국가정보원의 사이버안보 업무규정, 사이버안보 차원에서 단일법 신설 필요 제기
[보안뉴스 김경애 기자] 국가정보원의 사이버안보 업무규정이 지난 3월 5일 일부 개정됐다. 여기에 더해 최근 사이버안보 측면에서 각종 위협이 증가하고 있는 만큼 사이버안보 관련 단일법을 제정해야 한다는 목소리가 커지고 있다.
▲2024년 3월 5일 개정 시행된 사이버안보 업무규정 [자료=법제처 국가법령정보센터]
개정된 국가정보원의 사이버안보 업무규정의 주요 내용은 △제1조(목적) 전문개정, △제2조(정의) 개정 △제3조(사이버안보 업무의 수행) 전문개정 △제3조의2(사이버안보 업무의 기획·조정) 본조 신설 등이다.
△제4조(국가사이버안보센터) ②전담조직 신설 ③자문단 설치·운영 신설 ④국가정보원장은 임직원의 파견 등 협조 요청, 개정 △제5조(기관 간 협력체계 구축) 전문 개정, △제5조의2(사이버안보정보의 임의제출) 본조 신설, △제5조의3(사이버안보정보의 작성) 본조 신설 △제6조(정보공유시스템 구축) 개정 △제6조의2(사이버안보정보 업무 수행 관련 대응조치 등) 본조 신설 △제7조(사이버보안 업무 대상 공공기관의 범위) 개정, 제목 개정 △제8조(사이버보안 세부지침의 수립·시행) 전문 개정.
△제9조(사이버보안 예방 조치 등) 개정 ③국가정보원장은 보안대책 적합한지 검증 개정 ⑤국가정보원장은 보안관리 수준 측정 개정 ⑥국가정보원장에게 통보 신설·제목 개정 △제10조(사이버보안 교육) ①중앙행정기관등의 교육 실시 개정 ②국가정보원장은 필요한 경우 관련 교육과정을 운영하거나 교육과정 지정 개정 ③중앙행정기관등의 장은 국가정보원장에게 교육 지원 요청 신설·제목 개정 △제11조(사이버보안 훈련) 제목개정 제12조(사이버보안 자체 진단·점검) ① 중앙행정기관등의 장은 사이버공격·위협에 대한 자체 진단·점검 연 1회 이상 실시 개정 ② 자체 진단·점검 실시 개정 1. 삭제 ④ 국가정보원장은 사이버공격·위협이 발생 조치 결과 제출 요청 신설·제목 개정.
△제13조(사이버보안 실태 평가) ①사이버보안 실태 평가 개정 ④문제점 발견 시 3개월 이내에 개선대책 마련 및 국가정보원장에 통보 신설 ⑤국가정보원장은 개선대책 이행 여부 확인 신설 ⑥국가정보원장은 실태 평가 결과 공개 신설 ⑦ 국가정보원장은 전문가 활용 신설·제목 개정.
△제14조(통합보안관제) ①개정 ②개정 ③개정 ④신설 ⑤제1항부터 제4항까지에서 규정한 사항 외에 보안관제센터의 설치·운영 및 그 밖에 필요한 사항은 국가정보원장이 관계 중앙행정기관의 장과 협의하여 정한다. 개정·제목 개정.
△제15조(경보 발령) ② 개정 ③개정, 제16조(사고 조사) ①개정 ②개정 ⑤신설 제17조(사이버안보 업무 관련 전략 등의 연구·개발) ①국가정보원장은 사이버안보 업무의 수행에 필요한 전략·정책 및 기술을 연구·개발할 수 있다. ②개정 ③신설 ④개정, 제18조(고유식별정보의 처리) 개정이다.
이번 국정원 사이버안보 업무규정 개정에 더해 사이버 안보 문제에 있어 입법부, 사법부, 행정부 역량을 활용하는 제도적 기반 마련이 필요하다는 목소리가 커지고 있다. 이와 관련 <보안뉴스>는 ‘제4회 사이버안보 정책 포럼’에서 제기된 내용을 바탕으로 개정된 국가정보원의 사이버 안보 업무규정에 대한 개선점과 주요 논의사항을 들어봤다.
