[알아봅시다] 사이버 보안 강화 시급

"33년 낡은법 한계… 종합 법체계 마련해야"
정통망법 2001년에야 보안 내용 추가
적용범위·추진체계 등 완성도 높여야

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[알아봅시다] 사이버 보안 강화 시급

최근 사이버 공격은 단순 범죄의 차원을 넘어서 국가안보까지 위협하고 있습니다. 사이버 공격을 막기 위한 사이버보안의 중요성이 대두되고 있는데다 사이버 보안 강화에 필요한 법제도의 정비가 요구되고 있습니다.

특히 개별적인 여러 법률들을 통하여 분야별로 사이버보안을 개선하기보다는 통일된 추진체계를 구성하고 사이버보안을 전체적으로 강화하는 종합적 사이버보안 법률의 제정이 중요한 과제가 되고 있습니다.

한국에서도 사이버공격이 국가안보에 영향을 끼칠 수 있는 요소들이 발견되는 사례가 다수 발생하고 있으며 이로 인해 사이버보안은 국가적인 문제로 대두되고 있습니다. 국회에서 관련 법안들이 발의돼 있는 상태이지만 입법절차의 진행은 지지부진한 상태입니다.

미국의 경우 사이버안전을 위한 종합적인 입법상 개혁의 필요성은 인정하고 있지만 이에 대해 합의된 의견은 도출하지 못하고 있습니다. 종합적 사이버보안 법률의 제정은 최종적인 결과물이 아직 나타나지는 않았으나 입법활동은 지속적으로 진행되고 있으며 최근 미국 의회에서는 합의가 도출될 징후가 보이고 있습니다.

◇미국 인프라 개선책 발표, 하원 다수 개별 입법 활동 활발=오바마 미 대통령은 2013년 2월 집권 2기 첫 국정연설에서 사이버 공격에 대비한 국가안보 강화 방침을 밝히고 같은 날 대통령 행정명령인 '사이버 보안을 위한 인프라 개선책'(Improving Critical Infrastructure Cybersecurity)을 발표했습니다.

오바마 대통령은 이를 위해 법무부장관, 국토안보부장관, 국가정보국장(DNI)이 공격목표로 우려되는 시설을 식별하는 공개보고서를 생산하기 위한 지침을 마련하도록 했습니다. 또 주요기반시설 사이버 위험 감소 프레임워크를 수립하여 보안표준에 대한 합의를 이끌어내도록 하는 한편 자발적 주요기반시설 사이버보안 프로그램을 수립하도록 했습니다.

이 행정명령은 주요기반시설을 중심으로 하여 정책수립, 정보공유 등 사이버보안추진체계 전체를 개선하는 데 의의가 있으며 오바마 행정부와 민주당이 선호하는 종합적 사이버보안 법률과 유사한 범위를 다루고 있지만 입법부의 의결을 거친 법률이 아니라 행정부가 단독으로 발표하는 행정명령이기 때문에 한계가 있다는 지적이 있습니다.

2013년 제113대 의회가 출범한 이후로는 주로 하원에서 다수의 개별 분야별 사이버보안 법안이 다시 발의되어 입법활동이 활발히 진행됐습니다.

하원에서 통과된 법안이 상원에서 통과되지 못하는 등 상원의 법안발의가 하원에 비해 미미한 상황입니다.

현재 미국 의회에 계류중인 종합적 사이버보안 법안의 내용은 다음과 같습니다.

공공-민간 사이버보안 협력상무부는 주요 기반시설에 대한 사이버 위험 감소를 위한 표준.가이드라인·실행방안·절차 등의 수립을 위해 산업계가 주도하는 개발을 촉진·지원하고 연방 사이버보안 연구개발백악관 과학기술정책실은 연방 사이버보안 연구개발 프로그램 및 계획을 수립해 컴퓨터·정보분야 과학·공학 단기·중기·장기 연구 과제 종류 및 우선순위를 식별합니다.

국립과학재단은 백악관 과학기술정책실과 협력하여 사이버보안 테스트베드 현황을 점검하고, 연방 사이버보안연구개발 계획에 의한 테스트베드 설립 수요를 결정합니다. 국립표준기술원은 상무부및 국토안보부와 협력하여 사이버보안 테스트베드 설립을 위한 교육기관용·비영리연구기관용 보조금을 지급합니다.

미국에서는 사이버공간의 안전이 국가안보와 경제발전의 최우선적 과제라는 인식 아래 행정부와 의회가 사이버보안에 관한 입법 경쟁을 하고 있습니다. 오바마 대통령은 국내외 정책의 전략을 수립하고 이를 바탕으로 종합적인 입법의 필요성과 그 내용을 제시함으로써 적극적으로 사이버보안 관련 활동을 하고 있습니다.

공화당과 민주당 모두 미국이 직면하고 있는 가장 중요한 위협 중 하나로서 사이버보안을 다루고 있습니다.

◇한국 체계완성성 부족=한국의 기존 사이버보안 관련 법률은 부문별로 적용범위와 추진체계가 분산돼 있으며 체계완결성이 부족하다는 것이 국회 입법조사처의 지적입니다. 현행 사이버보안 관련 법률은 사이버보안이라는 주제에 대한 심도있는 논의를 거쳐서 체계완결성을 지닌 형태를 갖추었다고 하기는 어렵다는 비판도 있습니다.

현재 민간부문에서 사이버보안의 주요한 규범으로서 기능하는 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 본래 1980년대에 전산망의 보급과 이용을 위한 목적에서 제정됐던 법률이며 2001년에 비로소 법률제명에 '정보보호'라는 표현을 더하면서 보안 관련 내용을 본격적으로 추가했습니다. 정보통신기반 보호법 역시 2001년에 제정된 법률로 그 주된 목적이 주요정보통신기반시설 보호에 한정될 수 밖에 없는 태생적 한계가 있고 사이버보안 전체를 다루기에는 법체계상 한계가 있습니다.

오늘날 한국은 최첨단 정보통신 장비들을 수출하는 정보통신강국으로 도약했으며 이를 바탕으로 경제 강국으로 도약하는 지점에 서 있습니다. 하지만 이러한 정보통신 환경의 이면에는 정보시스템의 취약점이 함께 존재합니다.

이러한 상황에 올바르게 대비하기 위해서는 법제도적 기반이 탄탄해야 합니다. 하지만 미국의 경우에도 종합적 사이버보안 법률의 제정은 쉽지 않은 문제입니다. 하지만 미국은 의회에서 관련 논의가 활발히 진행돼 왔고 논의가 상당부분 정책적 관점에서 이루어졌다는 점이 한국과 다르다고 할 수 있습니다. 비록 최종적으로 법률 제정이 이루어지지 않았다고 하더라도 그러한 논의의 성과물이 축적되는 것 자체가 중요한 자산이 됩니다. 한국에서도 사이버보안 보안 법제도 개선에 대한 논의를 활발히 추진하고 정부도 바람직한 사이버보안 정책을 제시해 궁극적으로 최선의 사이버보안 법제도 체계를 구축하는 것이 필요하다는 지적입니다.

이호승기자 yos547@dt.co.kr
도움말=국회입법조사처




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사