주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 차례 Ⅰ. 서론 Ⅱ. 이론적배경 1. 국가정보의개념 2. 사이버안전 3. 국가정보의보호대상 Ⅲ. 변화하는안보환경분석과정보보호정책 1. 변화하는안보환경분석 2. 우리나라의정보보안정책 3. 주요국의정보보안정책 4. 시사점 Ⅳ. 국내외사이버안전법체계비교 1. 국내외사이버안전유사법률비교 2. 국내외사이버안전관련양형비교 3. 국가사이버안전관리유사기관비교 V. 사이버안전업무발전방안 VI. 결론 국문요약 급속한과학기술의발전과더불어세계냉전체제의붕괴와남북관계의변화, 국가간치열한기술경쟁및고도의정보사회도래에따른국제안보환경이변화되면서국가간에사이버전쟁의위험이급격히증가되고이에따른기존의안보개념도기술및사이버보안등에포커스를둔 신 ( 新 ) 안보 쪽으로확대되고있다. 최근사이버공격으로그루지야와에스토니아의국가전산망의마비사태에서와같이, 그실체가밝혀지지않은개인또는외부조직으로부터의국가주요기반시설에대한해킹침투가지속적으로증가하고있는가운데, 국가전산망에대한악성코드유포등국내외해커조직들로부터의사이버공격이새로운국가안보의위협요소로대두되고있지만아직도우리나라의국가사이버
36 국가정보연구제 1 권 2 호 안전체계는부실한실정으로, 미비한법제도적장치로인해급속한정보화발전에비해정보보안의발전은한계를드러내고있어이를극복하기위한대책마련이시급하다. 이에본논문에서는국가정보와사이버안전에대한개념을정립하고, 2003. 1.25 인터넷대란을계기로국가안보차원에서탄생된국가정보원의국가사이버안전센터와한국정보보호진흥원의인터넷침해사고대응지원센터, 국군기무사의국방정보전대응센터등우리나라의국가사이버안전기관의설립배경과활동내역을고찰하고민 관 군의사이버안전정책을국가전산망안전확보를위한예방활동영역과각종위협적인요소를적발하는탐지활동영역, 그리고침해당한전산망에대해긴급복구를지원하는대응 복구활동영역등크게 3가지로구분하여사이버안전업무현황을살펴보았다. 또한미국, 영국, EU 등주요 7개국의법제도를비교하여국내사이버안전정책의문제점을분석, 이에대한해결방안을도출코자하였는바, 우선법률의재정비를통해서국가사이버안전센터등관련기관들의설립근거를확보하고, 각종법률에분산된정보보호관련법규정을단일법으로제정하며사이버범죄의재발방지를위해범죄자에대한가중처벌및국가정보기반시설피해로인한긴급상황발생시즉각투입할수있는사이버안전전문인력 ( 일명사이버전사 ) 의양성제도의도입을비롯, 선진국수준의정보보호예산확보등국가가지향하는미래유비쿼터스사회의도래에대비한실질적인정책적과제를제시하였다. 주제어 국가사이버안전정책, 정보보안정책, 정보보호제도, 사이버안전발전방안
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 37 Ⅰ. 서론 유비쿼터스의도래는네트워크가 RFID, 스마트카드등이내재된사물로까지확장되는환경조성을의미하며이는 Malware 스파이웨어 봇넷 (Botnet) 등을이용한공격이나모바일스팸등의신종유비쿼터스범죄가등장할우려를낳고있다. 네트워크인프라망이광대역화와융합화등을통해진화하는유비쿼터스사회에서는진화된네트워크를이용하여지능화된서비스제공이가능함을의미한다. 이러한발전된기술을통해세계각국에서발생되고있는사이버테러나사이버전쟁은더이상가상적상황이아닌현실적이며실체적인안보상황으로다가온것이다. 급속한과학기술의발전과정보화에따라국제안보환경이새롭게변화하면서전세계적으로정보전쟁또는사이버전쟁의위협이크게증가되고있는가운데, 기존의군사작전은물론첨단무기및적대세력에관한첩보, 국력의근간이되는경제활동, 정부의주요활동시스템등국가의안보역량을결정짓는요소들은적대적공격이나우발적침입의위협에항상노출되어있다. 새로운사이버안보의중요성이부각되고있는가운데, 현재국내에서는이에대한기본적인개념정립및법 제도적인측면에대한구체적인연구가미흡한실정이며이러한일련의사태를직면할때또다른인터넷강국 대한민국 을돌아보지않을수없다. 우리나라는기업의인터넷활용에서는세계1위, 초고속인터넷가입자 2위, 전자정부준비도 5위등인터넷강국으로서최근에는가정까지 100Mbps광랜이확산되어정보의전송이너무도빨라서이를이용한사이버위협도급격히늘어나고있는등잘발달된우리나라인터넷인프라가사이버테러에는매우취약한실정에있다. 최근외국해커들에의해청와대를비롯하여정부기관을대상으로한해킹시도등일련의사태가보여주듯이 2004년외국으로부터조직적인국내
38 국가정보연구제 1 권 2 호 주요기관의정보통신망에대한해킹실체가밝혀진이후, 아직도지속적으로국가기관의네트워크등주요기반시설에대한해킹침투가줄어들지않고오히려증가하고있어대책마련이시급한과제이다. 특히 1 25 인터넷대란으로전국이혼란을겪은이래더욱더심하게전개되는해외로부터의사이버공격은새로운국가안보의위협요소로대두되어정부차원에서 국가사이버안전관리규정 을제정하여각종사이버위협에대비하고있지만아직까지도우리에게는이러한사이버위협으로부터국가안위를보장하기위한법 제도적장치는매우미흡한실정에있다. 또한냉전체제의붕괴와남북관계의변화, 국가간치열한기술경쟁등변화된환경에따라국가안보의포커스도기술및사이버보안등 신 ( 新 ) 안보 쪽으로확대되고있는등안보개념도점차바뀌어가고있다. 외국의해커들이우리의정보를빼내가기위해수시로국가기관이나기업전산망을침투대상으로노리고있는가운데, 우리가개발한첨단과학기술이외국에고스란히넘어가는상황이지금이시간에도진행될수있다는점에서그심각성과우려는시간이갈수록더욱심화되고있다. 이에본논문에서는국가안보요소로등장한각종정보, 즉국가기밀정보를포함한국가정보와사이버안전에대한개념정립과함께국가안보와관련된우리의헌법과법률을고찰해보고 1.25 인터넷대란을계기로 2004년정부가국가안보차원에서설립한국가정보원의 국가사이버안전센터 와한국정보보호진흥원의 인터넷침해사고대응지원센터, 국군기무사의 국방정보전대응센터 등민 관 군의국가사이버안전관리체계와그동안의활동내용을살펴보았다. 특히미국, 영국, 독일, 일본등외국의법제도와체계를비교하여문제점을분석하고개선점을도출한결과, 가장시급한것으로법제도적개선을들었다. 지금까지는사이버안전활동이법률에의하지아니하고대통령훈령, 규정, 지침등으로이루어지고있어서의무사항준수및처벌등이곤란하여적극적인활동을기대할수없음을알수있었다.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 39 따라서국가사이버안전활동을새롭게법률로제정함은물론, 기존의분산된관련법률을통합하는법률개정작업과함께외국에비해턱없이부족한정보보안예산을대폭확대함과동시에사이버안전활동에필요한전문인력을양성하는새로운교육제도도입등의제도적보완도선결과제로대두되고있는바, 이는우리나라가추구하는미래유비쿼터스사회를준비하기위한기반조성을위해서도해결해야할필수정책과제이기도하다. II. 이론적배경 1. 국가정보의개념 국가정보에관한이론적기반은그동안미국에서가장많이연구되어왔기때문에주로미국의자료를근거로살펴보기로한다. 고전적저서인셔먼켄트 (Sherman Kent) 의 미국의세계정책을위한전략정보 (Strategic Intelligence for American World Policy) 에따르면정보 (intelligence) 란지식또는첩보 (information), 활동 (activities) 및조직 (organizations) 을포괄하는개념이라고할수있다. 다시말해서국가정보는일종의지식이며그러한지식을입수하는행위 ( 또는상대방의입수행위를저지하는것 ), 그리고입수또는저지기능을수행하는조직등을지칭 1) 한다. 또한단순한지식의차원을넘어활동과조직을포괄하는개념으로지식, 활동, 조직등이상호유기적으로관련되는데단순한정보를가공, 재생산한지식과그것을생산하기위한국가적조직, 그리고활동을포괄한다. 2) 활동에서의정보에 1) Abram N. Shulsky, Silent Warfare : Understanding the World of Intelligence (Virginia:Brassey s, Inc, 1991), pp.1-3. 2) 전웅, 국가정보와안보정책 한국국제정치학회, 1997.
40 국가정보연구제 1 권 2 호 는정보의생산활동과함께방첩활동이포함되고방첩활동에는각종위해요소로부터비밀을유지하기위한보안활동도포함된다. 법률적측면에서보면미국정부는 1947년 국가보안법 을제정, 전략정보국을중앙정보부로개편하면서정보공동체의조직과기능을법제화하였고 1993년미연방의회는 정보활동승인법 을개정, 정보의개념을포함시켰는데여기에서도 정보는국외정보와방첩을포함한다. 고규정하였다. 특히 2004년에제정된 정보개혁및테러방지법 은국가안보와관련된정보는출처와상관없이미국내외에서수집된첩보를포함, 1 미국의대통령이발령한지침에부합된것으로 1개이상의미연방정부기관이보유한것, 2 미국이나미국의시민, 재산, 이익에대한위협및대량살상무기의개발, 확산, 이용뿐만아니라미국의국가보안과국토안보에관한기타사항을망라한 정보 라고규정하였다. 또한국가의지식자산은지식과정보의창출, 확산, 활용등이경제, 사회활동의핵심이되는지식기반사회의무형자산 (OECD는국가지식자산을인적자원, 시스템과프로세스, 지식환경으로구분, 구체적인측정대상을설정 ) 으로서중요한정보자산이며, 지식환경역시지식창조자와사용자사이의커뮤니케이션체계를의미하므로국가의교육및정보유통네트워크등도이에해당된다. 즉광의의국가지식자산은정보를창출, 확산, 활용하는일련의프로세스와관련된다양한무형자산을포함하고있으나핵심은국가가생산, 유통하고있는지식컨텐츠라고말할수있다. 4) 이러한무형의지식컨텐츠에서그개념을확장, 국가정보의개념을도출하면우선, 국가정보란국가정책및국가안보와관련, 국가정보기관이작성한종합적인정보로써국가정책결정에관여하며대통령을중심으로한국가최고운영자가사용하는정보를의미 5) 한다. 게다가정보화시대의도래로인해컴퓨터와 3) 김윤덕, 국가정보학 박영사, 2001, pp.9-11 4) 조재인, 지식정보자원보존체계에관한연구. 한국도서관 정보학회지 ( 제 35 권제 4 호 ), 2004. 5) 김윤덕, 상게서.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 41 네트워크에관련된비밀첩보수집및보안대책강구등을내용으로하는사이버정보도새로운정보요소로지목받고있을뿐만아니라 6) 1986년시행된 전산망보급확장과이용촉진에관한법률 에의해경제 사회 국방 외교 문화등사회모든분야가전산화되어국가정책수립등의활동이이를통해이루어지므로국가정보개념을확대해석하는것이당연하다. 아울러물질적인자원외에도기업의기술특허및영업비밀등과같은산업기술은국가경쟁력강화의초석이될수있는국가핵심정보로서해외로유출될경우국가안보와국가경제에심각한영향을줄수있기때문에지식자산을국가정보의개념에포함할수있으며인터넷으로행정서비스가이루어지는실정에서국가정보통신망을통해소통되는모든제반활동의결과물과이를통해수집 가공 분석되는모든정보를국가정보로보고이러한관점으로관련법률과규정에서지칭하는국가정보의개념을이해하여야한다. 구체적으로우리나라의법령을살펴보면우선, 전기통신기본법 제 2조의제2호 ( 정보통신망정의 7) ) 를참조할수있으며, 2004년 산업기술의유출방지및보호지원에관한법률안 발의문에서 국가안보에직접영향을미치는국가핵심기술의해외유출을규제하고, 산업기술의유출을방지하기위한보안의식확산및제도적기반구축을통해국내핵심기술보호는물론, 과학 산업기술인및연구개발자를보호, 국가산업경쟁력을강화하고국가안보와국민경제의안정을보장하기위한것 이라고밝힌대로 국가안보에직접영향을주는국가핵심기술 등은국가정보로구분해야할것이다. 6) 국가정보포럼. 국가정보학, 서울 : 박영사, 2006, p.16. 7) 정보통신망 이라함은전기통신설비를활용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체제를말한다.