목포대학교 법학연구소장 김도승 교수 : 사이버안보 업무규정은 전체적으로 개정 사항이 행정기관 간의 권한 배분을 중심으로 하고 있다. 제4조제1항을 근거로 위임범위 내에서 조문을 구성했으나 다소 많은 양이 규정되는 측면이 있다. 중요 사항은 향후 법 조문에 별도로 반영해 강조할 필요가 있다.
정부 주도의 사이버 안보 역량 확립을 위한 법제도적 전기를 마련하기 위해서는 정보인권에 대한 신뢰와 책임성을 확보한 기관이 한국의 사이버 안보 리더십을 가져가야 한다. 입법적 논의도 이러한 관점에서 추진되어야 한다.
국가정보원이 사이버 안보 업무를 수행함에 있어서 법률상 강제적인 조치도 필요하고 이에 대한 책임도 지도록 해야 한다. 이런 법제의 한계점을 좀더 명확하게 규정해 사이버 안보법의 필요성을 알릴 필요가 있다.
고려대 정보보호대학원 김법연 연구교수 : 사이버안보 업무규정 개정으로 사이버 안보 업무 수행을 체계적으로 실시할 수 있게 된 점에서는 상당히 고무적인 성과라 할 수 있다. 그러나 여전히 법률상에 근거를 두어야 하는 것들이 많이 있으므로 빠른 시일내에 사이버안보 관련 법률이 마련될 필요가 있다. 특히, 민관 협력이 필수적인 상황에서 국가사이버안보협력센터와 국가사이버위기관리단의 법적 근거를 두어 안정적이고 체계적으로 민 관협력이 이루어질 수 있도록 기반을 마련해야 한다. 또한 공세적이고 능동적인 대응을 위해서도 법적 근거는 필수이며, 개인정보 처리와 관련한 제18조의 규정 또한 국민의 개인정보자기결정권이나 사생활의 자유 등과 관련한 권리 제한의 정도가 커서 이에 대해서도 법률에서 관련 규정을 다루는 것이 타당하다.
국가보안기술연구소 박상돈 법학박사 : 사이버안보는 전자적 정보와 정보 시스템의 보호에서 국가안보적 요소에 중점을 둔다는 개념을 염두에 두어야 한다. 조사 대상자의 자발적인 협조에 의해 이뤄지고 있는 조사와 강제적인 수단으로서의 조사가 있는데, 후자는 법률상 규정이 있어야 한다. 현실적으로 강제 조사가 필요하나, 필요한 요건을 정확히 정할 필요가 있고, 입법 형태에 대한 검토도 필요하다.
국회입법조사처 박명희 조사관 : 향후 사이버안보 강화를 위한 법제를 마련할 때 사이버안보와 사이버보안과의 관계, 행정부와 타 헌법기관과의 관계 등은 주요 쟁점이 될 것으로 전망된다. 사이버안보 법제 개선방향을 논의함에 있어 정부의 사이버안보 정책 방향과 국회에 발의된 사이버안보 관련 발의 법안들과의 간극이 발견되는데, 주된 이유는 사이버안보와 사이버보안 업무에 대한 개념이 혼재되어 사용되기 때문으로 보인다.
정부 정책의 경우, 2013년 박근혜 정부의 ‘국가사이버안보종합대책’, 2019년 문재인 정부의 ‘국가사이버안보전략’, 2020년 국가정보원법 개정, 2024년 윤석열 정부의 ‘국가사이버안보전략’을 통해 ‘사이버안보’는 ‘국가안보적 차원’에서 다루고 있으며, 이명박 정부 이후 국가안보실을 컨트롤타워, 국가정보원을 주관기관으로 정의하고 있다.
