국가사이버안보법 제정 논란의 시시비비

1. 논의의 배경

오늘날 국가안보 영역에서 사이버위협은 비전통적 안보위협요인 중 가장 심각한 것으로 인식되고 있다. 이러한 사이버위협은 사경제 영역은 물론 공공 영역까지 무차별적으로 공격대상으로 하고 있어 교통, 항공, 전력 등 주요 기반시설이 치명적인 사이버공격을 받을 경우 사회적 혼란은 물론 막대한 피해가 우려된다. 최근에는 해커, 핵티비스트, 테러리스트 등과 같은 이른바 비국가 행위자들뿐만 아니라 국가차원의 지원을 받는 집단들도 등장하여 사이버안보의 문제가 전통안보의 문제만큼이나 중요한 국가안보의 사안으로 주목받고 있다. IT 강국이면서 북한의 대남 사이버공격을 지속적으로 받고 있는 우리나라는 2003년 1.25 인터넷 대란, 2009년 7.7 디도스 사건, 2014년 한국수력원자력 해킹 사건, 2016년 국방망 중추신경인 국방데이터통합센터 해킹 사건 등 상당한 사회적 혼란과 피해를 초래한 사건을 경험하였으며, 최근에는 사드 배치 보복과 관련한 중국발 해킹 우려까지 직면하여 위협행위 주체의 다양성과 그 피해의 중대함이 날로 커지고 있는 실정이다.

이러한 사이버위협을 대응하기 위한 입법적 논의는 지난 19대 국회부터 지금까지 활발하게 제기되어 왔다. 여기에는 기존 정보통신기반보호법 등의 개정 논의도 있으나 주로 신규 입법을 통한 사이버안보 확보에 초점이 맞춰졌다. 이러한 법안들은 주로 현행법상 공공과 민간을 포괄할 수 있는 사이버테러 방지법이 존재하지 않는다는 문제의식에 입각해 있으며, 또한 이 법안들은 국가정보원에 사이버테러에 대응하기 위한 컨트롤타워로서의 역할을 부여하고 있다. 그러나 이러한 국가정보원 중심의 사이버안보 법체계 구축에 대해 민간 부문에 대한 정보기관의 권한 남용 우려를 지적하며 현행 입법체계를 유지해야 한다는 목소리도 만만치 않다.

이하에서는 20대 국회에서 발의된 ‘국가 사이버안보에 관한 법률안’(이철우 의원 대표발의), ‘국가사이버안보법안’(정부 제출)의 주요내용을 소개하고 국가사이버안보법의 제정을 둘러싸고 제기되는 찬성과 반대 양자의 타당성에 대해 비판적으로 살펴보기로 한다.

2. 법안의 주요내용

. 현행 사이버안보 관련 법체계

법안의 구체적인 내용에 들어가기에 앞서 우리나라의 사이버안보 관련 법체계를 살펴볼 필요가 있다. 우리나라 사이버안보 법체계는 기본적으로 정보보호 법체계 내에서 파악될 수 있으며, 정보보호법제는 크게 공공과 민간으로 구분된다. 즉, 대통령훈령인 「국가사이버안전관리규정」을 중심으로 한 공공부문 규율(국가정보원 총괄)과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)」을 중심으로 한 민간부문 규율(미래창조과학부 총괄)로 구분된다. 사이버안보와 관련한 논의에서 사이버공간을 공공의 영역과 민간의 영역으로 구분하는 것은 사이버공격의 기술적 특성상 구분의 한계가 있지만, 법리적 측면에서 자율이 우선되어야 할 민간부문과 보다 강화된 정부 개입의 영역인 공공부문을 구분하여야 한다. 여기에 공공과 민간을 불문하고 주요정보통신기반시설에 대해서는 「정보통신기반보호법」을 근거로 강화된 정보보안 규율을 적용하고 있다. 즉, 「정보통신기반보호법」은 공공‧민간을 구분하지 않고 그 보호의 필요성이 인정되는 시설들을 ‘주요정보통신기반시설’로 지정하여 취약점 점검 및 대응조치를 취할 수 있도록 하는 등 강화된 규율체계를 적용하고 있다. 그리고 「국가사이버안전관리규정」은 정보통신기반보호법의 적용을 받고 있지 않는 중앙행정기관, 지자체 및 공공기관의 정보통신망(제3조)이며, 국회나 법원, 헌법재판소, 중앙선거관리위원회 등은 직접적인 적용대상이 아니다. 「국가사이버안전관리규정」은 기본적으로 행정부 내부의 정보보안과 관련한 사항을 규정한 것으로, 국회 등 타 헌법기관이나 민간 부문을 함께 규율하자면 행정입법의 형식인 대통령훈령으로 규율할 수는 없고 법률의 형식이 필요하게 된다.