42 국가정보연구제 1 권 2 호 2. 사이버안전 그동안국가정보를보호하기위한보안활동은크게물리적보안과사이버보안으로구분되어왔는바, 우리는흔히통신보안, 정보통신보안, 전산보안, 정보보안, 사이버보안, 컴퓨터보안, 네트워크보안등의용어를사용하여왔지만이러한용어의변천과정은 IT기술의발전과정과밀접히연관되어있다. 영국의 IT평가기관인통신전자보안단 (CESG : Communication-Electronic Security Group) 과美국가보안국 (NSA : National Security Agency) 에서는이미오래전부터이러한용어를공식적으로사용해왔으며일반화한것으로서시대변천에따라그보호대상과의미가변화되어왔다. 통신보안 (Communication Security) 이란, 60 80년대중반전화 FAX 전신등유 무선통신망으로소통되는내용을보호하기위한대책을의미하였다. 이시기는컴퓨터통신이사용되지않았으며통신보안을위해주로암호기술이사용되었다. 이후, 80 90년대중반정부가국가공공기관들에컴퓨터를보급하고국가기간전산망을구축, 공공기관내부전산망에대한보안의필요성이대두되면서전산보안 (Computer Security) 이등장하였다. 즉전산보안은주전산기 (PC 포함 ) 와전산망에서기밀정보의저장 가공 소통중에훼손 변조 유출등을방지하기위한보안대책으로사용되었는데, 당시에는인터넷의보급이활성화하지않아각급기관의주전산기또는 PC 에대한비 ( 非 ) 인간자접근차단및전산망에대한보호가주된보안활동이었다. 인터넷보급이활성화되던 1995년부터 2003년까지정보화가급속히진전되자주로해킹, 웜 바이러스등역기능이나타나고유 무선도청문제가제기되면서통신보안과전자파보안을포괄하는개념 8) 으로정보보안 (Information Security) 이라는용어가출현하였다. 그러다가 8) 출처 : CESG Computer Security Memorandum No.1 (1993.11)
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 43 2003년 1.25 인터넷대란으로인해국가정보기반시설에대한국가안보차원의대응체계구축필요성이제기되어정부는국가정보원을주축으로국가안전보장회의 (NSC) 사무처 ( 舊 ) 및국방부, 정보통신부 ( 舊 ) 등관련기관들이참여하여 국가사이버테러대응체계구축기본계획 을마련하게되었고대통령께보고하는과정에서당시노무현대통령은 보안 이라는용어보다 안전 이라는용어가적합하다고지시, 사이버안전 (Cyber Security) 이라는용어가최초로등장하면서이를근거로 국가사이버안전센터 가설립되는등보안이라는용어대신포괄적인개념이적용된 안전 이라는용어가보편화되기시작하였다. 9) 사이버안전은주로국가기간전산망과이를운용하는시스템을대상으로국가기밀은물론, 주요자료보호활동과해킹, 웜 바이러스등에따른방어업무를포함, 정보보안을확대한개념이며국가의각종재난대책과함께사이버안전분야에서의공공 ( 국가정보원 ), 군 ( 국방부 ), 민간 ( 한국정보보호진흥원 ) 분야별대응체계로이루어진하나의국가위기관리체계로서사이버공간의위협에대한대응활동이국가안보차원에서다루어지고있다. 3. 국가정보의보호대상 가. 국가기밀과비밀 10) 이론적으로국가기밀은비밀을포함하는광의의개념으로법규와판례 9) 당시새로출범한참여정부에서는국가정보원이과거냉전체제하의정보활동원칙에서산업보안, 대테러, 국제범죄, 사이버테러등신안보위협에대한정보활동으로집중, 국민들로부터신뢰받는정보기관으로쇄신해줄것을요구 ( 노대통령도 보안 이라는용어가국민들에게일부부정적으로인식될수있다는점을우려함과동시, 사이버보안업무는비밀에관한보안업무외에도비밀은아니라할지라도국가가보호해야할중요한정보가소통저장되는네트워크상에서의보안활동영역을구분하기가애매하여좀더포괄적인사전적의미의 안전 이라는용어를선택한것으로사료 ) 10) 서원경, 우리나라의비밀기록관리현황에관한연구 한국기록관리학회지, 2006
44 국가정보연구제 1 권 2 호 등에서개념이정립되어있는데, 국가정보원법 제 13조제4항에 국가의안전에대한중대한불이익을회피하기위해한정된인원에게만지득이허용되고다른국가또는집단에대하여비밀로할사실, 물건또는지식으로국가기밀로분류된사항 이라고규정하고있으며 보안업무규정 에는그내용이누설될경우국가안전보장에유해로운결과를초래할우려가있는것 을국가기밀로정의하고있다. 11) 따라서국가기밀이라함은공지의사실이아닌것 ( 비공지성 ) 으로서적국을포함한외국에누설되는경우국가안보및국익에명백한불이익을초래할가능성이있는것 ( 실질비성 ) 이면비밀이건대외비이건그형식여하에불구하고모두이에해당한다고볼수있다. 12) 비밀의개념은이해관계적차원의문제이지, 절대적실체는아니다. 13) 즉시간의변화, 환경의변화, 이해관계에따라비밀의정의와범위가달라질수있기때문에비밀보호의대상과범위도국가의관심과입장에따라달라서각국의정부는모두비밀관리체제를유지하고는있으나정도에있어서는조금씩차이를보이고있다. 우리나라의현행법령상으로불때국가의비밀과기밀에대해서는 군사기밀보호법 과 보안업무규정 에서각각 비밀 에대한법령상의정의를내리고있다. 군사기밀보호법 (1972.12.26제정, 법률제2387호 ) 에서의 군사기밀 이라함은 일반인에게알려지지않는것으로서누설될경우국가안보에명백한위험을초래할우려가있는군관련문서 도화 전자기록등특수매체기록또는물건이며군사기밀이라는뜻이표시또는고지되거나보호에필요한조치가행하여진것과그내용 을말한다. 이러한군사기밀은국가안 11) 보안업무규정 ( 대통령령제 10478 호, 1981.10.7) 제 2 조 1 호참조. 12) 민병설, 산업보안체계의정립에관한연구 경희대학교대학원, 박사학위논문, 2002, p.28. 13) 세계일보, 2004.5.31.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 45 보에미치는영향의정도에따라 Ⅰ급, Ⅱ급, Ⅲ급비밀로등급을구분한다. 국가보안법 제 4조제1항제2호 ( 나 ) 목에정해진기밀은정치 경제 사회 문화등각방면에관하여반국가단체에대해비밀로하거나확인되지아니함이대한민국의이익이되는모든사실, 물건또는지식으로서그것들이국내에서의적법한절차등을거쳐이미일반인에게널리알려진공지의사실, 물건또는지식에속하지아니한것이어야하고또그내용이누설되는경우국가의안전에위험을초래할우려가있어기밀로보호할실질적인가치를갖춘것이어야한다. 14) 고규정되어있다. 보안업무규정( 대통령령제1664호로 1964.3.10제정 ) 은비밀을 그내용이누설되는경우국가안보에유해한결과를초래할우려가있는국가기밀로서대통령령에의해비밀로분류된것 이라고말하며동규정제4조에서는그중요성과가치의정도에따라이를 Ⅰ급, Ⅱ급, Ⅲ급비밀로구분하여, 1급비밀은 누설되는경우대한민국과외교관계가단절되고전쟁을유발하며, 국가의방위계획 정보활동및국가방위상필요불가결한과학과기술의개발을위태롭게하는등의우려가있는사항, Ⅱ급비밀은 누설되는경우국가안전보장에막대한지장을초래할우려가있는사항, Ⅲ급비밀은 누설시국가안전보장에손해를끼칠우려가있는사항 으로각각규정하고있다. 15) 따라서기밀이란여러판례 16) 에서도알수있듯이비밀의포괄적대상으로군사 외교관계에서국가안보와관련된조직체의중요한비밀이라지 14) 대법원 1997. 7. 16. 선고 97 도 985 전원합의체판결, 2000. 10. 6. 선고 2000 도 2965 판결등참조. 15) 이러한비밀지정에는세분류규정이있다. 보안업무규정시행규칙 제 8 조에의하면국가정보원장은기본분류지침에따라각중앙국가기관의장이제출하는자료에의하여비밀세부분류지침을작성하여국가기관기타관계기관에배부하도록하고있다. 또한중앙국가기관의장은비밀세부분류지침을새로이작성하거나변경할필요가있다고인정할때에는그자료를국정원장에게제출하여야해야한다. 16) 대법원 2003.06.24 선고 2000 도 5442 판결.
46 국가정보연구제 1 권 2 호 칭할수있으며법률에서정한대로비밀로지정된기록은물론, 국가기록원의경우처럼 각급기관이생산한문서 대장 카드 도면 시청각물 전자문서중비밀로분류된기록물 ( 대외비포함 ) 17) 을말하며 보안업무시행규칙 제 7조도대외비또는 직무수행상특별히보호 를요하는사항도 비밀에준하여보관한다 라고명시하고있어비밀은아니나비밀에준하여관리하도록하고있다. 나. 산업기술산업기술이란용어가실무적으로활용되기시작한것은냉전체제가붕괴되고국가간에 자국이익보호주의 가팽배하면서부터과거군사ㆍ외교위주에서국가경제발전을위한정보와기술을수집하는활동으로국가정보활동이전환되었고이에맞서선진국을필두로보안대책을강구하게되면서이과정에서민간기업을비롯한연구소등의국제경쟁력을갖춘기술과산업정보를국가가국가안보는물론국익보호차원에서보호해야할필요성이대두되어보호의대상으로서의 산업기술 과이를보호하기위한활동의일환으로 산업보안 이라는용어와함께본격적으로사용되었다. 18) 산업기술은 5가지로분리되는바, 국가정보의요소별기준에따르면정치, 경제, 군사, 과학 기술, 사회정보중에서경제정보와과학 기술정보 19) 로서기업이기밀로취급하는기술과경영정보를총칭하는것을의미한다. 20) 또한국가나기업이보호할가치가있는기술을스파이나경쟁회사로부터의침해또는무관한자에게누설되지않게보호해야하는실질적인기술로서공공연하게알려져있지않고독립된경제적가치를가지는것으로상당 17) 국가기록원, 비밀기록물의보존관리지침 (2002. 5), 국가기록원홈페이지 <http://www.archives.go.kr> 참조. 18) 민병설, 상게서, p.16 참조. 19) 국가정보포럼, 국가정보학, 서울 : 박영사, 2006, p.15. 20) 민병설, 상게서, p.23.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 47 한노력에의하여비밀로유지된유무형의기술정보로서그종류는영업비밀과국가핵심기술, 전략물자와전략기술등이있다. 특히이러한산업기술은컴퓨터와인터넷기술의발달로인하여산업기술정보의절취가매우용이해졌다는점이다. 과거에는트럭을동원해야옮길수있었던방대한정보자료 (Data) 를이제는 CD 몇장에담아옮길수있게되었고인터넷을통하여수시로즉시취득이가능하는등시공간을초월하여언제어디서든지쉽게빼낼수있다는데대해서경쟁국가나기업, 개인에이르기까지그유혹을느끼지않을수없다는것이다. 21) 다. 국가보안목표시설 9 11 테러이후세계각국에서는 포괄적안보 개념의정립및국민의안전욕구증대로위기관리에대한국가의책임이점차확대되어환경ㆍ에너지ㆍ금융ㆍ물류ㆍ교통ㆍ정보통신등국가안보와직결되는국가핵심기반시설에대한보호를국민의생명과삶에직결되는문제로인식하여더욱강화하고있는추세이다. 이러한국가핵심기반시설의항공사진및주소 위치정보등의노출은국가안보에치명적일수있어서비공개를원칙으로하고 국가보안목표관리지침 에의해보안목표시설로지정, 관리감독을통하여보호함으로써국가의안위를보장토록하고있다. 특히이러한시설들은인터넷은물론국가정보통신망에의해운용관리되고있기때문에관련네트워크를비롯한컨텐츠는국가안보와직접적으로연관성을갖게되므로중요한보호의대상에포함된다. 따라서우리나라는 보안업무규정 제 36조및시행규칙제59조 ( 보안측정대상 ) 에의거 국가보안목표 를공공분야와민간분야로지정관리하고있다. 21) 염돈재, 각국정보수사기관의산업기술보호활동에관한비교연구 한국국가정보학회 국가정보대학원주최, 2008 년도국가정보학술회의 글로벌정보환경변화와국가정보의새로운모색 논문집, 2008 년 8 월, p.37.
48 국가정보연구제 1 권 2 호 [ 표1] 국가보안목표시설의분류및내용 분 류 주요내용 1. 정부투자기관 주요국가기관, 지방자치단체및공공의안전과관련된기관 2. 산업시설 중화학 방위산업, 대규모가스 유류저장시설등 3. 전력시설 원자력발전소, 대용량발전소및변전소등 4. 방송시설 전국및지역권방송국, 송신 중계소등 5. 통신시설 국제위성기지국, 해저통신중계국, 안보통신전화국등 6. 교통시설 항공관제소및지하철사령실, 교량 터널등 7. 항만시설 국제공항및주요국내공항과대형선박의출입항이가능한시설 8. 수리시설 대형취수 정수시설및다목점댐등 9. 과학연구시설 핵연료개발, 항공우주 전자통신 생화학연구등 10. 교정 수용시설 교정 정착지원시설, 불법입국외국인수용시설 11. 공동시설 주요전력 통신 상수도등을수용하고있는대도시지하공동구 12. 항만설비 대형항공기및선박 13. 기타시설 기타국가안보상중요한시설및장비 라. 정보통신기반시설정보통신기반시설은 정보통신기반보호법 에의하여지정, 정부가보호관리하고있는시설로서동 ( 同 ) 법에의하면전자적침해행위에대비하여주요정보통신기반시설의보호에관한대책을수립시행함으로써동 ( 同 ) 시설을안정적으로운영하여국가와국민생활의안정을보장하는것을목적으로하고있다. 특히국가기반구조를연결하고각정보시스템에영향을주는정보통신기반구조의침해사고는국가전반의장애를초래할수있기때문에중요한정보시스템및정보통신망을주요정보통신기반시설로지정하여취약점분석ㆍ평가, 보호계획수립등조치로각종침해사고를사전에예방하고유사시적절히대응, 복구할수있는토대를마련하는것이다. 우리나라의정보통신기반시설은주로도로, 지하철, 공항시설, 전력, 가스, 석유등에너지, 수자원시설, 국가지도통신망시설, 원자력, 국방과학, 첨단방위
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 49 산업관련정부출연연구기관연구시설들로 2007. 12월현재총 101개가지정 22) 되어있다. 합계정보통신금융에너지건설 교통사회복지기타 101 [ 표 2] 분야별주요정보통신기반시설지정현황 (2007.12 월현재 ) 인터넷인터넷급전자동화공항운영정보건강보험공단광역외교망접속망등뱅킹시스템등시스템등시스템등정보시스템등선거시스템등 34 52 3 5 4 3 마. 국가주요정보통신망 전자정부법( 일부개정 2008.2.29) 제 2조 7에의하면 정보통신망 이라함은 전기통신기본법 제 2조제2호의규정에의한전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체제를지칭한다. 현재우리나라국가인터넷망은 KT LG데이콤등대형인터넷사업자 ( 이하 ISP로통칭 ) 가光케이블등기반시설을구축 운영하며, 일부시설은중 소형 ISP에서임대하여사용하고있고대형 ISP는 ISP간효율적통신을위한인터넷교환기와국가간접속을위한국제관문국을운영하고있다. 우리나라와외국간의인터넷은 KT LG데이콤 SK브로드밴드 3개사에서운용중인국제관문국을거쳐서부산 거제등 10 개의해저광케이블을통해전세계인터넷과연결되며그중우리나라국가 공공기관에서사용하는주요전용전산망은크게행정안전부가주관하는 전자정부통합망, 전자정부통신망 과교육과학기술부가주관하는 초고속연구망 등으로구분할수있다. 전자정부통합망은행정안전부가중앙부처, 지방자치단체, 입법 사법부및헌법기관대상으로정보통신서비스를하기위해운용하는국가기관전용망으로행정기관간정보유통과대국민민원서비스지원을위해정부고속 22) 국가정보원 정보통신부, 2007 국가정보보호백서, 2007.4., pp.111-112.