입법 논의에 있어서는 사이버안보와 사이버보안의 개념이 혼재된 측면이 있어 콘트롤타워 문제 등이 지속적으로 쟁점이 되어온 것으로 판단된다. 따라서 사이버안보와 사이버보안에 대한 개념 정의, 양자의 관계 설정이 사이버안보 법제 논의에 있어 선결과제가 되어야 한다고 판단된다.
한국외국어대학교 박재윤 교수 : 첫째, 범용적 관통개념으로서 사이버안보 용어 정리가 필요하다. 사이버법 분야에 다양한 용어가 사용되고 있고, 비교법적으로 네트워크망에 대한 공격과 방어, 안보 내지 보안적 관점을 표현하는 용어로 통일되지 못하고 있다.
둘째, 헌법기관과 민간의 사이버안보 문제가 있다. 최근 법원이 북한의 라자루스 그룹에 의해 해킹을 당해 자료가 유출되는 사태가 발생한 바 있고, 지난해에는 중앙선거관리위원회의 보안 위협도 문제가 된 바 있다.
행정부 주도 하에 사이버안보의 문제를 점검하고 대책을 마련하는 통합적인 기능 작동이 어려운 문제가 있다. 민관이 독립적으로 업무를 수행하더라도 정보 수집 등에 있어 협력체계를 마련해 문제 발생 시 징계 차원의 접근이 아닌 완화 방식의 접근도 필요해 보인다.
셋째, 사이버안보 법제의 입법 방식에 대해 고민해야 한다. 헌법기관의 경우 행정부가 주도하면서 협력체계를 만드는 것이 필요하고, 문제가 발생하더라도 징계하기보다는 제재를 완화하는 방식으로 접근해야 한다.
동국대학교 홍선기 교수 : 국가사이버안보전략, 사이버안보법 제정 등이 국가안보 차원에서 그 중요성이 부각되고 있는 만큼 국회와의 긴밀한 소통과 논의를 통해 인권침해 요소를 최소화하는 데도 만전을 기해야 한다. 사이버안보는 정파적 이해를 떠나 국가경영 관점에서 실질적 논의가 진행돼야 한다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 국가정보원의 사이버안보 업무규정이 지난 3월 5일 일부 개정됐다. 여기에 더해 최근 사이버안보 측면에서 각종 위협이 증가하고 있는 만큼 사이버안보 관련 단일법을 제정해야 한다는 목소리가 커지고 있다.
▲2024년 3월 5일 개정 시행된 사이버안보 업무규정 [자료=법제처 국가법령정보센터]
개정된 국가정보원의 사이버안보 업무규정의 주요 내용은 △제1조(목적) 전문개정, △제2조(정의) 개정 △제3조(사이버안보 업무의 수행) 전문개정 △제3조의2(사이버안보 업무의 기획·조정) 본조 신설 등이다.
△제4조(국가사이버안보센터) ②전담조직 신설 ③자문단 설치·운영 신설 ④국가정보원장은 임직원의 파견 등 협조 요청, 개정 △제5조(기관 간 협력체계 구축) 전문 개정, △제5조의2(사이버안보정보의 임의제출) 본조 신설, △제5조의3(사이버안보정보의 작성) 본조 신설 △제6조(정보공유시스템 구축) 개정 △제6조의2(사이버안보정보 업무 수행 관련 대응조치 등) 본조 신설 △제7조(사이버보안 업무 대상 공공기관의 범위) 개정, 제목 개정 △제8조(사이버보안 세부지침의 수립·시행) 전문 개정.
△제9조(사이버보안 예방 조치 등) 개정 ③국가정보원장은 보안대책 적합한지 검증 개정 ⑤국가정보원장은 보안관리 수준 측정 개정 ⑥국가정보원장에게 통보 신설·제목 개정 △제10조(사이버보안 교육) ①중앙행정기관등의 교육 실시 개정 ②국가정보원장은 필요한 경우 관련 교육과정을 운영하거나 교육과정 지정 개정 ③중앙행정기관등의 장은 국가정보원장에게 교육 지원 요청 신설·제목 개정 △제11조(사이버보안 훈련) 제목개정 제12조(사이버보안 자체 진단·점검) ① 중앙행정기관등의 장은 사이버공격·위협에 대한 자체 진단·점검 연 1회 이상 실시 개정 ② 자체 진단·점검 실시 개정 1. 삭제 ④ 국가정보원장은 사이버공격·위협이 발생 조치 결과 제출 요청 신설·제목 개정.