. 사이버안보 법안의 주요내용

1) 개요

사이버안보 관련 법안은 17대 국회부터 꾸준하게 발의되어 왔는데, 2006년 12월에 공성진 의원 대표발의로 사이버위기 예방 및 대응에 관한 법률안이 발의되었으나 국회운영위원회에서 소관위원회를 어디로 할 것인가에 대해 협의 중 임기만료로 심사되지 못한 채로 폐기된 바 있고, 이어 18대 국회에서 공성진 의원 대표발의로 국가사이버위기관리법안이 발의되어 정보위원회에서 2009년 4월에 상정되었으나 역시 법안심사소위에 이르지 못하고 임기만료로 폐기되었다. 19대 국회는 가장 활발하게 사이버안보 관련 법안이 발의된 시기인데 2013년 3월 하태경 의원 대표발의로 국가 사이버안전 관리에 관한 법률안, 2013년 4월에 서상기 의원 대표발의로 국가사이버테러 방지에 관한 법률안, 2015년 5월 이철우의원 대표발의로 사이버위협정보 공유에 관한 법률안, 2015년 6월 이노근 의원 대표발의로 사이버테러 방지 및 대응에 관한 법률안이 제출되어 2015년 11월부터 4차에 걸쳐 법안소위에서 대안을 작성하고 전문가 초청 간담회를 포함한 심사를 진행하였으나 의결에 이르지 못하였으며, 2016년 2월 안건조정소위가 구성되었으나 심사 없이 활동기간이 종료되어 임기만료로 폐기되었다.1

현 20대 국회에는 이철우 의원 대표발의로 국가 사이버안보에 관한 법률안(2016. 5. 30) 그리고 정부 제출로도 국가사이버안보법안(2017.1.3)이 제출되어 국회정보위원회의 심사 중에 있다(2017.3.29. 현재).

2) 국가 사이버안보에 관한 법률안(이철우 의원 대표발의)

동법안은 4개 장, 25개 조문으로 구성되어 있으며, 사이버안보 추진기구로서 사이버안보에 관한 중요한 사항을 심의하기 위하여 대통령 소속하에 국가사이버안보정책조정회의(안 제4조)를 두고, 국가차원의 종합적이고 체계적인 사이버안보 업무 수행을 위하여 국가정보원장 소속으로 국가사이버안보센터(안 제6조)를 두고 있다. 국가정보원장은 사이버안보업무의 효율적이고 체계적인 추진을 위하여 사이버안보 기본계획을 수립하고 이에 따라 시행계획을 작성하여 책임기관의 장에게 배포하여야 하고(안 제7조), 책임기관의 장은 사이버공격 정보를 탐지․분석하여 즉시 대응할 수 있는 보안관제센터를 구축․운영하거나 다른 기관이 구축․운영하는 보안관제센터에 그 업무를 위탁하여야 한다(안 제10조). 또한 책임기관의 장은 사이버위협정보를 다른 책임기관의 장 및 국가정보원장에게 제공하여야 하며 국가정보원장은 국가차원의 사이버위협정보의 효율적인 공유 및 관리를 위하여 국가사이버위협정보공유센터를 구축·운영할 수 있도록 하였다(안 제11조). 책임기관의 장은 사이버공격으로 인한 사고가 발생한 때에는 신속히 사고조사를 실시하고 그 결과를 중앙 행정기관 등의 장 및 국가정보원장에 통보하여야 하고(안 제12조), 국가정보원장은 사이버공격에 대한 체계적인 대응을 위하여 사이버위기경보를 발령할 수 있으며, 책임기관의 장은 피해 발생을 최소화하거나 피해복구 조치를 취해야 한다(안 제14조). 정부는 경계단계 이상의 사이버위기경보가 발령된 경우 원인분석, 사고조사, 긴급대응, 피해복구 등을 위하여 책임기관 및 지원 기관이 참여하는 사이버위기대책본부를 구성·운영할 수 있는 근거를 두고 있다(안 제15조). 그 밖에도 정부는 사이버안보 전문업체로 지정·관리할 수 있고(안 제16조), 사이버안보에 필요한 기술개발·산업육성·인력양성 등 필요한 시책을 추진할 수 있으며(안 제19조, 제20조 및 제21조), 사이버 공격 기도에 관한 정보를 제공하거나 사이버공격을 가한 자를 신고한 자에 대하여 포상금을 지급할 수 있는 근거(안 제22조)도 마련하였다.