50 국가정보연구제 1 권 2 호 망 지방행정정보망 전국행정전화단일망등 3대정보통신망을통합한망을지칭한다. 이망은중앙 별관 과천 대전등 4개의정부청사인터넷접전구간을통해중앙행정부처외에 16개지자체와 230여개시 군 구에서사용하고있으며전자정부통합망에서각종전자정부서비스를제공하고있는각기관별, 사용자유형별맞춤형위협정보를제공하고전자정부통합망내 외부위협요인에대한종합적분석및대응체계수립을위해정부보안정보공유분석센터 (GISAC: Government Information Sharing & Analysis Center) 가구축되어 대전정부통합전산센터 에서업무를수행하고있다. 전자정부통신망은정부혁신지방분권위전자정부로드맵 ( 03.8) 에따라행정안전부정부통합전산센터에서고품질정보통신서비스를저렴하게이용하기위해 KT LG데이콤 SK 브로드밴드 3개사업자의시설을활용, 구성한통신망으로서국가기관을비롯, 국가기관이승인한공공기관및민간기업과중앙행정기관홈페이지 DB 서버등의대국민서비스전산망을대상으로운용 ( 運用 ) 하는통신망이다. 이망은정부전산체계의효율적인관리를위해각부처정보시스템을정부통합전산센터에서통합관리하고있는데 2005. 10월설립된제1센터 ( 대전 ) 와 2008. 1월개소한제2센터 ( 광주 ) 등에서운용하고있다. 23) 초고속연구망 ( 과학기술연구망 : KREONET : Korea Research Environment Open NETwork) 은 1988년부터과학기술부 (MOST) 가지원하고한국과학기술정보연구원이관리 운영하는국가 R&D 망으로서산 학 연등약 200여기관의주요연구개발기관을대상으로다양한과학기술정보자원, 슈퍼컴퓨팅, GRID, e-science 응용분야등의연구자원을제공하기위한고성능네트워크인프라를지칭하며중요한정보통신기반인 23) 제 2 정부통합전산센터이전, 정통부미래정보전략본부, 07.06 (http://epic.kdi.re.kr/epic_attach/2007/r0706096.hwp)
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 51 프라역할을수행하고있다. 현재는교육과학기술부에서비영리연구및개발에관련한국내외상호정보교환, 자원의공동활용을목적으로초고속연구망을운용하고있는데경북대, 광주과기원, 제주대학교등을포함하여전국적으로 14개지역 15개지역망센터 (GigaPoP 24) ) 로구성되어있다. 이망은주로연구개발및교육을목적으로하며국내의정부출연연구소, 교육기관및망에서인정하는교육 과학 기술분야공공기관과산업체연구소및학 협회등 161개기관이사용하고있다. 그외에도금융결제원 ( 금융 ISAC 25) ) 과코스콤 ( 증권ISAC 26) ) 에서데이콤, KT 등민간 ISP로부터할당받아인터넷뱅킹업무를수행하는전용망이있으며, 은행공동망과같이그기관의수행업무특성에따라각각별도의내부망이사용되고있다. 예를들면, 국방분야의경우, 자원관리망과 C4I망, 항공관제데이터망 (MCRC:Master Command Reporting Center), 해군전술망 (KNTDS:Korean Navy Tactical Display System), 합동전술망 (KJCCS:Korea Joint Command Control System) 등을포괄하는전술망이있으며외교부의외교통신망, 경찰과검찰의공안망등이이에속한다. 이러한내부망은외부인터넷과는분리되어자체기관에서특정업무의보안을유지하기위해별도로구성하여사용하고있다. 24) GigaPoP(Gigabit Point of Presence) : 초고속가입자의효율적인수용과통신망간의연동기능을강화한초고속정보통신망의기본구조. 25) 금융정보공유분석센터 ( 금융 ISAC) 홈페이지 (http://www.kfisac.or.kr) 참조. 26) 증권정보공유분석센터 ( 증권 ISAC) 홈페이지 (http://www.koscomisac.co.kr) 참조.
52 국가정보연구제 1 권 2 호 III. 변화하는안보환경분석및정보보호정책 1. 변화하는안보환경분석 21세기지구정치에서폭력은새로운양상으로전개되고있다. 하나의정치집단이가질수있는폭력의양이비약적으로발전하였기때문이다. 과거 16세기유럽에서는영토국가의영토범위를 60일간이동할수있는대포의이동거리로규정하기도하였다. 또한대포의사거리가사수가능한영토범위를나타냄으로써정치집단의정치행정적범위를규정하였다. 그러나 21 세기의폭력은전지구를그대상으로하기때문에지구정치의기본단위, 그리고조직원리가바뀌어가는것이다. 과거의테러가요인암살, 주요시설물파괴, 소규모의민간인살해에그쳤다면, 이제는수십만의인명을살상할수있고이로인해한정치집단의존립자체가위협받을수있는대량살상무기테러가가능해진것이다. 또한과거전통적인안보개념이 21세기들어서국가간의무력충돌보다는비정부조직, 단체의이해득실을위한충돌, 즉테러가중요한안보이슈로종종등장하고있는등현안보환경은잠재적인위협의출처와목표가확산되고다양화되고있다는점이과거보다훨씬변화무쌍히전개되고있어국가차원의위협요소가상존할뿐만아니라비국가 (non-state actors) 차원의위해주체등도많이존재하고있다. 최근의가장위험한비국가주체로는이념적극단주의를추구하는 알카에다 와그활동세력등을정당한테러대상으로볼수있으며안보위협가능성이가장많이제기되고있고간첩활동역시, 냉전이후지속적으로진화하여이제는국가대국가의전통적인첩보활동외에도비국가주체에의한첩보활동이더욱부각되고있어서오히려정부보호하에있는정보와자산의전략적가치는상실되어가고있다.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 53 특히이들은우리사회가인터넷등의 IT시스템에대한의존도가나날이증가되고있는것을이용, 이른바뉴미디어를이용한선전, 선동등의사이버활동을강화하고있으며비단이분야뿐만아니라해커, 범죄집단및여러외국단체 ( 정부및민간 ) 에의해경제적이득획득, 시스템손상유발, 민감정보탈취등의악의적사이버테러활동도심화되고있다. 이러한테러주체들은정부기관만이아니라민간기업등도공격대상목표로삼고있어서고도의해킹기술과위장프로그램등을사용하여비밀등국가정보는물론, 사업전략, 지적재산권, 고객정보, 기업정보등상업적으로중요한정보가탈취당할수있어적절한보안대책이강구되어야한다. 따라서현 ( 現 ) 안보환경의핵심은다양한위해활동이국가기관은물론, 보안관리가취약한민간부문을대상으로보다많이이루어지고있으므로물리적인보안대책과함께각종정보시스템에대한보안관리는물론, 사이버상에서도강력한보안관리체계의구축필요성이제기되고있다. 27) 게다가테러와인터넷의결합은테러집단에게많은이점을주고있다. 과거의테러가오프라인에서의적나라한폭력, 혹은출판물등과거의매체들을사용한소위 on-press 테러였다면이제는 on-line 테러, 혹은 e-테러리즘의모습을하고새롭게등장하고있다. 인터넷과테러의결합은오프라인에서의파괴행위조장이라는측면뿐만아니라, 열린마음의공간에서의명분과이데올로기, 견해들의싸움이라는점에서새로운측면을제시하기도한다. 이러한새로운테러를분석하기위한개념들이다양하게제시되고있다, 즉핵심적인것들로는사이버전쟁, 네트전쟁, 사이버테러리즘, 핵티비즘, 스워밍등을들수있으며이러한인터넷에서의테러사이트는기하급수적으로증가하여 1998. 1월에 14개테러조직의 16개웹사이트가발견되었으 27) 호주정보부장파월 (Paul, o sullivan), 호주 이스라엘상공회의소초청연설 (2008.5) 中 국제안보환경의변화동향과이에따른호주정보부역할확대 에서발췌.
54 국가정보연구제 1 권 2 호 구분사례내용 해 외 사 례 그루지야 - 러사이버전으로확전 ( 08. 8) 중국 대만간해커전쟁 ( 07. 11) 뉴질랜드정부해킹피해 ( 07. 9) 프랑스총리실해킹피해 ( 07. 9) 독일총리실, 외무부, 경제부등전산망해킹피해 ( 07. 5) 미국방부컴퓨터네트워크, 1 주일넘게내부조사 ( 07. 6) [ 표 3] 주요사이버테러사례 남오세티아 를둘러싼영토분쟁으로무력충돌이확산되고있는그루지야주요정부인터넷사이트가 러시아비즈니스네트워크 ( 추정지 ) 로부터수차례무차별 DDoS 공격을당해정부기관사이트가초토화됨 (WSJ, NYT, CSM 등서방언론보도 ) 중국정보기관인국가안전부가대만군사정보국소속첩보요원에대해공개수배령발령 뉴질랜드안보정보국 (SIS) 에서정부부처웹사이트들이공격을당하고정보자료들이도난, 사실상중국을지목 프랑스정부전산망이중국해커에게공격당한흔적을확인 독일시사주간지슈피겔이중국해커가스파이프로그램을이용, 정부주요부처컴퓨터에침투했다며중국군대소속해커에의한것으로파악보도 영국파이낸셜타임스 (FT) 는국방부전산망이와해일보직전까지갔으며당시국방부는로버트게이츠 (Gates) 국방장관집무실로연결되는전산망을차단하는비상조치를단행, 중국인민해방군이해킹의 진원지 임을확인 국내사례 러시아해커, 에스토니아대상사이버테러 ( 07. 6) 이명박대통령방문일정제하해킹메일 ( 08. 3) 한국원자력연구소와외교부등 10 개기관, 국내주요언론사와웹사이트해킹 ( 04. 4) 에스토니아수도 탈린 에있던舊소련군동상철거되자, 대통령궁, 정부부처, 정당, 금융기관등대상대규모사이버테러를감행하였는데, 2 개월간행정업무마비등국가적혼란야기됨 악성파일이첨부된이메일이 김상기 또는 박명원 이라는발신자명과 이명박방문일정 이라는메일제목으로공공기관에발송, 대통령출국일정 이라는제목의엑셀파일로작성된문서를첨부 정보유출이가능한악성코드를삽입한메일의첨부화일을통해국가전산망에침투
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 55 나이후 2005년초에는약 4300여개, 2006. 5월에는 4800여개로급속하게증가하고있는것으로검색되었다. 특히세계각국은사이버전전담부대를창설하는등사이버전수행능력을국가및국방핵심전략으로추진하고있으며특히, 중국은인민해망군에 6천여명규모의해킹조직을운영하고있고미국은 2001년이후국방부와주요정부기관웹사이트에해커가침입, 기밀문서가유출되는사건이빈발하자중국정부를배후로지목하고사이버보안을더욱강화하여최근에는사이버전에대비한가상공격체계를수립한것으로알려졌다. 또한미공군은 2008. 10월까지 4대편대로구성된사이버사령부를신설해적의통신시스템을교란하거나데이터패킷을파괴하는등사이버공격정예부대로양성한다고밝힌바있다. 28) 이는그동안미정부가사이버전전략을방어위주로일관해온데서선회, 이제는선제공격을취할수있음을공개적으로시사한것이어서더욱주목되는부분이다. 최근언론에공개된국내외사이버테러사례를종합해보면 [ 표3] 주요사이버테러사례와같다. 종합적으로볼때, 우리나라에서도그동안발전된정보인프라를안전하게보호하고국가가지향하는미래유비쿼터스사회로의진전과정에서제기되는물리적테러위협에못지않게사이버안보위협의심각성등현대사회의안보환경변화를직시하고이와관련된법률과체계정립등국가사이버안전을위한제도정비가시급하다하겠다. 28) 전자신문 2008.4.7, ( 출처 : www.etnews.co.kr/news/detail.html?id=200804070065)
56 국가정보연구제 1 권 2 호 2. 우리나라의정보보안정책 우리나라의보안업무는 중앙정보부법 에의거 1961. 6. 10일부터중앙정보부에서수행되었다. 당시에는중앙정보부의보안업무수행을위한세부규정으로 비보호규칙 ( 국가재건최고회의제16호 ) 및 비밀취급인가규칙( 국가재건최고회의제17호 ) 이제정되어비밀문서보호및인원보안에대한보안업무가본격적으로시작되었고, 현행보안업무는 1964. 3. 10일대통령령제1664호로제정된 보안업무규정 및 1964. 6. 30일대통령훈령제4호로제정된 보안업무규정시행규칙 에의거수행되고있다. 초기보안업무의대상은크게인원 문서 시설 자재 ( 통신 ) 보안등 4개영역이었으나시대발전과더불어새로운영역이추가되어왔다. 즉 1968. 1. 21 일북한의 124군부대무장게릴라 31명이청와대를기습할목적으로서울에침투한사건을계기로당시중앙정보부는 국가보안목표시설및보호장비분류기준 을제정 (68.5) 하여청와대등국가차원에서보호가필요한중요시설을 보안목표시설 로지정, 관리해왔으며 1970. 3월 보안목표관리지침 을제정하여체계적인시설보호활동을수행하여왔다. 한편, 1969. 12월산업발전으로인한공항과항만의중요성이높아지면서 공항및항만보안업무지침 을제정, 공항만보안활동도강화하였다. 1978. 10월에는 중요인원보안대상자신변보호지침 을제정하여뛰어난과학기술보유자등국가차원에서신변보호가필요한인원들을지정, 보호하기시작하였으며정부각부처에서컴퓨터를도입하면서그동안타자 인쇄등으로생산되던비밀이개인용컴퓨터로생산, 플로피디스크에보관하게되자, 1988. 8 월 전산업무보안관리지침 을제정, 시행하게됨으로써보안의영역이물리적보안에서전산화에의한사이버영역까지확대되었다. 우리나라가본격적으로보안업무를수행하기시작한것은냉전시대의산물로남북한이전쟁을치루고난이후여서군사안보를최우선시하였으며국가기밀보호의대상도국방이나외교안보관련내용이대부분을차지하