△제13조(사이버보안 실태 평가) ①사이버보안 실태 평가 개정 ④문제점 발견 시 3개월 이내에 개선대책 마련 및 국가정보원장에 통보 신설 ⑤국가정보원장은 개선대책 이행 여부 확인 신설 ⑥국가정보원장은 실태 평가 결과 공개 신설 ⑦ 국가정보원장은 전문가 활용 신설·제목 개정.
△제14조(통합보안관제) ①개정 ②개정 ③개정 ④신설 ⑤제1항부터 제4항까지에서 규정한 사항 외에 보안관제센터의 설치·운영 및 그 밖에 필요한 사항은 국가정보원장이 관계 중앙행정기관의 장과 협의하여 정한다. 개정·제목 개정.
△제15조(경보 발령) ② 개정 ③개정, 제16조(사고 조사) ①개정 ②개정 ⑤신설 제17조(사이버안보 업무 관련 전략 등의 연구·개발) ①국가정보원장은 사이버안보 업무의 수행에 필요한 전략·정책 및 기술을 연구·개발할 수 있다. ②개정 ③신설 ④개정, 제18조(고유식별정보의 처리) 개정이다.
이번 국정원 사이버안보 업무규정 개정에 더해 사이버 안보 문제에 있어 입법부, 사법부, 행정부 역량을 활용하는 제도적 기반 마련이 필요하다는 목소리가 커지고 있다. 이와 관련 <보안뉴스>는 ‘제4회 사이버안보 정책 포럼’에서 제기된 내용을 바탕으로 개정된 국가정보원의 사이버 안보 업무규정에 대한 개선점과 주요 논의사항을 들어봤다.
목포대학교 법학연구소장 김도승 교수 : 사이버안보 업무규정은 전체적으로 개정 사항이 행정기관 간의 권한 배분을 중심으로 하고 있다. 제4조제1항을 근거로 위임범위 내에서 조문을 구성했으나 다소 많은 양이 규정되는 측면이 있다. 중요 사항은 향후 법 조문에 별도로 반영해 강조할 필요가 있다.
정부 주도의 사이버 안보 역량 확립을 위한 법제도적 전기를 마련하기 위해서는 정보인권에 대한 신뢰와 책임성을 확보한 기관이 한국의 사이버 안보 리더십을 가져가야 한다. 입법적 논의도 이러한 관점에서 추진되어야 한다.
국가정보원이 사이버 안보 업무를 수행함에 있어서 법률상 강제적인 조치도 필요하고 이에 대한 책임도 지도록 해야 한다. 이런 법제의 한계점을 좀더 명확하게 규정해 사이버 안보법의 필요성을 알릴 필요가 있다.
고려대 정보보호대학원 김법연 연구교수 : 사이버안보 업무규정 개정으로 사이버 안보 업무 수행을 체계적으로 실시할 수 있게 된 점에서는 상당히 고무적인 성과라 할 수 있다. 그러나 여전히 법률상에 근거를 두어야 하는 것들이 많이 있으므로 빠른 시일내에 사이버안보 관련 법률이 마련될 필요가 있다. 특히, 민관 협력이 필수적인 상황에서 국가사이버안보협력센터와 국가사이버위기관리단의 법적 근거를 두어 안정적이고 체계적으로 민 관협력이 이루어질 수 있도록 기반을 마련해야 한다. 또한 공세적이고 능동적인 대응을 위해서도 법적 근거는 필수이며, 개인정보 처리와 관련한 제18조의 규정 또한 국민의 개인정보자기결정권이나 사생활의 자유 등과 관련한 권리 제한의 정도가 커서 이에 대해서도 법률에서 관련 규정을 다루는 것이 타당하다.