3) 국가사이버안보법안(정부 제출)

동법안은 6개 장, 23개 조문으로 구성되어 있으며, 사이버안보와 관련된 국가의 정책 및 전략 수립에 관한 사항 등을 심의하기 위하여 대통령 소속으로 국가사이버안보위원회를 두되, 위원장은 국가안보실장으로, 위원은 국회ㆍ법원ㆍ헌법재판소ㆍ중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관의 차관급 공무원 중 대통령령으로 정하는 사람과 사이버안보에 관하여 전문적인 지식과 경험을 갖춘 사람 중에서 국가안보실장이 임명하거나 위촉하도록 하였다(안 제5조). 국가기관․지방자치단체 및 국가적으로 중요한 기술을 보유․관리하는 기관 등은 ‘책임기관’으로서 소관 사이버공간을 안전하게 보호하는 책임을 지도록 하고, 국가정보원장은 책임기관을 지원하기 위한 기술적 역량이 있는 기관 또는 단체를 지원기관으로 지정할 수 있도록 하였다(안 제6조 및 제7조). 이러한 책임기관의 장은 사이버공격을 탐지ㆍ분석하여 즉시 대응할 수 있는 보안관제센터를 구축하거나, 다른 책임기관의 보안관제센터에 그 업무를 위탁할 수 있도록 하였고(안 제14조), 아울러 사이버공격으로 인한 사고가 발생할 경우 상급 책임기관의 장에게 통보하도록 하고, 해당 상급 책임기관의 장은 사이버공격으로 인한 사고의 피해 확인, 원인 분석, 재발 방지를 위한 조사를 실시하도록 하되, 국가안보를 위협하는 사이버공격으로 인한 사고의 경우에는 국가정보원장이 이를 조사하도록 하는 체계를 구성하고 있다(안 제15조).

국가정보원장은 사이버안보 업무를 체계적으로 추진하기 위하여 3년마다 사이버안보의 정책목표와 추진방향 등을 포함한 사이버안보 기본계획을 수립ㆍ시행하고, 중앙행정기관 및 시ㆍ도 등은 기본계획에 따라 소관 분야의 시행계획을 매년 수립ㆍ시행하도록 하였고(안 제10조), 또한 중앙행정기관 등을 대상으로 사이버안보를 위한 업무수행체계 구축, 예방 및 대응활동 등에 관한 실태를 평가할 수 있도록 하고, 중앙행정기관 등의 장은 실태평가 결과에 따라 자체 시정조치를 하거나 예산ㆍ인사 등에 연계ㆍ반영하는 등 활용할 수 있도록 하였다(안 제11조)

사이버위협정보의 공유와 관련해서는 국가정보원장 소속으로 사이버위협정보공유센터를 두고, 책임기관의 장은 소관 사이버위협정보를 사이버위협정보 공유센터의 장에게 제공하도록 하며, 사이버위협정보 공유센터의 장은 위협정보를 공유하는 경우 국민의 권리가 침해되지 아니하도록 기술적ㆍ관리적 및 물리적 보호조치를 마련하도록 하였다(안 제12조). 국가정보원장은 사이버공격에 대한 체계적인 대응을 위하여 단계별 사이버위기경보를 발령하도록 하고, 중앙행정기관 및 시ㆍ도 등 상급책임기관의 장은 일정 단계 이상의 경보가 발령되거나 사이버공격으로 인하여 그 피해가 심각하다고 판단하는 경우에는 책임기관, 지원기관 및 수사기관이 참여하는 사이버위기대책본부를 구성ㆍ운영할 수 있도록 하였다(안 제16조 및 제17조).

책임기관은 이철우 의원안과 정부안 모두가 규정하고 있는데, 공통적으로 양 법안이 책임기관으로 헌법기관, (지방)정부와 (지방)공공기관, 주요정보통신기반시설을 관리하는 기관, 국가핵심기술을 보유한 기업체나 연구기관, 방위사업법에 따른 방위산업체와 전문연구기관을 규정한 반면, 정부안에서는 의원안에 규정되어 있는 “정통망법 제46조제1항에 따른 집적정보통신시설사업자”와 “정책조정회의의 심의를 거쳐 회의의 의장이 책임기관으로 지정한 기관” 등을 배제하고 있다. 정부안의 경우에는 민간 부문에 대한 관여 가능성을 원천적으로 줄여 국가정보원의 민간사찰 논란 우려를 피하고 입법추진의 부담을 줄이려는 의도로 보인다.