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 57 였다. 그러나 1970년대들어서서미국과소련및중국을비롯한남북한간에의해빙무드를계기로경쟁상대국들의주요정보수집대상도군사안보내용중심에서산업기술방면으로변화하게되었다. 당시우리나라는산업화가초기단계에진입, 수출총력전을펼친결과, 1980년대들어와서산업기술도점차첨단화고도화되어일부기술이세계적으로경쟁력을갖추기시작하면서 1989. 6월국익보호차원에서우리나라산업기술중에서세계적으로우수한기술을선정, 보호하기위한산업보안이또하나의새로운보안업무의영역으로포함되었다. 1990년중반에는우리나라의국가기관은물론, 사회각분야에서인터넷이본격적으로활용되면서정부각부처의행정업무를포함한기밀관련업무도사이버공간에서처리하게되었으며보안업무대상도전통적인물리적보안업무중심에서점차사이버보안업무중심으로이동하게되었다. 최근에는최첨단 IT기술을기반으로한사이버보안업무영역이기존물리적보안업무영역보다오히려더큰비중을차지하게됨으로써오프라인에서의기밀보호와온라인공간에서의기밀보호를효율적으로수행하기위하여물리적보안과사이버안전업무가실용적으로융합하여체계적으로수행될필요성이대두되었으며이는보안사각지대를해소하고국가기밀보호는물론, 산업기술등국익을보호하기위하여우선적으로시행해야할필수과제이다. 가. 정보보안법 제도현황우리나라의정보보안업무는초기 국가정보원법 제 3조제2항에근거한 보안업무규정 및 정보및보안업무기획조정규정 과 국가보안법 군사기, 밀보호법 등국가기밀에대한보안업무로부터시작되었다. 이후 1980년대부터국가차원에서추진해온정보화사업이진척되면서동시에정보화역기능이나타나게되었고정보보호관련법령도새로이제정되기시작하였다. 1986. 5월제정된 전산망보급확장과이용촉진에관한법률 은우리나라최초의정보화에관한법률로써정부가중심이되어정보화에관한국가적
58 국가정보연구제 1 권 2 호 시책과제도를규정한것으로일부전산망보호규정도포함되었으나정보보호에초점을맞춘법률은아니었다. 한편, 민간부문에서도정보보안의중요성이부각되면서정보보안시책의강구및정보보호시스템에대한기준고시등관련제도를마련하기위해시작한법은 1995. 8월제정된 정보화촉진기본법 이다. 이법은정보화촉진내용과더불어민간정보보호를담당하는 한국정보보호진흥원 설립등국가안보차원에서의정보보호에관한기본적인최초의규범이었다. 또한같은해에전자기록위ㆍ변조행위및전자기록에대한비밀침해행위를범죄행위로규정, 처벌할수있도록 형법 도개정되었다. 인터넷보급이본격화되고인터넷을통한전자상거래가활성화되면서 1999. 2월개인및기업의정보유통과중요정보를보호하기위한 전자서명법 이제정되었으며동시에정보통신망을통한개인정보의오ㆍ남용방지를위해서 전산망보급확장과이용촉진에관한법률 을개정하여개인정보보호규정을신설하고법률의명칭도 정보통신망이용촉진등에관한법률 로변경하는등정보보호와관련된법률이재정비되었다. 2000년대에들어서서국가와사회의주요기능이정보통신시스템에전적으로의존하게되었고정보보안에관한국가차원의관심도높아져서법 제도정비가활발히이루어졌다. 이는정부가국가ㆍ사회의핵심정보나정보통신시스템에대한파괴와침해가국가의안위를위협하고사회ㆍ경제적손실을야기함은물론개인의자유와권리를위협하는수준에이르고있다고인식했기때문이다. 2001. 1월에는금융ㆍ통신ㆍ에너지등국가와사회의중요한정보통신기반시설을보호하기위한특별한체계를주요내용으로하는 정보통신기반보보호법 이제정되고같은해 5월에는행정기관사무의전자화촉진과함께보안대책을강구토록하는 전자정부구현을위한행정업무등의전자화촉진에관한법률 ( 이하 전자정부법 이라함 ) 이제정되었으며 형법 도, 개정되어컴퓨터등정보처리장치에허위정보나부정한명령을입력하여타인의재산을빼앗은온라인사기행위를처벌하는규
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 59 정이신설되었다. 한편, 정보통신망이용촉진등에관한법률 도명칭을바꾸어 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라함 ) 로개정되면서정보보호와관련된처벌규정을강화하였다. 이법은 2003년에발생한 1 25 인터넷대란을계기로침해사고대응관련규정을크게보완하였고 2004년과 2005년에개인정보침해및광고성정보전송으로인한이용자피해최소화를위해서처벌형량도가중되었다. 참여정부출범직전인 2003년 1.25 인터넷대란 으로전국이일대혼란을겪고난이후, 범국가차원에서이에대한대비논의가본격화되자정부는급기야 2003년말 2004년초에한국정보보호진흥원의 인터넷침해사고대응지원센터 와국가정보원의 국가사이버안전센터 등사이버테러와인터넷역기능방지를위한기관들을설립하였다. 이어 2005년에는정부가 국가사이버안전관리규정( 대통령훈령제141호 ) 을발령하여국가안보를위협하는해킹이나컴퓨터바이러스등각종사이버공격으로부터국가주요정보기반을보호하기위한제규정을공표하고 국가사이버안전전략회의 및 국가사이버안전센터 의운영을통한사이버안전정책총괄등조직및활동에대한사항을구체적으로정립하였다. 최근들어 2007년에는정부가 전자정부법 을개정, 정부기관전산망에대한안전성확인제도를신설하고 정보통신기반보호법 도기반보호시설지정절차, 보호대책이행여부확인및기반보호위원회운영등일부규정을개선한데이어 2008년에는신정부출범에따른 정부조직법 개정과함께 국가사이버안전전략회의 확대운영등의제도보완을위해 국가사이버안전관리규정 도개정하였다. 나. 사이버안전정책및활동급속한 IT발전에따른정보화환경의변화를적극수용하기위해법제도를정비하려는노력은지속적으로추진되어왔다. 그중 전산망보급확장과이용촉진에관한법률 ( 86) 과 정보화촉진기본법( 95) 의제정으로정보화
60 국가정보연구제 1 권 2 호 법체계의기틀이마련되고이후행정업무의전자적처리를위한기본원칙등이규정됨으로써행정기관에서생산성ㆍ투명성ㆍ민주성을높이게되었다. 2001년에는지식정보화시대의국민의삶의질향상을목적으로전자정부의구현을위한 전자정부법 도제정되어국가사회정보화사업의일환으로진행해왔던행정정보화사업이 전자정부구현 으로명칭을변경하여행정기관내각부처의모든행정정보화사업이활발하게진행되었다. 그러나국가정보화사업의발전과더불어잘정비된국가기간전산망은국내외로부터의사이버공격의대상으로또는경유지로악용되면서피해가증가하게되었으며이에정부는국가안보차원의대응을위한국가공공기관위주의정보보안체계와국방, 통신, 금융등주요정보통신기반시설의주요정보통신기반시설보호체계, 전자정부구현을위한전자정부정보보호체계를마련하게되었다. 2003년 1.25 인터넷대란을계기로우리나라는국가안보와사회질서를유지하고국민생활의안전을보장하기위해범정부차원의국가사이버안전업무를민 관 군등 3원화체계로구축하게되었다. 즉한국정보보호진흥원의 인터넷침해사고대응지원센터 29), 국가정보원의 국가사이버안전센터국가사이버안전센터 30), 국방부의 국방정보전대응센터 31) 에서각각분야별업무를담당하고있는바, 분야별로살펴보면, 국가안보와관련된국가공공기관의정보통신기반보호업무와사이버안전업무는 정보통신기반보호법 과 국가보안업무규정 및 사이버안전관리규정 에근거하여국가공공기관을대상으로국가정보원의국가사이버안전센터가국가전산망에대한사이버위협또는침해에대응, 복구하는등범정부차원에서사이버안전정책의컨트롤타워역할을수행토록하였다. 29) 인터넷침해사고대응지원센터홈페이지 (http://www.krcert.or.kr) 참조. 30) 국가사이버안전센터홈페이지 (http://www.ncsc.go.kr) 참조. 31) 국방정보전대응센터홈페이지 (http://www.dsc.mil.kr) 참조.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 61 한편, 국방관련기반보호와사이버안전업무는 군사기밀보호법, 정보통신기반보호법 에의거하고있는데, 보안정책업무와보안업무시행규칙제 개정등과같은전통적인군의정보보안업무는국방부정보본부가, 정보통신기반보호등의업무는정보화기획관실에서그리고기무사령부가정책에따른실제적인군사보안업무를분담, 수행하고있다. 또한정보통신부 ( 舊 ) 가담당하던민간분야의기반보호와사이버안전업무는 2008년새로운정부출범과동시에정부직제개편으로정보통신부가폐지되면서 정보통신기반보호법 과 정보통신망법 도개정되어정보보호제품평가인증업무는행정안전부로, 침해사고대응등민간정보통신망보호업무는방송통신위원회로, 정보보호산업육성업무는지식경제부로각각분산, 이관되어수행되고있다. 아울러정부는 국가사이버안전관리규정 ( 대통령훈령제141호 ) 에의거 국가사이버안전전략회의 와전략회의의효율적운영및지원을위한 국가사이버안전대책회의 를설치 32) 하여범국가적인체계를수립하고기관간역할조정및국가사이버안전에관한중요정책사항을심의하고있다. 여기에서우리나라의사이버안전정책및활동은크게 3가지로구분할수있는바, 첫째사이버위협으로부터사이버공간의안전확보를위한국제협력, 취약성분석평가, 평가인증, 보안적합성검토등예방활동과둘째주요국가 32) 국가사이버안전전략회의는국가사이버안전에관한중요사항을심의하며, 전략회의의의장은국가정보원장으로하고위원은외교통상부차관 법무부차관 국방부차관 행정자치부차관 정보통신부차관 국가안전보장회의사무처의사무차장및전략회의의장이지명하는관계중앙행정기관의차관급공무원으로구성되어있다. 전략회의는 1) 국가사이버안전체계의수립및개선에관한사항, 2) 국가사이버안전관련정책및기관간역할조정에관한사항, 3) 국가사이버안전관련대통령지시사항에대한조치방안, 4) 그밖에전략회의의장이부의하는사항등에대해심의한다.( 사이버안전규정제 6 조 ) 이는우리나라최고의사이버안전기구이며이를보좌하기위하여국가정보원차장을위원장으로하고관련부처의실 국장을위원으로하는국가사이버안전대책회의를구성하였다.
62 국가정보연구제 1 권 2 호 기관정보통신망에대한실시간보안관제 ( 모니터링 ) 를통한위협정보탐지활동, 그리고마지막으로침해사고발생시긴급복구를통한피해최소화와재발방지조치업무를수행하는긴급대응복구활동등으로구분한다. 이러한활동은아래 [ 표4] 와같이 전자정부법 제 27조, 전자정부법시행령 제 35 조, 정보화촉진기본법 제 15조와 사이버안전관리규정 제 8조등에근거하고있다. 이밖에도최근급증하고있는해킹등사이버공격에대비하여정부각부처가 종합사이버보안관제센터 를구축하고있는데, 2007년지식경제부 ( 지식경제사이버안전센터 33) ) 국토해양부 교육과학기술부( 교육사이버안전센터 34) ) 보건복지가족부등 4개부처가에너지 교통 교육 보건등국가핵심전산망의부문별 종합사이버보안관제센터 를구축한데이어 2008. 2. 11일교과부교육사이버안전센터가개소되어전국초 중 고등교육과학기술부산하각급학교및교육청으로부터사이버침해정보를수집 분석 배포하며필요시침해사고복구지원업무를수행한다. 분야별 [ 표 4] 우리나라사이버안전활동의주요내용및관련법규정 우리나라 사이버안전 활동 구분 예방활동 주요내용 안전한정보보호시스템의사용 - 보안적합성검증 - 정보보호시스템평가 인증 관련법규 전자정부법 전자정부법시행령정보화촉진기본법정보화촉진기본법시행령 국가정보보안기본지침 법적근거세부내용 제27조정보통신망등의보안대책수립 시행제 35 조전자문선의보관 유통관련보안조치 제 15 조정보보호시스템에관한기준고시등 제16조정보보호시스템의보완등 제 91 조도입, 검증필정보보호시스템사용제 92 조보안적합성검증요청
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 63 구분 주요내용 관련법규 법적근거세부내용 전자정부법 제27 조정보통신망등의보안대책수립시행 우리나라 사이버안전 활동 예방활동 탐지활동 취약점분석평가 국제협력 보안관제 ( 모니터링 ) 예 경보발령및전파 전자정부법시행령 국가사이버안전관리규정 국가정보보안기본지침국가사이버안전관리규정 국가사이버안전관리규정 국가사이버안전관리규정 제 35 조전자문선의보관 유통관련보안조치 제 8 조국가사이버안전센터 1 항제 9 조사이버안전대책의수립 시행 4 항 제105조정보보안측정 1항 제 8 조국가사이버안전센터 2 항의 7 제 14 조전문기관간협력 1 항 제 8 조국가사이버안전센터 2 항의 3 제 14 조전문기관간협력 1 항 제 8 조국가사이버안전센터 2 항의 3 제 11 조경보발령 1 항제 12 조사고통보및복구 1 항 대응 복구활동 사고조사및복구 국가사이버안전관리규정 국가정보보안기본지침 제 13 조사고조시및처리제 14 조전문기관간협력 1 항제 15 조연구개발 1 항 제107조정보보안사고처리및조사 사이버보안센터는 국가사이버안전센터 와연계하여범정부차원의 종합사이버보안센터 체계를갖추어공동으로대응하고있는데, 국가사이버안전활동에대해법 제도적활동근거를살펴보면다음 [ 표4] 와같다. 33) 지식경제사이버안전센터홈페이지 (http://csc.mke.go.kr) 참조. 34) 교육사이버안전센터홈페이지 (http://www.ecsc.go.kr) 참조.