국가보안기술연구소 박상돈 법학박사 : 사이버안보는 전자적 정보와 정보 시스템의 보호에서 국가안보적 요소에 중점을 둔다는 개념을 염두에 두어야 한다. 조사 대상자의 자발적인 협조에 의해 이뤄지고 있는 조사와 강제적인 수단으로서의 조사가 있는데, 후자는 법률상 규정이 있어야 한다. 현실적으로 강제 조사가 필요하나, 필요한 요건을 정확히 정할 필요가 있고, 입법 형태에 대한 검토도 필요하다.
국회입법조사처 박명희 조사관 : 향후 사이버안보 강화를 위한 법제를 마련할 때 사이버안보와 사이버보안과의 관계, 행정부와 타 헌법기관과의 관계 등은 주요 쟁점이 될 것으로 전망된다. 사이버안보 법제 개선방향을 논의함에 있어 정부의 사이버안보 정책 방향과 국회에 발의된 사이버안보 관련 발의 법안들과의 간극이 발견되는데, 주된 이유는 사이버안보와 사이버보안 업무에 대한 개념이 혼재되어 사용되기 때문으로 보인다.
정부 정책의 경우, 2013년 박근혜 정부의 ‘국가사이버안보종합대책’, 2019년 문재인 정부의 ‘국가사이버안보전략’, 2020년 국가정보원법 개정, 2024년 윤석열 정부의 ‘국가사이버안보전략’을 통해 ‘사이버안보’는 ‘국가안보적 차원’에서 다루고 있으며, 이명박 정부 이후 국가안보실을 컨트롤타워, 국가정보원을 주관기관으로 정의하고 있다.
입법 논의에 있어서는 사이버안보와 사이버보안의 개념이 혼재된 측면이 있어 콘트롤타워 문제 등이 지속적으로 쟁점이 되어온 것으로 판단된다. 따라서 사이버안보와 사이버보안에 대한 개념 정의, 양자의 관계 설정이 사이버안보 법제 논의에 있어 선결과제가 되어야 한다고 판단된다.
한국외국어대학교 박재윤 교수 : 첫째, 범용적 관통개념으로서 사이버안보 용어 정리가 필요하다. 사이버법 분야에 다양한 용어가 사용되고 있고, 비교법적으로 네트워크망에 대한 공격과 방어, 안보 내지 보안적 관점을 표현하는 용어로 통일되지 못하고 있다.
둘째, 헌법기관과 민간의 사이버안보 문제가 있다. 최근 법원이 북한의 라자루스 그룹에 의해 해킹을 당해 자료가 유출되는 사태가 발생한 바 있고, 지난해에는 중앙선거관리위원회의 보안 위협도 문제가 된 바 있다.
행정부 주도 하에 사이버안보의 문제를 점검하고 대책을 마련하는 통합적인 기능 작동이 어려운 문제가 있다. 민관이 독립적으로 업무를 수행하더라도 정보 수집 등에 있어 협력체계를 마련해 문제 발생 시 징계 차원의 접근이 아닌 완화 방식의 접근도 필요해 보인다.
셋째, 사이버안보 법제의 입법 방식에 대해 고민해야 한다. 헌법기관의 경우 행정부가 주도하면서 협력체계를 만드는 것이 필요하고, 문제가 발생하더라도 징계하기보다는 제재를 완화하는 방식으로 접근해야 한다.
동국대학교 홍선기 교수 : 국가사이버안보전략, 사이버안보법 제정 등이 국가안보 차원에서 그 중요성이 부각되고 있는 만큼 국회와의 긴밀한 소통과 논의를 통해 인권침해 요소를 최소화하는 데도 만전을 기해야 한다. 사이버안보는 정파적 이해를 떠나 국가경영 관점에서 실질적 논의가 진행돼야 한다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