3. 사이버안보법 제정을 둘러싼 찬반론

. 입법 필요성을 긍정하는 입장

일반적으로 제기되어 온 입법 필요성은 다음과 같다. 즉, 우리의 국가적 대응 활동은 공공․민간 부문이 제각각 분리, 독립 대응하고 있어 광범위한 사이버공격에 효율적인 대처가 어렵고, 공공부문은 대통령훈령인 「국가사이버안전관리규정」에 근거하고 있어, 행정기관 이외 민간분야 및 입법ㆍ사법기관은 적용범위에서 제외되고, 민간 부문은 사이버공격 예방 및 대응을 위한 법률 미흡으로 사이버공격 징후를 실시간 탐지․차단하거나 신속한 사고 대응에 한계가 있다는 것이다. 이에 정부와 민간이 함께 협력하여 국가차원의 체계적이고 일원화된 대응 체계를 구축하고, 이를 통해 사이버공격을 사전에 탐지하여 사이버위기 발생가능성을 조기에 차단하며, 위기 발생 시 국가의 역량을 결집하여 신속히 대응 할 수 있도록 하기 위한 입법이 필요하다는 주장이다.

특히 최근 안보영역에서 사이버안보가 가지는 특수성과 중요성을 반증하는 주요국의 강화된 사이버안보 입법례를 거론하며 북한발 사이버공격에 상시적으로 노출되어 있고, 높은 수준의 정보통신기반 시설을 갖춘 우리나라에게 사이버안보를 대응하기 위한 공공과 민간을 모두 아우르는 입법적 기반이 필요함을 역설한다. 이때 민관의 사이버보안 정보에 대한 보다 긴밀한 공유 등 강화된 사이버보안체계를 규정한 미국의 2015 사이버보안법(Cybersecurity Act of 2015, 2015.12.18)2을 제정 사례나, 핵심 정보인프라(공공 통신, 방송전파 등 일련의 서비스를 제공하는 기반정보 네트워크와 전력, 물, 가스 공급망, 금융, 의료, 사회보장 등 중요 업계의 정보 시스템, 군사 네트워크, 시(市)급 이상의 국가기관 정무 웹사이트, 서비스 이용자 수가 많은 네트워크 서비스 제공자 및 관리자의 네트워크 시스템)에 대한 규율체계를 규정한 중국의 네트워크안전법(網絡安全法)(2017.6.1. 시행 예정) 제정 사례, 내각에 사이버시큐리티전략본부를 두면서 내각관방이 그 사무를 처리하도록 하여 종래에 고도정보통신네트워크사회추진전략본부 산하에 설치한 정보시큐리티정책회의와 달리 고도정보통신네트워크사회추진전략본부와 동등한 지위가 되도록 하면서 중요사회기반사업자를 중심으로 강화된 규율(국가는 중요한 사회기반사업자 등의 사이버보안 관련 기준의 책정, 연습 및 훈련, 정보 공유, 활동 촉진 등에 필요한 시책 강구)체계를 마련한 일본의 사이버시큐리티 기본법(サイバーセキュリティ基本法) 제정 사례 등을 유력한 참고사례로 들고 있다.

또한 추진체계와 관련하여 국가정보원의 역할 강화는 불가피하고 현실적인 조치라는 것으로, 국가정보원은 국내에서 사이버공격 등에 대한 분석 및 대응에 있어 최고의 기술력과 노하우가 있다는 점, 우리나라는 세계 최고로 발달된 정보통신기술 덕택에 업무나 생활 전 부문에서 편리성을 누리고 있지만, 역설적으로 그만큼 사이버공격의 대상이 확대되어 위험성도 커지고 있고, 사이버공간에서 우리나라는 다른 나라에서 공통적으로 받는 위험성 외에 북한이라는 변수가 하나 더 있기 때문에 더욱 더 다층적으로 안전장치가 필요하다는 것이다.3

. 입법 필요성을 부정하는 입장

먼저 법체계적인 관점에서 현행 법제로도 사이버안보 대응을 위한 제도적 근거로 부족함이 없다는 것이다. 즉,「정보통신망이용촉진 및 정보보호 등에 관한 법률」, 「정보통신기반 보호법」, 「전자금융거래법」, 「국가정보화기본법」이 존재하는데다 법안의 주된 내용이 현행 국가사이버안전관리규정(대통령 훈령)에 있는 사항과 크게 다르지 않아 입법적인 실효성이 없다는 것이다. 오히려 「정보통신기반 보호법」상 주요정보통신기반시설 관리체계를 고려할 때 법령간의 적용 혼선이 초래될 우려마저 발생한다고 지적한다.