64 국가정보연구제 1 권 2 호 3. 주요국의정보보안정책 가. 미국인터넷등정보화기술을사용하는사이버테러에대처하는노력은미국이가장선도적인노력을보이고있다. 미국은사이버테러에대비, 국가안보전략 (National Strategy to Cyber Terrorism) 부분의연구를 9.11 테러이후지속추진해왔다. 35) 이들연구및실천분야는다음과같은소분야들로구성되어있는데, 정보보호와관련하여국가전략수립, 법제도정비, 사고대응체계정비, 민ㆍ관협력강화및정보보호문화운동추진등의 5개주요영역을중심으로정보보호업무를수행하고있고사고대응체계정비를위해컴퓨터비상대응팀 (CERT : Computer Emergency Response Team) 을비롯한국방ㆍ민간및국가기관의대응체계를갖추고있다. 특히각영역별로사고발생시를대비하여국가재난대응계획 (NRP : National Response Plan) 등을수립하여사고처리및대응태세를완벽히구축하고있을뿐만아니라민ㆍ관협력을위해기반보호영역의경우, 각기반보호영역별민ㆍ관협력체계를구축하여이를총괄할수있는협력모델을제시하고기반보호시설및주요자산의대부분이민간에의해운영되고있는현실을극복해나가면서 OECD에서주창한정보보호문화운동을국민인식제고의방안으로활용하여, 사용자가스스로정보보호를생활화할수있는기회를만들기위해적극적으로노력하고있다. 정보보호관련정책수립을위한미국의전략은크게국토안보국가전략, 국가주요기반시설및주요자산에대한물리적보호전략, 사이버공간보호를위한국가전략으로압축된다. 2002년에발표한국토안보국가전략 (National Strategy for Homeland Security) 에의하면국토안보전략목적 35) US White House, National Strategy to Cyber Terrorism, 2003, February.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 65 을수립, 6개주요임무를설정하고그중주요기반시설과자산보호에중점을두고있는주요기반시설및자산보호를위한 8개프로젝트에는국토안보부가주요기반시설보호업무를총괄하도록업무를조정, 주요기반시설및자산에대한정확하고완벽한평가, 연방정부와주정부및지방정부와민간영역과의공고한파트너십유지, 국가기반시설보호계획수립, 사이버공간보호, 효율적인보호솔루션에필요한분석적인모델링툴개발, 내부위협으로부터주요기반시설과자산보호, 국제공동체와협력을통한국가간주요기반시설보호강화등을제시하고있다. 관련법률로는컴퓨터보안법, 국토안보법, 애국법, 사이버보안강화법, 해외정보감시법, 법집행을위한통신지원법, 연방보안관리법, 그리고대통령명령등을들수있다. 먼저미국의정보보호관련최초법률인 컴퓨터보안법 (Computer Security Act) (1987년제정 ) 은미국국립표준기술연구소 (NIST : National Institute of Standards and Technology) 를중심으로정부에서사용되는컴퓨터보안에기준프로그램을제공함과동시에연방정부컴퓨터시스템의운용에관계되는정부관계자교육을목적으로하고있다. 국토안보법(Homeland Security Act of 2002) 은포괄적인테러로부터미국의전체국가기반을보호하기위해서제정된법으로총 17 장으로구성되어있는데, 이중특히사이버보안과관련된규정은제2장의정보분석및기반시설보호에관한규정, 제10장의정보보호에관한규정이대표적이다. 이법은미연방기관들이분야별로각각분담하고있는국토안전보장업무를총괄하는국토안보부를창설하고정보기술을유용하게활용하여사이버공격이나물리적공격으로부터미국의영토를방위하기위해주요기반보호를국토안보의핵심으로인식, 이를위한정보분석및기반보호국을설치하였다. 이와함께기 ( 旣 ) 설립되었던주요기반보호센터, 주요기반보장국, 국가통신시스템, 컴퓨터비상대응팀등의기구를국토안보부로통합시키고주요기반보호를국가안보차원에서접근하게함으로써국토안보부는이법을통하여미국의주요기반시설의보호와사이버공격에대한대응활동을
66 국가정보연구제 1 권 2 호 총괄조정한다. 애국법(USA Patriot Act) 은 9 11테러직후계속되는테러위협에대응하기위한수사력강화와국가안보확립을목적으로한법률로서주요내용을살펴보면, 종래법집행기관의용의자관련전화번호기록권한을인터넷이나휴대전화를포함한전자통신으로확대하고 DCS1000( 통칭 카니보어 (Carnivore) ) 등에의한 IP주소등을기록한다 ( 단, 통신내용은기록하지않음 ). 또한사람의생명등긴급사항발생시, 인터넷통신사업자가법집행기관에고객의통신기록 ( 통신내용을포함 ) 을공개하는것을합법화하여컴퓨터해킹과같은전산망침입자를감시하기위해피해자가법집행기관에통신감청을의뢰할수있다. 동시에사이버테러의억제와예방을위하여처벌을강화 ( 제814조 ) 하였는데이전의경우, 초범에게는 5년이하의징역, 상습범에게는 10년이하의징역이최고형이었으나이법은보호되는컴퓨터에손해를가한해커에대한최고형량을초범에게는 10년, 상습범에게는최고 20년형으로상향하였을뿐만아니라국방이나국가안보와관련된컴퓨터에손해를야기한경우, 손실을증명할수없어도처벌할수있도록하였다. 사이버보안강화법(Cyber Security Enhancement Act of 2002) 은원래 2002년하원에서통과후상원에서폐기되었으나, 국토안보법 에포함되어통과되었다. 즉, 이법제2장 SEC. 225에는사이버보안강화법이규정되어있는데, 동 ( 同 ) 법에는양형위원회관련내용, 긴급공개예외, 선의의예외규정, 불법장치의인터넷광고, 강화된벌칙, 프라이버시보호등이규정되어있고특히사이버공격자가고의또는부주의로법률을위반하여심각한신체적상해를유발하거나시도하는경우에본 Title 에서정한벌금이나 20년이하의징역또는이를병과하고공격자가고의또는과실로사망을유발하거나유발하고자시도하는경우에유기또는무기징역에벌금을부과할수있도록규정하여신체의상해나생명의위험과관련된컴퓨터범죄의처벌을대폭강화하고있다. 해외정보감시법(FISA : Foreign Intelligence Surveillance Act) 은
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 67 1978년에미국의회가몇몇정부부처로하여금외국의정보획득을목적으로외국이나외국요원에대한전자적수사를할수있는권한을부여하여국가안보를강화하고자제정되었다. 이법제정으로 해외정보 (Foreign Intelligence) 에대한독립된법적권한을확립하게되었는바, 미국법령집제3권 (Title 3. 감청법 (the Wiretap Statute)) 에서일반법집행기관의감청수사를엄격하게규제하고있는반면, FISA 는미국정부의대외정보수집활동을법률로정하여미국정보기관들로하여금해외정보수집 ( 감청 ) 을공공연히인정하고있다. 법집행기관을위한통신지원법(CALEA : Communications Assistance for Law Enforcement Act) 은 클린턴 정부시절인 1994년에제정되어현재에도빈번하게논의되는법률로서수사목적을위한통신감청과관련하여통신사업자의의무를구체화하고있는데해당법에따라통신사업자는수사당국의요구가있는경우, 그요구에응하여야함을명시하고있다. 또한통신감청이가능한기기를통신사업자의설비중에설치할수있게하였으며이를위한표준기술은연방통신위원회의기준에준용하게하였다. 연방정보보안관리법(FISMA : Federal Information Security Management Act) 은 전자정부법(E-Government Act of 2002 제 3편으로제정되었다. 이법의목적은연방의운용을지원하는주요정보자원에대한보호및통제를위해포괄적인프로그램을제공하는한편, 고도로네트워크화된국가기반환경의보호를위해민간인을비롯해국가안보관련기관과법집행기관전체의정보보호노력을조정함과동시에사이버위협에대해효과적으로대응할수있도록하기위한것이다. 그리고정부기관전체에대한관리감독권한을국토안보부에부여하며연방운용및자산을지원하는정보자원에대한정보보호통제의효과를보장하기위한포괄적프레임워크를제공하는등정부전체에대한관리및감독을규정하고있을뿐만아니라민간에서개발한정보보호제품이첨단의동적이며안정적이고효과적인정보보호솔루션을제공하는것을인정한다. 그리고특정기술
68 국가정보연구제 1 권 2 호 하드웨어및소프트웨어정보보호솔루션의선택은민간개발제품들중에서각기관이선택하도록규정하고있다. 한편, 대통령명령 ( 또는지침 ) 으로는 클린턴 대통령이최초로공표한 PDD-63( 중요기반시설보호 ) 과 2003. 2월 부시 대통령이발표한 국토안보대통령명령제63호 (HSPD-63 : 국내사고관리 ), 그리고 03. 12월발표한 국토안보대통령명령제7호 (HSPD-7 : 국가기반보호계획수립, 주요기반식별, 우선순위설정및보호 ), 2008. 1월발표한 국토안보대통령명령제53호 (HSPD-53 : 국가사이버안보센터설립 ) 및 국가안보대통령명령제23호 (NSPD-23 : 연방정부기관의인터넷모니터링 ) 등이있으며 36) 이를통해미국은국가사이버안전과관련된정책을수립하고집행하는등의업무를규율하고있다. 정보보호관련조직을보면, 미국은 1988년국방부고등연구계획국 (DARPA) 의주도로 침해사고대응팀조정센터 를설치한이래정보보호조직을정비, 정책이추진되어오다가 9.11 사태를계기로미국의정보보호정책은한층강화되었다. 2002년국토안보업무를총괄하기위해주요기반보장국 (CIAO), 비밀검찰국 (Secret Service) 등 22개기관을통합해국토안보부 (DHS) 를신설하면서정보보호분야와관련된조직을준비국 (Directorate for Preparedness) 과과학기술국 (Science and Technology Directorate) 등 2개의국 ( 局 ) 으로통합하고준비국아래국가사이버보안처 (NCSD : National Cyber Security Division) 를신설, 운영한데이어서 2008. 3월에는장관직속의국가사이버안보센터 (NCSC : National Cyber Security Center) 를설치하여범정부차원에서사이버안전업무를총괄하고있다. 국토안보부 (DHS : Department of Homeland Security) 는미국이 9 11 36) W.P 지 1. 26 일자 A3 면참조국가사이버안전을위한대통령명령으로는국가안보를위한대통령명령 (NSPD : National Security President Directive) 과국토안보를위한대통령명령 (HSPD : Homeland Security President Directive) 이있다.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 69 테러가발생하자대테러대책을강화하기위하여미연방차원의대테러총괄및주관기관의필요성을인식하고국토안보부, 사이버안보담당대통령특별보좌관, 국토안보회의, 대통령주요기반보호위원회등관련조직을신설한데이어 2002. 11월제정된 국토안보법 에의거하여새로이창설된대테러핵심정부기관이다. 부시대통령은 2002. 11. 25일동법에서명한후국토안보부재구성계획을의회에제출했는바, 동계획안에따라상무부의주요기반보증국, 국가통신시스템, FBI 의 NIPC(National Infrastructure Protection Center) 와총무청의연방컴퓨터침해사고대응센터, 그리고연방재난관리국, 해안경비대, 교통안전국, 세관국, 이민국, 국경경비대, 비밀경찰국, 주요기반보장국, 미국준비국 (NDPO:National Domestic Preparedness Office), 연방보호국, 동식물검사국, 에너지부나보건복지부내의기관들을국토안보부로통합하였다. DHS 에는첩보기능및정보공유강화를위해 DHS 의첩보분석국 (Office of Intelligence and Analysis) 을두고기존의정보분석국장을최고첩보담당관 (Chief Intelligence Officer) 으로임명, 직접장관에게보고하게하며모든현장작전및다른정보공동체에서부터정보를수집, 임무별로정보를분석, 고위정책결정자들에게제공함과동시필요한연방, 주, 지방및민간영역에정보를전달하게한다. 또한작전수행및효율성을위해업무조정국장 (Director of Operations Coordination) 은국토안보부의위기관리의핵심역할을담당, 전기관과합동작전을수행하고사고관리활동을조정하며국토안보부내의모든첩보와정책을직접적인행동으로이행할뿐만아니라정보공유및국내사고관리의주요기관인 국토안보운영센터 (Homeland Security Operations Center) 를첩보분석국의핵심조직으로운영하고있다. 37) 37) 한국정보보호진흥원,. 미국 독일 일본의정보보호법체계에관한연구, 2006. 12, pp.85-94.
70 국가정보연구제 1 권 2 호 한편, 2002년국토안보부출범과함께발표된 국토안보대통령명령 (HSPD-7) 에의거신설된 국가사이버보안처 (NCSD) 38) 는미국사이버침해사고대응팀 (US-CERT) 을운영, 경보발령및연방정부정보통신망에대한취약성을평가하고 CIIMG(Cyber Interagency Incident Management Group) 보안포털사이트를통해 CIA, 법무부, 국방부등관계기관간실시간정보공유체계를유지토록하고있다. 또한장기적인전략구상 (Strategic Initiatives) 에따라 국가사이버대응조정그룹 을운영, 사고발생시 US- CERT 및법집행기관, 첩보공동체와함께연방정부의사고대응조정은물론, 사이버스톰 (Cyber Storm) 과같은전국적인사이버보안훈련을실시하여대응태세를점검하고일반국민들과민간기업의인식제고를위한전략수립및민 관협력을주관함은물론, APEC, OECD, G8 등다자간국제기구와협력체제를유지하는등기반시설에대한보호업무를주관하고있다. 특히최근들어국토안보부는몇년간중국등해외스파이로추정되는해커의공격으로인해주요정부기관의컴퓨터시스템정보가노출되는사고가빈발하자 2008. 1월백악관이대통령명령으로공표한대통령명령 (HSPD-54 및 NSPD-23) 중 범정부사이버이니셔티브 전략의일환으로장관직속의 국가사이버안보센터 (NCSC) 를신설 (2008. 3월 ), FBI ㆍ NSA ㆍ국방부와공조하에연방정부기관의컴퓨터시스템에침입하는사이버테러를감시하고해킹취약정보를관리하는등모든연방정부기관의컴퓨터시스템과인터넷보안을총괄하는범부처기구로운영하고있다. 39) 국가안전보장국 (NSA : National Security Agency) 은정부의통신보안 38) 출발당시에는준비국산하에있었으나 2008 년현재국가보안프로그램국산하사이버보안통신단 (Office of CyberSecurity & Communication) 에소속되어운영중임. 39) 전자신문, 2008. 3.24 자 14 면 ( 미국토안보부산하국가사이버보안센터장에실리콘벨리의웹기반기업용협업솔류션업체인 트위키 (Twiki.net) 의 CEO 인 로드 A. 벡스트롬 을임명했다고보도 ) 참고
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 71 을위해 1952년대통령령에의해국방부산하독립기관으로설립되었다. 1972년에는국방부내에통합된암호연구를위해중앙보안서비스 (CSS: Central Security Service) 가설립되어 NSA 의조직을재편성되었다. CSS 는국내의암호활동을제공하고국방부암호화의통일을위해설립되어전투지원기관의역할을수행하고있으며군사서비스의시그널첩보활동에대한조정업무를수행하면서미국암호분석과보안을책임진다. 즉, 대상국의암호체계의해독은물론, 암호통신등정보보안 (INFOSEC) 기능을제공하는등전문기술과지식을기반으로백악관및군사통신보안을담당한다. 또한최근에는중국등외국의사이버공격에공세적으로대응하기위해대통령명령인 국가안보지침 (NSPD-54) 및 국토안보지침(HSPD-23) 에의거미연방정부기관이사용하는모든인터넷망에대해보안관제 ( 모니터링 ) 를실시한것으로알려져있어기존 에셜론시스템 을이용한국외통신감청뿐만아니라미국내정부기관에대한감청업무까지맡게되는등업무영역이대폭확대되었다. 한편, NSA 국장은 CSS의장을겸임하고있다. 40) 정보보호예산관련, 미국행정기관의공식적인예산안준비는관리예산처지침 (Circular)A-11을토대로하고있다. 여기에는상세한방침과부처가제출해야하는추계치와여타의자료에대한계획표가포함된다. 미연방정부의정보화예산규모는 2005년회계연도에총 621억달러, 2006년 625억달러, 2007년에요구한예산은 642억달러로전년도대비 2.8% 증가했다. 각부처별소요예산을살펴보면, 미국연방정부의 2007년요구된정보화예산중절반에이르는 305억달러가량은국방부에서소요되며정보보호를주로담당하는국토안보부는부처중세번째로정보화예산을많이집행한다. 40) NSA 의업무는신호정보 (SIGINT) 와정보보안 (INFOSEC) 으로크게구분되는데, INFOSEC 은기밀및비기밀국가안보시스템을비인가접근이나도청및그와관련된기술적첩보위험으로부터보호하기위한조정및서비스를제공하는것 ( 보안 ) 이고 SIGINT 는외국의정보수집에대한미국의조정등의업무 ( 수집 ) 를말한다.
