기술교육프로그램에 영향을끼치는연수및교육에대한복잡한접근을포함한 NIPP 를수행하 기위한능력유지와구축 a. 기반보호교육국토안보부, SSAs 및다른기반파트너들은다양한목표대중 (target audience) 들사이에 NIPP와 SSP 수행을지원하기위해서핵심역량강화와필요능력구축으로구성된다양한교육프로그램을제공한다. 교육프로그램의내용과수준은부서의필요에따라다양하다. 다른부서들은특별한전략이나기술목표를충족시키기위해과정을발전시키는반면에어떤부서들은설립되어있는프로그램활용을필요로한다. 국토안보부는 FEMA Emergency Management Institute(EMI) 를통하여 NIPP의인식수준단계의교육을제공한다. 이독립교육과정은교실에서나온라인에서모두학습가능하다. 이과정은위험관리프레임워크와파트너십모델, 정보공유, 역할및책임을포함하여 NIPP의기본원칙의토대를제공한다. 국토안보부, SSAs 및다른기반파트너들은기반의보호강화에대한과정을제공하는데이중에 NIPP와 SSP와관련된교육목표중하나는, 핵심역량강화, 적절한수준의교육제공, 교육중인대상각자를위한발전기회를찾고, 이를조절하는것이다. 국토안보부와다른연방정부기관들은기반의상당수가있는도시지역에특별히초점을맞추고, 인근의인지도높은지역에특별한행사가예정되어있거나, 잠재적으로고위험지역이나관할지역에지방법강화를위해교육자료를제공하고지원한다. 그범위는완충지역보호, 폭탄테러방지, 인력테러인식, 감시감지, 고위험 Target에대한인식, WMD 사고훈련, 연속운영훈련등이다. - 85 -
국토안보부는전문교육회사를고용해사이버보안훈련, 교육, 인식 프로그램등도제공한다. b. 학술프로그램국토안보부는기반보호를위해임무지역에서중요하고집중적인전문교육프로그램들을설립하기위해다양한범위의학술기관들을운영한다. 국토안보부는국토안보와관련된교육과정을설립하기위해대학교들과협력하고, The Naval Postgraduate School에대학원단계프로그램을후원하고있다. 국토안보부는학술학위와성인교육을포함하는장기적인고등교육프로그램의개발을추진하고있다. 이프로그램은 IP, the S&T Universities 그리고 Centers for Excellence programs, TSA 및그외에다른기관과의협력을통하여개발되고있다. c. 평생교육과전문역량국토안보부는설립된전문적인기준을실용적인곳에, 적절한시점에이용하길장려하고, 특별하고중요한기반보호전문가들을필요로하는지역을위한전문적인기준, 평생교육, 전문역량프로그램의발전을가능하게하기위해기반파트너들과일한다. d. 조직교육및훈련조직및기관전문가를구축하고유지하는것은테러사건, 자연재해, 기타위험상황의맥락에서 NIPP와 NRF사이의상호작용을테스트하는종합적인훈련을필요로한다. 훈련은모든수준에걸쳐민간부서의장과운영자에의해수행된다. SSAs와기반 Cross-Sector Council과협력하는 IP는 NEP에서후원하는활동이나행사에참여하는기반 18개의모든부서를위한전달자로서일한다. 따라서 IP 훈련프로그램은엄격히 NEP(National Exercise Program) 의취지에따라수행된다. 또한기반과관련된훈련계획및 NIPP의파트너참여는그것의 EWG(Exercise Working Group) 을통하여 IP 내에서 - 86 -
조직되는데, 그것은모든 IP 프로젝트, 구성되어있다. SSAs, 및민간부서를대표하여 1) 국가훈련프로그램 - 국가수준의훈련 300) 매년국가보안이나국토보안훈련은미국정부차원의전략과정책을중심으로백악관이직접지휘한다. 2) ( 기관 ) 장수준의훈련 301) 분기별훈련으로, 적절한부서나기관의장또는그들의부장들이미국 정부차원의전략상중요한문제에대해다룬다. 3) NEP 5 년훈련일정 전략상의핵심과미국정부차원의전략적핵심을포함하는훈련등급 1 과 2 각각의시나리오를확인한다. 4) 국가훈련일정 302) 연방, 주, 지방훈련의모든일정 5) 수정 ( 修正 ) 활동프로그램문제의개선을확인, 부과, 포착하기위한시스템과과정을포함한국토안전보장이사회 303) 와국토안보부 304) 의지원으로국토안보부에의해승인되었다. 300) National Level Exercise ( 이하 NLE) 301) Principal Level Exercise ( 이하 PLE) 302) National Exercise Schedule ( 이하 NEXS) 303) Homeland Security Council ( 이하 HSC) 304) National Security Council ( 이하 NSC) - 87 -
6) 국토안보부훈련및평가프로그램 305) 국토안보부정책과설계에대한지도, 개발, 실시및평가연습한다. 7) 훈련등급 I ( 필수 ) NEP 훈련등급 I 은백안관을중심으로미국정부차원의전략및정책관련문제를모든해당부서와기관의장들 ( 또는그들의부장 ) 및모든필요활동기관의참여로국가와지역이적절히감독한다. NLEs와 PLEs 및 NEP 계층을구성하는다섯 NEP 등급 I 는매년훈련하고있다. 8) 훈련등급 Ⅱ ( 추천 ) NEP 훈련등급 Ⅱ는전략과정책문제에초점을맞추고있으며이는모든해당부서들과기관, National Exercise Simulation Cell 혹은각기관이나기관들의리더십에의해결정된다. 9) 훈련등급 Ⅲ ( 허가 ) NEP 훈련등급 Ⅲ은명시된훈련이나훈련목표를달성하기위한광범위한관계부처간본부수준의개입을필요로하지않는, 작전, 전술혹은특별기관수준에대한계획, 정책, 절차와목표에중점을둔다른연방훈련이다. 305) Homeland Security Exercise and Evaluation Program (HSEEP) - 88 -