법안상 사이버안보는 국가안보보다 넓은 개념으로 사이버분야의 안보를 명분으로 하여 국정원이 민간에 대한 감시권한을 확대하는 것이며4, 사이버안보는 국정원법 제3조에서 규정하고 있는 국정원의 직무범위를 벗어난 것이기 때문에 허용될 수 없다는 입장이다. 따라서 국가정보원이 동법안에 따라 1차적인 권한을 보유하는 것이 타당한가에 대한 의문, 아울러 국정원 컨트롤타워에 대한 견제구조(정부내 타 사이버공격 대응기관, 국회, 법원)가 미흡하다는 점, ‘사이버위협정보 공유센터’를 국가정보원 소속으로 하는 것은 적절하지 않다는 지적이 제기된다. 특히 이철우 의원안을 포함한 이전의 법안들이 사이버위협 정보공유를 의무화하고 있었는데, 이를 통하여 정보기관이 민간에 대한 감시권한을 확대하는 수단으로 이용될 수 있다는 우려도 제기한다.

기본적으로 사이버안보 관련 법안에 규정된 국가정보원의 역할은 「국가정보원법」 규정된 직무범위를 벗어난 것이라고 주장한다. 법안에 따르면 민간의 정보통신망까지 국정원의 권한을 확대하여 민간에 대한 국가감시가 확대되고, 기본계획 수립시행 등 실질적으로 국정원이 컨트롤타워 역할을 하는 등 권한 강화로 관련 기관에 부당한 영향력을 행사할 수 있으며, 사이버안보를 명분으로 개인정보보호법의 적용 예외를 받아 특정이용자를 감시 사찰할 수 있는 위험성이 크고, 비밀정보기관이 사이버 보안의 컨트롤타워 역할을 맡기는 나라는 없으므로 사이버보안 관련 기존의 국정원권한도 다른 행정기관으로 이양해야 한다는 주장까지 제기된다.5

4. 합리적인 논의를 위한 제언

사이버안보와 관련하여 제기된 일련의 입법적 시도들을 둘러싼 논의의 주된 쟁점은 국가정보원의 위상과 역할이다. 국가정보원의 주도에 긍정적인 주장은 국가차원의 사이버 위기관리 등을 위한 법제가 시급히 요구되고, 대통령훈령에 따라 국정원이 실제 컨트롤타워 역할을 수행하고 있는 부분을 법률에 규정함으로써 그 기능을 강화할 수 있고, 국정원은 국내에서 사이버공격 등에 대한 분석 및 대응에 있어 최고의 기술력과 노하우가 있다는 점 등을 강조한다. 이에 비해 반대 측은 사이버공간에 대한 국정원의 과도한 권한 집중으로 국정원의 활동이 민간의 영역에까지 개입하게 되는 빌미를 제공할 수 있다는 점, 사이버안보라는 빌미로 민간과 공공 간의 정보공유가 사실상 강제되면서 개인정보가 유출되어 프라이버시가 침해될 수 있다는 점 등을 들고 있다. 특히, 정부는 그간의 법안들이 국가정보원이 컨트롤타워의 정점이 되어 과도한 권한이 집중된다는 비판이나 민간 영역에 대한 과도한 개입이라는 비판을 의식한 탓인지, 법안의 중심축을 이루는 책임기관의 범위에 민간을 제한적·선별적으로 포함하고 있고, 최종 발의안에는 국가정보원 소속으로 하였지만 국가정보원이 입법예고한 법안에서는 ‘사이버위협정보 공유센터’를 국가정보원이 아닌 국무조정실이 운영토록 규정한 바 있으며, 민간 영역에서 발생하는 ‘일반 사이버공격’ 조사는 관계 중앙부처 및 광역지자체ㆍ교육청에서 수행하고 ‘안보위협 사이버공격’ 조사도 국정원ㆍ중앙부처ㆍ수사기관 등이 참여하는 ‘정부합동조사팀’에서 수행하도록 하며, 실태조사는 국가·공공기관인 책임기관만을 대상으로 하는 등 고심의 흔적이 보인다.