72 국가정보연구제 1 권 2 호 2007 대통령예산요구서에따르면국방부분정보화대비정보보호예산비율은 9.2% 이고민간부처의정보보호예산비율은 7.1% 로총 8.1% 정도이다. 국가사이버보안처 (NCSD) 가 2007년에요구한예산은 9300만달러로이예산에는사이버보안관련기술의연구개발을위한 6백만달러도포함되어있다. 각부처는매년정보화예산대비정보보안예산을평균 5 10% 선에서책정하는데백악관은 2009 회계연도 IT 분야예산으로 710억달러를요청했으며이중 IT 보안에 10.3% 에해당하는 73억달러를지급할계획이다. 또한, 의회가원안을승인할경우 IT 보안분야예산이 2004 회계연도대비 73% 증가한것으로같은기간전체 IT 예산의증가율 (20%) 에비해매우빠른증가를보이고있다. 미국연방정부의각부처정보화예산대비정보보안예산을 5 10% 선에서책정하여 2007년도에는약 59 억불이사용되었으며 2008년도에는 60억불로정보화예산대비정보보호예산을 9.2% 로증액되었다. 41) 나. E U EU 헌법 은유럽연합 (EU : European Union) 이 25 개회원국으로구성된연합체로정치적, 경제적, 안보적으로공동정책을취하고있으며이는법으로정해진다. 2004년제정된 EU 헌법 (Constitution for Europe) 에따르면정보보안과관련, 현재 6개수준의법적규제가있으나 EU 헌법 은각회원국들이자국의법체계를수정하는등일정한절차를거쳐승인되어야하며 EU 25개회원국모두가승인 ( 혹은국민투표 ) 하지않으면그효력을발휘할수가없다. EU는 정보보호기본법 으로 프레임워크지침 (Directive 2002/21/EC, 41) 한국정보보호진흥원,. 미국 독일 일본의정보보호법체계에관한연구, 2006. 12., pp.101-102.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 73 2002.3.7) 을제정하고각국의정부에서규제기관과유럽집행위가일관적인규제를시행하도록하고있는바, 개인정보나프라이버시를안전하게보호하고통신네트워크의안전성을확보하는것을목적으로하고있다. 그리고 인터넷과신규온라인기술의안전한사용을촉진하는프로그램추진에관한 EU의회와 EC의결정 (Decision No 854/2005/EC, 2005.5.11) 에의해추진되는 Safer Internet Plus 계획은 1999년부터 2004년까지실시된 Safer Internet 계획의후속단계로, 2005년부터 2008 년까지 4년에걸쳐실시되고있는프로그램이며주로인터넷과새로운온라인기술을사용하여불법적인내용과사용자들이원치않는내용을근절하는데목적을두고있다. 또한 안전한인터넷사회-대화, 협력및부권 (Communication from the Commission, 2006.5.31) 은 안전한정보사회를위한전략 (Strategy for a secure information society) 에근거하여정보시스템에대한공격증가, 모바일기기의사용증대등에따른보안인식제고를위한것이며주요목표는스팸, 스파이웨어등진화하는위협에대한대처방안을확보하고법집행기관과의협력을강화, 신종범죄에대응하며기반시설보호를위한프로그램을제공하고전자통신관련법제도재검토등을위한것이다. 유럽네트워크및정보보안기구 (ENISA : European Network and Information Security Agency) 설립에관한규칙 (Regulation (EC) No 460/2004, 2004.3.10) 은 ENISA 의설치를규정하고있다. 2004. 4월창설된 ENISA 는 2005. 9월그리스크레타섬이라클리온에본부를두고가동을시작, 회원국에 컴퓨터비상대응팀 (CERT) 의구축을지원하며이를네트워크로묶는초국가적시스템을마련하고자전력을추구, 2008. 6월현재 15개국이 CERT 설립을추진하는데지원하였다. 42) 또한이규칙은유럽집행위와회원국을대상으로네트워크및정보보안에대한전문지식을 42) 세계일보, 2008.7.22.
74 국가정보연구제 1 권 2 호 제공하고 EU 및회원국의네트워크및정보보안활동을지원하며이해관계자들간의원활한정보교환을촉진하고네트워크및정보보안관련기능을조정하여상호교류를증대하기위한규정등을두고있다. 한편, 사이버범죄조약(Convention on Cyber Crime) 43) 은사이버범죄에관한가장포괄적인문서이자최초의국제조약으로각종인터넷범죄를퇴치하기위해각국가가공조할것을명기하고있다. 동 ( 同 ) 조약은인터넷을이용한모든범죄행위에대해상세히규정, 처벌할수있는근거와참여국가들이네트워크에대한불법침입, 사기, 웜 바이러스유포, 아동포르노보유ㆍ유포, 저작권침해등다양한활동에대하여조사, 처벌할수있도록규정하고있다. 또한여기에는기초단계부터미국 일본 캐나다등이참관자 (Observer) 로참여하고있어 2001. 11월서명식에서는유럽연합의 30 개국과 G8 국가들을포함하여총 38 개국이서명하였으며이후에 5개국이추가로가입하여총 43 개국이가입했다. 본조약은 2004. 7. 1일발효되었으나자국내의회의비준을받은국가는 18개국에그치고있다. 마지막으로 통신네트워크에관한데이터보전지침 은 2004년마드리드동시다발테러사건과 2005년런던지하철테러를계기로제안되어 2006년브뤼셀에서채택된것으로서테러리스트를추적하기위해통신서비스제공자가통화데이터를 6개월 24개월간보존할것을의무화하도록규정하였다. 다만, 보존기간의상한선을정하지않아회원국중에는더긴기간을요청하는곳도있다. 이와같이 EU는단일국가를넘어선정치적공동체임에도불구하고 EU 43) 인터넷을이용한모든범죄행위에대하여상세한규정을두고이를처벌하도록한최초의국제조약으로, 일명 부다페스트조약 이라고도한다. 국제사회가사이버범죄에공동으로대처하고국가간공조를긴밀히하기위한핫라인설치등이명시되어있다. 2001 년 11 월 23 일, 헝가리부다페스트에서열린사이버범죄국제회의에서전세계 30 개국이조약에서명한뒤조약참가국별로비준절차를거쳐정식으로발효되었다. ( 출처 : 두산백과사전 ( 엔싸이버 )
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 75 역내회원국및시민들의정보기술활용증대와안전성확보를위해적극적으로노력하는등정보보안의관점에서볼때, 상당히고무적이라고볼수있다. 네트워크라는정보통신망을기반으로운영되는정보와정보시스템에대한안전성확보가정보보안의궁극적목적이므로가능한한많은참여자와사용자들간의정보보안수준을동시에상승시키려는노력등은그진행은지체될수있으나결과는만족할만한것으로기대된다. 유럽의최신동향으로서, 전세계가사이버테러에대응하기위해국가안보차원의시스템마련에열을올리고있는가운데, 각국들에서는사이버부대는물론공동의 사이버평화유지군 방안까지나왔다. 2008. 4. 4일루마니아에서막을내린 북대서양조약기구 (NATO) 정상회의가 사이버평화유지군 창설계획을내놓은데이어다음달, 에스토니아수도탈린에정보통신 (IT) 전문가와대테러전문가등이참여하는 사이버방위센터 (CDCE : Cyber Defence Centre of Excellence) 를설립하기로결정하고 2008. 5. 14일센터를설립하였다. 여기에는에스토니아, 독일, 이탈리아, 리투아니아, 슬로바키아및스페인등 7개국에서 IT 전문가 30여명이파견되고미국은옵저버로파견되어 8월부터본격적으로운영이되고있다. 연구소형태인 CDCE는 26개나토회원국간사이버안보협력을강화하고전문인력을양성하며해커들의공격을분석해이를방어할연구프로젝트를지휘하는등사실상인터넷내의평화유지군임무수행은물론, 회원국내정보기반보호를위해상호공조체제를구축하겠다는것이중요한목적이다. 각국의대응과공조는지난해에스토니아에서발생한사이버테러와그피해를직접목격한이후더욱활발해졌다. 에스토니아는지난해 4월부터약 3주동안국외로부터쏟아지는사이버테러에시달리며금융기관 정부기관등의기능이마비된적이있는데에스토니아는유럽에서인터넷이가장발달한국가지만역설적으로해킹에도취약한모습을보여줌으로서우리나라에시사하는바가크다.
76 국가정보연구제 1 권 2 호 다. 영국영국은정보통신환경변화및이에따른정보보안환경변화에적극적으로대처하고있으며이에따라정보보안과관련한입법활동도비교적활발한국가중의하나이다. 영국은 EU의기본적정보보안및개인정보보호방침을자국법으로수용하는데적극적이며미국 EU 등타국가들이주도적으로추진하는정보보안정책들을받아들이고있다. 즉 1980 1990년대미국의주도로경제협력개발기구 (OECD) 등을통해암호사용에관한정책을정립할때, 영국은 암호와법집행력 ( 기획연재 ) 이라는보고서를발표하여암호제품및기능의사용을권장함과동시에법집행기관의효율적활동을위해암호사용이제한될수있음을간접적으로시사했다. 이어미국이클리퍼 (Clipper) 제도를통해키복구제도를추진하여국내외적으로논란을일으켰을때도영국은범죄수사의목적으로피의자에게암호키의공개를강요할수있는법적근거를확보 ( 조사권한규제법제정 ) 하는등오히려더적극적인정보보안정책을펴왔다. 즉, 정보보안과관련하여영국은사이버범죄를처벌할수있는법률을중심으로상당히적극적으로관련법률과제도를발전시켜왔으며, 특히 EU 회원국이아니면서도 EU의각종지침을자국법으로현실화시켜국제적으로도정보보안을선도하고있다. 사이버안전관련주요법률로는먼저 조사권한규제법 (RIPA: Regulation of Investigatory Powers Act 2000) 이있는데이법은통신감청을위한것으로서인터넷이나컴퓨터암호화기술의발전과더불어일반인을모니터하기위한기술을기반으로하는법이다. 영국정부는이법 (RIPA) 을통해서기업이나개인에게암호키를강제적으로개시시키는권한을영국경찰에게부여하는준비를진행시키고있다. 또한 컴퓨터부정사용법 (Computer Misuse Act 1990) 은모든컴퓨터소프트웨어의불법복제금지등비 ( 非 ) 인가자에의한컴퓨터접속을금지하고있는데여기에는일반인의취미활동이나테스트를위한접속행위도포함되어이를위반하는경우 6개월의구금, 혹은 5000파운드의벌금형을
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 77 부과한다. 또한사기및도용등범죄를목적으로한비 ( 非 ) 인가된접속을금지하며범죄를목적으로한행위에해킹을포함시키고있어이를위반시 5 년간구금혹은무한대의벌금형을부과한다. 뿐만아니라이법에의해바이러스등의유포행위를포함, 컴퓨터소프트웨어나데이터에대한불법수정행위를금지하며이를위반하는경우 5년간구금혹은무한대의벌금형이부과될수있다. 대테러범죄및안전보장법 (Anti-terrorism, Crime and Security Act 2001) 은미국의 9.11 테러이후테러대응을위해필요한여러테러대책의내용을포함하고있다. 정보보호관련주요내용으로는동법제11 편에통신데이터 ( 전화, 인터넷및우편내용등 ) 보전을위한권한관계를규정하고있다. 특히영국정부는정보보안관련법규외에도기업체의보안관리를최상으로지원하기위한 정보보안관리지침 (ISO/IEC 27001) 을규정해놓고있다. 1995년정보자산을체계적이고표준적인관리지침및방법에따라관리할목적으로영국표준기관 (BSI : British Standard Institution) 이 정보보안관리에대한표준 (BS 7799 ; British Standard for Informaton Security Management) 을제정하였는데, 44) 동 ( 同 ) 표준은 Part 1과 Part 2 로구성되어, Part 1은조직에서정보보호관리체계를수립하기위한지침으로활용할목적으로 2000. 12월에국제표준인 ISO/IEC 17799로채택되었고 Part 2는정보보호관리체계의규격 (Specification) 을제시하는인증심사시활용되는지침과설명을통해정보보안관리시스템의모델을지원해주는내용으로 2005. 10월에역시국제표준인 ISO/IEC 27001로채택되었다. ISO27001 45) 은국제표준화기구 (ISO) 에서제정한국제보안표준규격이며 44) ISO/IEC 17799, Information Security Management - Code of Practice for Information Security Management, 2000. 45) http://www.27000.org/ismsprocess.htm
78 국가정보연구제 1 권 2 호 정보보호분야에서가장권위있는국제인증으로서 ISO27001 인증을획득하기위해서는정보보호관리체계기준에서정하는위험관리, 보안정책, 자산분류및통제등 11 개섹션, 133개항목에대한심사과정을거쳐야한다. 영국의사이버안전체계를살펴보면, 네트워크및정보보호정책은내각부산하의정보보증중앙지원국 (CSIA ; Central Sponsor for Information Assurance) 에서정보보호관련활동에대해정부전체를조정하며무역산업부 (DTI : Department of Trade and Industry), 외무부산하정부통신총국 (GCHQ : Government Communications Head Quarters) 통신전자보안단 (CESG : Communications Electronics Security Group) 및내무부보안정보부 (MI5) 산하국가기반보호센터 (CPNI : Center for the Protection of National Infrastructure) 등이국가전반에걸친정보보호기관으로서역할을수행하고있다. 정부통신총국 (GCHQ) 은외무부산하, 영국의통신정보기관으로서전자기파ㆍ음향ㆍ기타설비물로부터나오는방사물, 암호화된물건등과같이정보자료와관계되거나이로부터생산되는정보를획득ㆍ처리하고있다. 또한정보수집, 암호해독, 통 번역, 전산망상의정보해독, 해독을위해수집된정보를국방부소속국방정보요원 (Defence Intelligence Officer) 등전문가집단에게제공하는한편, 암호관련정책을수립하여지원하고있다. 통신전자보안단 (CESG) 은 GCHQ 산하부서로서정보보증 (Information assurance) 기능을담당하고통신과전자데이터의보안을위한자문은물론, 영국의중요한비밀들을보호하는것을목적으로정부와중요한주요소비자들에게정보보증정책및관련서비스를제공하는등영국의정보보호및정보인증과관련된기술문제를총괄하는책임기구로서국가정보보호관련정책및지침수립을지원하고각부처정보보호정책실행에필요한기술자문및솔루션도제공한다. CESG 산하응용보안기술부 (AST; Applied Security Technologies) 는
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 79 2000년초에정부서비스분야에서새롭게부상하는 IT기술에대처하고영국의주요국가기반자원을보호하기위한목적으로구성되어새롭게개발되는기술들의특징과장점및제한성에대한지식과이를이해하는영역까지업무를확장하였다. 이러한방법을통해영국정부는진행중인각종 IT 사업에서즉시적인단기권고, 협의업무와전자정부구현및안전한인터넷공간을유지하기위한활동을수행하고있다. CESG의초동대응팀 (Incident Response Team (GovCertUK)) 은영국정부의컴퓨터비상대응팀 (the UK Government s Computer Emergency Response Team) 을말하며 CESG가갖고있는책무중의하나인정부시스템에대한전자적공격의위험과후속여파를최소화시키는기능을한다. 이를위해각종공격유형을파악하고사건관련정보를수집, 분석하여종합적인안전대책을강구하고있으며, 실제상황에서의위협수준에따른경계를발령하고이와관련된각종권고와지침을지원한다. 국가기반보호센터 (CPNI) 는국가보안국 (MI5) 산하의국가보안권고센터 (National Security Advice Center) 와국가기반보안조정센터 (NISCC : National Infrastructure Security Co-ordination Center), 정보인증에대한국가기술을담당하던 CESG 등이통합하여 2007. 2월새로이창설된기관으로국가보안국 (MI5) 부장이 Security Service Act(1989) 에근거하여지휘하고있다. CPNI는영국국가기간망관련공공기관및기업체에보안자문등서비스를제공하며이러한활동을통해주요국가기반시설에대한테러위협을사전에차단하기위해노력하는데, 여기에는다수의정부부처와기관이공동으로참여하고있으며해당시설과관련된민 관조직의정보 인적 물리적보안에대한종합적인보안권고활동을수행한다. 기존의 NISCC는 CPNI로흡수되어컴퓨터네트워크보안업무 ( 정보보안 ) 를수행하고있으며 NSAC 은인원및시설보안업무를담당하는등영국은새로발족된 CPNI를통하여물리적보안과사이버보안을융합적으로수행한다는측면에서미국의국토안보부의설립취지와유사하다.
80 국가정보연구제 1 권 2 호 인력양성을위해영국은 ITPC(Infosec Training Paths and Competencies Scheme) 양성과정 46) 을두고있다. GCHQ 산하 CESG에서는 2004. 6월부터국가정보시스템에대한 IT 침해에대해인지수준을고양하기위해이과정을두고있는데, 이는인터넷침해사고에대한인지수준이부족하다고판단, 영국정부가 ISO/IEC 17799의기준에부합되는교육과훈련 47) 을통한인지능력을향상시킬수있는프로그램이필요했기때문이다. 따라서 CESG에서는국가기관이나부처및경찰과같은공공부문에서특정정보를보호하는정보보안전문가를양성하기위한과정을운영하고 ITPC 사업을통하여영국의정보관련부문내부에서핵심보안업무담당자에게 정보보안핵심수행능력 (Infosec Core Competency Profiles) 과정 48) 을개발, 지원해준다. 또한영국은공공부문과민간영역을주도하고있는기관또는사업자들에게질적으로나양적으로보증을해주는공식적인보안요원제도도운영하고있다. 영국의정보보호예산의규모는대부분의경우 IT 서비스를외부기업에아웃소싱으로처리하고있기때문에명확히파악되지않고있다. 부분적으로전자정부에있어 ID 도용대책을추진하는경비, 즉내각부산하에설치된 ID 도용대책위원회 (Identity Fraud Steering Committee) 업무관련예산과테러대책및정보보호관련예산을책정하고있다고알려져있으나 49) 정확한규모는알수없다. 다만국가기반보호센터 (CPNI) 의전신이라고할수있는국가기반정보조정센터 (NISCC) 의 2006년도예산이 990만파운드 46) 영국정보보호중앙국, http://www.cabinetoffice.gov.uk/csia 47) 교육 (education) 은인터넷을사용하는일반사용자들에게보안에대한인식을높여주는활동을말하며, 훈련 (training) 은 ITSO (Information Technology Security Officer) 와같이 IT 업계종사자들에게특정인터넷공격에대응할수있는관련기술과지식을개발하도록해주는것을말함. 48) http://www.cabinetoffice.gov.uk/infosec/certificates.aspx 49) 한국정보사회진흥원, 주요국정보보호동향조사 - 유비쿼터스시대의정보보호정책을중심으로, 2006. 12.. pp.100-177.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 81 로 2003년도의예산 515만파운드와비교해볼때, 두배로증액되어운용된다는점에서영국정부가정보보호및그인프라구축에진력하고있음을감지할수있다. 라. 독일독일의사이버안전체계는 연방정보기술안정청설치법 (BSI-Errichtungs gesetz, BSIG) 에의해설립된 연방정보기술안전청 (BSI : Bundesamt fur Sicherheit in der Informationstechnik) 과 정보통신법 (TKG : Telekommunikationsgesetz) 및 연방통신망청법 상의 연방통신망청 (BNetzA) 이주로담당하고있다. 50) 1991년설립된내무부산하 연방정보기술안전청 은실질적인국가사이버안전업무를총괄하는기관으로서정보기술을적용했을때야기되는보안위험을연구하고보안조치, 정보기술보안을위한기술적방법과장치는물론, 정보기술시스템및그구성요소에대한검사 평가를위한기준 방법및도구를개발하며정보기술시스템및그구성요소의보안을검사 평가하여보안인증서를부여하고있다. 한편, 경찰및형사소추기관의법적임무수행을지원하며, 테러활동감시등정보활동을통하여수집한첩보를활용, 평가하는작업을지원함과동시, 정보기술보안문제발생시생산자와유통자및사용자에게자문등의임무를수행하기도한다. 51) 독일의법률은정보보안과관련, 개인정보보호에대해서는 연방데이터보호법 (BDSG) 이규율하고일반적인우편 통신 전화등과관련된정보보안의경우에는 정보통신법 (TKG : Telekommuni-kationsgesetz) 이규율하고있다. 또한정보통신기술시스템의안전성에대한심사 평가 인 50) 한국정보보호진흥원, 미국 독일 일본의정보보호법체계에관한연구, 2006.12., pp.198-200. 51) 국가사이버안전센터, Monthly 사이버시큐리티 2007. 7 월호.
82 국가정보연구제 1 권 2 호 증등정보화기술의안전성과관련된업무수행권한은 연방정보기술안전청설치법 에두고있다. 52) 또한독일영토내에서국민에대하여직접적인구속력을갖고있는 정보통신법 을포함한각종독일정보통신관련법률은유럽연합의지침 (EU-Richtlinie) 에의해일정한기간내에국내입법화를하여야하는의무를부담하기때문에 EU지침도독일정보통신관련법제에포함된다고할수있다. 53) 정보통신법(TKG) 은 2004년제정되어 2005. 3월개정된법으로서정부기관이기밀누설방지, 데이터의안전성확보및네트워크침해사고방지를위해인터넷통신사업자 (ISP) 와정보통신서비스를제공하는모든책임자에게고객정보에대한정부의접근요청시이를지원해주도록하고있으며이러한데이터는정부의감시기관이직접접근할수있도록규정하고있다. 54) 특히제2조제2항제9조에는 공적안전 의이익이보장되어야함을명백히하고있는바, 개개인의권리에대한침해가발생하기도하지만다른한편으로는국가이익도보장해야만하기때문에공적안전의이익을강조하되, 가능한한개인에대한규제를최소화하여정보보호와통신비밀및공적안전에관한규정이이러한목적에기여하도록균형을유지하고있다. 따라서제7장의비밀, 정보보호및공공안전에관한규정에서특히공공안전을위해사업자들이긴급전화가가능하도록할의무, 기술적보호대책과감시가가능한방법을마련할의무및정보제공의무를지게하여국가본연의기능을수행할수있도록사업자등에대한자료요구권한, 사업자들의관련시설지원의무등을구체화하고있다. 55) 한편, 안전담당관 을임명하 52) 한국정보보호진흥원,. 미국 독일 일본의정보보호법체계에관한연구, 2006.12., p.106. 53) 한국정보보호진흥원, 상게서. p.107. 54) 상게서. p.107. 55) 상게서. pp.117, 125-126.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 83 고 안전에관한계획 을수립하며안전계획의내용과유지는 연방통신망청 의통제를받도록제도화되어있다. 연방정보기술안전청설치법 은연방정보기술안전청 (BSI) 의설립근거법으로서독일연방내무부산하의국가기관으로서실무상정보통신의안전영역에대한관할권을가진가장중요한기관으로활동하도록정하고있다. 특히이법에서는평가 인증업무는물론, 정보통신기술시스템의연구와개발, 그리고정보통신시스템및내용의심사를통한안전성위험조사및정보통신시스템안전성검사, 평가와인증서의발급, 정보통신시스템의허가를비롯하여국가기관및민간기관에대한기술지원및자문을제공토록규정하고있다. 56) 관련조직으로연방정보기술안정청 (BSI) 은전신인 1950년대에설치된 중앙암호제도실 로서연방행정정보의안전성및고유직무와국외비밀정보의수집분석등업무를수행해왔다. 1987년에는컴퓨터안전성을그관할범위에포함시킨데이어업무범위확대등기관의중요성을고려하여 1989년에 중앙정보기술안전실 로명칭을변경하고업무영역도종래의협소한국가적사무의범위를넘어정보기술의사법적적용및안전성에이르기까지업무대상에포함시켜서기구를확대하였다. 이어 1991. 1. 1일시행된 연방정보기술안전청설치법 에의해내무부장관관할하의 연방정보기술안정청 은연방상급관청으로되었고조직도연방내무부의직무영역에편입되었다. 이렇듯독일은사이버안전기관의설립근거와조직의활동사항을법률 (BSIG) 로규정하고있는데비해우리나라는 국가사이버안전관리규정 ( 대통령훈령 ) 으로발령하고있어서위협정보등의정보공유와유관기관간원활한협조가부족하고, 해킹등네트워크침입자에대한처벌등국가사이버안전활동을위한필수활동과규율에한계가있음을감안, 독일 56) 한국정보보호진흥원, 미국 독일 일본의정보보호법체계에관한연구, 2006.12., p.131.
84 국가정보연구제 1 권 2 호 의법제도의예는우리에게관련규정을법률로제정해야하는당위성을제공해주고있다. 마. 일본일본은 1994년내각총리대신을본부장으로하는 고도정보통신사회추진본부 를설치, 2000. 7월에는 IT전략본부 로재편하였다. 또한 2000. 1월에는 정부기관과민간주요기반시설의안전대책 을추진, 국제적인연대를주요내용으로하는 해커대책등의기반정비에관한행동계획 을마련하였는바, 동 ( 同 ) 계획에는정부부문에보안이강화된신뢰할만한정보통신시스템을구축하고방위청 경찰청및각성청에대하여감시ㆍ긴급대처체계의정비ㆍ강화를요구하였다. 한편, 1996년부터통산성 우정성 경찰청등에서는개별적으로사이버테러방지를위한기술개발및정책연구를추진한데이어 1999. 8월에는통산성 우정성 경찰청이공동입안한 부정접속행위의금지등에관한법률 을제정함으로써본격적으로정보보안활동이개시되었다. 또한 2000. 3월에는내각관방의내각안전보장 위기관리실아래 정보보안대책추진실 을설치하여체계를확립하여왔다. 일본의정보보안정책추진현황을살펴보면, 2001년부터전자정부의실현및정보보안확보를위해 전자정부의정보보안확보를위한행동계획 을마련하고 2002. 4월에는각성청에서정보보안대책의입안에필요한조사 조언등을위해정보보호전문가로구성된 긴급대응지원팀 (NIRT: National Incident Response Team) 을내각관방에설치하였다. 이어 전자정부의정보보안확보를위한행동계획 에근거하여 2002. 11월각성청의정보보안정책추진상황을평가하고각종주요기반시설분야별상황에따른구체적대책을발표하기도하였다. 일본은전체적으로는내각관방을중심으로경찰청 방위청 총무성 경제산업성이각각정보보호정책을추진하는시스템을갖추고내각관방이각부처를총괄조정하는역할을담당하며각부처와의연대협력은물론, 긴
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 85 급대응지원팀 (NIRT) 으로하여금전자정부의정보보호와주요인프라사이버테러대책을마련하고정보보호정책보좌관을민간전문가로임명하고있다. 한편, 각부처별로보면, 일본경찰청은 2001. 4월부터 Cyber Force 를창설, 하이테크범죄예방에주력하고있고방위청은 2003. 10월 방위물자조달에관한정보보호기본방침 을수립, 조달업무에관한정보시스템ㆍDB 등의보안대책을추진하고있으며, 총무성은 2002. 7월인터넷사업자 (ISP) 를중심으로 인터넷침해사고정보공유분석센터 를설립, 인터넷해킹등에대비하고있다. 특히경제산업성은 2003. 10월 정보보호종합전략 을마련, 주요기반시설에대한위협정보수집ㆍ해석기능의정비, 사이버범죄대책수립, 정보보호관련국제협력업무등을추진하고있다. 57) 사이버안전관련주요법률로서 전기통신사업법 은 1984. 12. 25일법률제86호로제정되어 2006. 6. 2일법률제50호로개정되었는바, 이법은전기통신사업의공공성에비추어적정하고합리적인운영을꾀함과동시에그공정한경쟁을촉진하고전기통신서비스의원활한제공을확보하여이용자의이익을보호하는한편, 전기통신의건전한발달및국민편의를도모하여공공복리를증진하는것을목적으로하고있다. 고도정보통신네트워크사회형성기본법 (2001. 1월시행 ) 은일명 IT 기본법 이라고하며이법은사이버안전측면에서최근문제가되고있는정보통신네트워크안전성확보를위하여국민이안심하고네트워크를이용하기위한네트워크안전성및신뢰성확보등에관한조치가선행되어야함을규정 ( 제21조 ) 하고 고도정보통신네트워크사회추진전략본부 로하여금정보통신네트워크의안전성및신뢰성확보시책에대한중점계획을작성토록하는등우리나라의 정보화촉진기본법 과동일하다. 57) 한국정보보호진흥원, 상게서. pp.204-212 내용참고
86 국가정보연구제 1 권 2 호 전자서명및인증업무에관한법률 은 2000. 5월법률안이제정되어 2001. 4월부터발효되었다. 이법은제6 장 47개조문과부칙으로이루어져있는바, 1 전자상거래를비롯한네트워크를통한사회경제활동의안정성확보, 2 전자서명에관한기술적중립성의확보와인증기관의자유로운활동확보, 3 사용자에의한자유로운인증서비스의확보, 4 개인및기업등에관한정보보호의확보, 5 국제정합성의확보등의내용을규정하고있다. 일본의최근노력을보면, 일본에서는 IT 전략본부산하에 정보보안기본문제위원회 가설치되어정보보안기본과제에대해서전문가의의견을집약 (2004.7) 하였는바, 위원회제1분과는 정보보안정책전반의실행체제재검토 및 정부자체의정보보안대책의강화 를논의하고, 제2분과는 주요인터넷의정보보안대책의강화 를논의, 각각결과를작성, IT 전략본부 에보고하였다. 그결과정부의보안대책을 2004. 11 월 제1차제언 을마련, 상신한결과 IT 전략본부 가이를수용하여 2005. 4월내각관방 정보보호대책추진실 을발족 강화하는형태로 내각관방정보보안센터 (NISC) 를신규설치, 정보보안문제에관한일본의중핵기관으로서의활동을개시하게되었다. 내각관방정보보안센터 는 1 기본전략입안, 2 정부종합대책촉진, 3 정부사안대처지원, 4 주요인프라의정보보안대책등의업무를수행한다. 한편, 제2분과는 내각관방정보보안센터 를중심으로주요인프라소관부처, 사업자등과의제휴를통하여새로운주요인프라방어체제를구축하고인프라의수평적기능강화, 정보공유ㆍ제공체제강화, 종합적연습실시등을검토하도록하는 제2차제언 을발표하는등지금까지일본은 내각관방정보보안센터 에의한주요기반시설보호와정부영역정보보안강화의 2개의축으로정부측면의정보보안활동을추진해오고있다.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 87 바. 중국 58) 중국은전반적인일당체제하에서강력한사이버보안체제를유지하며제한된인터넷이용의모습을보이고있다. 59) 1990년대부터시작된중국의인터넷은정부주도로상당히강력한보안정책의대상이되어왔다. 주용밍의연구에의하면중국정부는인터넷을통제하기보다는적극적으로이용하는모습을보여왔다고하나중국의공산당정부가정치커뮤니케이션에대해철저한통제를해온것이사실이며특히일반국민들에게공개되는전문내용의경우, 당의노선과반대되는내용을철저히감시한다. 중국의인터넷에대한법적규제는정부가정보기술과인터넷을제10차국가경제사회발전 5개년계획으로통합하기로결정한 2000. 10. 11일제15 차중국공산당중앙위원회제5차전체회의부터엄격해졌다. 전체국제광대역의 80% 를점유하는상위 2대네트워크인 ChinaNet 과 China169를정부가운영하고있기때문에중국의인터넷은거대한국가인트라넷 (national intranet) 의모습을띤다. 60) 중국의인터넷은 Chinanet 을통한일괄접속이므로문제는내용으로서중국정부는반정부적내용에대해서엄격히통제를하고있으며한편으로는 Red websites를통해정부의정책을활발히홍보하는데도주력하고있어내부통제와함께홍보를통한결속력 58) 국가보안기술연구소, 각국의정보보안관련법제, 2006. 59) Zhou, Yongming. Historicizing Online Politics: Telegraphy, the Internet, and Political Participation in China (Stanford: Stanford University Press, 2006) ; 고경민, 인터넷발전과권위주의체제는양립가능한가? - 중국인터넷발전의정치적외부효과와정부의역할, 국제정치논총 47-2(2007); 이민자, 중국온라인공간의주도권쟁탈전 : 국가 - 사회의경쟁, 한국과국제정치, 20 집 4 호, pp.199-227, 2004; 중국의정보화정책과추진체계의특징및변화, 한국정치학회연말학술대회발표논문, pp. 101-118, 2002; 중국인터넷 : 정보공개와통제의딜레마, 계간사상 2003 가을, pp.160-182; 정재호, 파룬궁, 인터넷과중국내부통제의정치, 한국정치학회보, 35 집 3 호, pp 297-316), 2001 등참조. 60) 고경민, 인터넷발전과권위주의체제는양립가능한가? - 중국인터넷발전의정치적외부효과와정부의역할, 국제정치논총 47-2(2007), p.35.
88 국가정보연구제 1 권 2 호 을다지는등이중용도로인터넷을활용하고있다. 사이버안전관련기관으로는국가안전부와공안부, 국가보밀국, 그리고인터넷경찰과중국침해사고대응센터등이있다. 국가안전부에서는기술정찰국이국가암호및컴퓨터보안정책을수립하는등사이버안전업무를총괄하고있으며국무원의국가보밀국에서는정보보안을제외한국가공공기관의국가보안업무를책임지고보안감사, 보안정책수립시달및통제감독을담당하고있다. 또한공안부에서는중국국가기관, 공산당과인민대회, 국가기관산하국영기업등의중국국가공공기관에납품하려는보안제품에대해제품검사를실시하고중국의컴퓨터및네트워크보안정책과보안제품개발에관여하며암호화절차를결정하는등국가기밀을보호하는데있어핵심적역할을수행하고있다. 한편, 1998년이후중국전역에걸쳐 20개이상 (2004년기준 ) 의지방정부가인터넷범죄를다루기위해자체적으로인터넷경찰설립을추진하여왔는바, 인터넷경찰은인터넷상의사기나횡령, 그리고포르노그라피등과같은온라인범죄를다루면서인터넷사용자들에게바이러스와네트워크취약성을경고하는한편, 금지된파륜궁종교단체의단원이인터넷으로의파륜궁운동을전파하는것을차단하는활동도겸하고있다. 61) 그리고신식산업부산하의비영리기관인 중국침해사고대응센터 (CN-CERT) 는민간분야의사이버침해사고조사 대응활동을비롯, 2004년에는 국제침해사고대응팀협의회 (FIRST) 회원으로가입, 활동하고있다. 특히인민해방군에서는산하기관인군사과학협회에서 1991년부터해커를양성하기시작한이래, 1997. 4월중앙군사위원회직속컴퓨터바이러스 ( 해커 ) 부대와, 2000. 2월사이버전부대 Net-Force를창설하여세계각국을대상으로사이버전을수행하고있다. 62) 2007. 4 8월기간에는대만 61) 국가사이버안전센터, Monthly 사이버시큐리티 2004. 8 월호, pp.54-56. 62) 고경민, 상게서, p.35.
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 89 영국 독일 호주등외국정부기관에대해집중적인해킹공격을시도하여외교문제로대두된바있으며 2007. 6월에는우리나라를대상으로해킹메일을집중발송하여국회 산업자원부등의중요자료를절취한바있다고당시국내외언론에대대적으로보도된적이있다. 주요법률로는 중화인민공화국인민경찰법, 전국인민대회상무위원회의인터넷보안유지에관한결정 등이있고 1997년수정된 형법 에는국가보안침해죄, 공공보안침해죄, 사회주의시장경제질서파괴죄, 공민권리침해죄, 민주권리침해죄, 재산침해죄, 사회질서교란죄를포함하여컴퓨터정보시스템불법침입죄, 컴퓨터정보시스템파괴죄를특별히규정하고있다. 또한주요행정법규로는 중화인민공화국컴퓨터정보시스템보안보호조례, 중화인민공화국컴퓨터정보통신망월드와이드웹관리임시규정, 컴퓨터정보통신망월드와이드웹보안보호관리조치, 상용비밀번호관리조례, 인터넷정보서비스관리방법, 컴퓨터소프트웨어보호조례 등이있다. 사. 러시아러시아는주로전략목표시설과국가운영정보통신기반시설의보호문제에지대한관심을갖고연방보안부 (FSB), 연방기술 수출통제국 (FSTEK), 정보보안센터 (ISC) 등관련기관과법률에기반, 활동하고있다. FSB는국가비밀에해당하는주요정보의보호에대한통제는물론, 외국정보기관, 단체, 범죄집단및개인이 FSB에의해보존된첩보에기술적수단을이용하여침투하는행위들에대한예방조치활동과함께영업비밀보호대책을수립하려는기업이나기관, 단체들에게협조를제공하고있으며일부특수부서에서는보안자재의설계와생산, 기술서비스및암호자재의보급등에도관여하고있다. 또한연방행정기관인 연방기술 수출통제국 에서는국가정책시행, 부처간조정및협조, 정보보호문제에대한통제기능을수행하고정보분야에서국가안보에핵심기능을제공하는정보및정보통신
90 국가정보연구제 1 권 2 호 기반시설시스템에대한보호업무를수행한다. FSB 산하 정보보안센터 는통신보안업무와정보보호시스템평가 인증을총괄조정하고 침해사고대응팀 (RU-CERT) 을운영, 사이버위협 취약점분석, 사이버보안기술연구개발, 정보보호제품평가 인증업무를수행하며비밀리에사이버전전담부대를설치, 공격기술개발및정보수집업무를담당하고있다. 그리고정부차원에서사이버테러및컴퓨터범죄와관련문제를독립국가연합 (CIS) 구성원들과협력하에관련법령정비및제정을하고있는데, 1996. 2. 17일제7 차 CIS 연합의회전체회의에서는기본형법을채택하는과정에서컴퓨터범죄에대한형사상의책임을적시, 2001. 6. 1일컴퓨터정보영역에서의범죄에관한 CIS 국가들의협력협정을벨라루스의수도민스크에서체결했다. 이는사이버테러및컴퓨터범죄에대항하기위해서러시아, 우크라이나, 벨라루스, 카자흐스탄등의관련법령을통합, 사이버범죄및테러에대한새로운법적규범을채택했다는데의미가있다. 63) 특히정보및보안기관중에서예산을가장많이사용하는 연방정부통신정보부 (FAPSI : Federalnoye Agentstvo Pravitelstvennoy Svyazy) 를운영하고있는데, 임무는신호정보 (SIGINT), 전자정보 (ELINT), 비통신 (Non-Communication) 신호정보수집업무와정부통신암호보안업무를담당하고있다. 64) 관련법률로 2006. 7. 27일부터발효된러시아연방법인 정보, 정보기술및정보보호법 (149-f3호) 은주로정보시스템구축시러시아연방의보안시스템내부에저장되어있는정보의보호를위해불법접근, 삭제, 수정, 차단, 복제, 배포에대한보안대책은물론, 여타접근이제한된정보의비밀성준수와정보접근권실현을위한법률적, 조직적, 기술적조치를취하는것 63) 국가보안기술연구소, 舊동구권국가들의사이버위협식별및대응체계분석에관한연구보고서, 2007, p.38. 64) 국가사이버안전센터, Monthly 사이버시큐리티. 2004.11 월호. p.65
주요국의사이버안전관련법 조직체계비교및발전방안연구 이연수, 이수연, 윤석구, 전재성 91 이다. 65) 또한 형법 에서는컴퓨터정보관련불법접근등에대한컴퓨터범죄에대한형사처벌을규정하고있는바이법에는컴퓨터정보에관한불법접근, 유해컴퓨터프로그램제작, 사용및유포, 컴퓨터시스템및컴퓨터네트워크운용규정위반등에대한처벌및계도규정을두고있다. 66) 한편, 러시아에서정보보안보장은정보기술의독자적발전방향으로정립되었고정보통신시스템업무및기능유지비용의 10 20% 를차지하고있다. 특히최근몇년간정보보안제품과용역시장의성장은전문가들에의해 45% 로증가한것으로평가되어 IT시장의통상적인성장속도를추월하였을뿐만아니라정보보안시스템에대한지출만보더라도러시아는많은유럽국가들보다 5 6배앞서고있으며정보보호문제에대한주요관심도응용프로그램에집중되고있다. 67) 4. 시사점 지금까지미 영 EU 독일 일 중 러시아등주요국가들의정보보호법제와주요정책을살펴본바에의하면다음의 6가지로구분하여시사점을도출해볼수있다. 우선, 사이버안전조직및임무의법적근거확보측면에서미국의 국토안보법 연방정보보안관리법 과독일의 연방정보기술안전청의설치법 (BISG 등에서사이버안전조직및임무와업무총괄을명시하고있는데비해, 우리나라는 사이버안전관리규정 ( 대통령훈령 ) 으로규정됨으로서법적효력을갖지못하여비인가자의불법침투행위에대한 65) 국가안보전략연구소주관 동북아에서의사이버테러위험가능성과대응방안 주제국제학술회의 ( 07.11.22 서울프라자호텔다이아몬드홀 ), 인포름엑스페르티자사, 방위사업협회부회장 루바노프 V. A. 발표내용참고. 66) http://russianlaw.net/english/ae07.htm 및 http://www.garweb.ru/project/law/doc/10008000/10008000-038htm 67) 상게서, 러시아방위사업협회부회장루바노프 V. A. 발표내용참고