사이버안보 이슈와 관련하여 학술논문 등 선행연구에서 나타나는 현행 정보보호법체계에 대한 평가는 부정적 평가가 주를 이룬다. 이들의 주요 논지는 ① 「국가사이버안전관리규정」이 대통령훈령으로서 법률적 지위를 가지지 못한다는 점, ② 사이버테러 등을 효과적으로 대응하기 위해서는 공공과 민간을 아우르는 대응이 필요한데 현재의 이원화된 체계는 근본적으로 한계를 지닌다는 점, ③ 최근 사이버안보의 중요성을 고려한 미국, 독일, 일본 등 주요국의 사이버안보 강화 입법경향 등이다.6 이러한 비판의 핵심은 공공과 민간의 이원화된 법체계가 이원화된 추진체계로 이어져 사이버공간의 국가안보를 유지하는데 근본적인 한계를 지닌다는 것인데, 이에 대해 과연 (기술적 특성을 외면한) 분산된 권한의 한계인지, (기본권 보호를 위한) 권한의 적정 배분으로 볼 것인지에 따라 상이한 판단이 가능하다는 점에서 보다 신중한 접근을 요한다. 이는 민간 정보통신망은 기본적으로 정보통신서비스제공자와 이용자의 자율을 우선하며, 공공부문에 대한 일반적인 사이버공격 대응은 「국가사이버안전관리규정」에 근거를 두고 국가정보원이 총괄 수행하되, 특히 국가사회안전과 직결되는 “주요 정보통신기반시설”에 대해서는 「정보통신기반보호법」을 통해 강화된 대응 체계를 강구하는 우리의 다층적 구조가 가지는 함의에도 소홀하여서는 아니 될 것이다.

또한 미국, 중국, 일본 등 주요국의 강화된 사이버안보 입법례는 내용상 우리의 “주요 정보통신기반시설”에 대한 「정보통신기반보호법」상의 강화된 규율체계7와 상당부분 유사한 측면이 있으므로 단순히 이러한 입법례를 신법 제정의 필수적 대외 환경으로 연결하는 것은 일각에서 국가정보원 주도의 사이버안보 체계 자체를 그저 음모론적 내지 정치적으로 접근하는 것만큼이나 합리적인 논의에 바람직하지 않다. 한편 역사적으로 입법부나 사법부에 비해 행정부에 대해 더 강력한 국민적 신뢰를 바탕으로 하는 프랑스는 정보기관이 사실상 사이버안보전략을 리드하고 있다는 점에서 사이버안보의 문제에서 정보기관의 역할을 금기시만 할 것은 아니다.8

법안에 대한 상반된 시각에도 불구하고, 북한발 사이버공격이 상시적인 안보위협으로 제기되고 있는 우리의 특수한 현실은 부정할 수 없는 현상이면서 더욱 그 위험은 커지고 있고9, 특히, 현행 사이버안보 법제의 중요한 축인 정보통신기반보호법의 운용이 사실상 형식적인 것에 그치고 있어 변화된 사이버안보 상황에서 대응 법제로 충분치 못한 측면을 고려할 때, 진화된 국가사이버안보전략의 견고한 기반으로서 입법적인 계기를 마련하는 것도 전향적으로 검토할 필요가 있다. 모쪼록 국가사이버안보와 관련한 입법적 논의가 정치적 이슈를 극복하고 매우 치밀하고도 실질적인 쟁점을 중심으로 논의되기를 바라며, 이를 통해 신흥 안보 이슈로서 사이버안보에 있어서는 우리나라가 전통안보영역에서 강대국의 이해관계에 힘없이 좌우되었던 전철을 밟지 아니하고 전략적 우월성을 유지할 수 있도록 지혜를 모아야 할 때임을 강조하고자 한다.

———————————————————————————————————————————————————

  1. 국가 사이버안보에 관한 법률안(이철우의원 대표발의)·국가사이버안보법안(정부 제출) 국회정보위원회 수석전문 위원 검토보고서, 2017.2, 9~10면. [본문으로]
  2. 사이버보안법(Cybersecurity Act)은 2015년에 총 5개의 사이버보안 정보공유 법률안이 발의되어 이 중 「사이버 보안 정보 공유법」(Cyber security Information Sharing Act of 2015; CISA, S.654), 「사이버 네트워크 보호법」(PCNA, H.R.1560), 「국가 사이버보안 보호 증진법」 (NCPAA, H.R.1731)의 3개 법안이 상·하원에서 각각 통과되었으며, 동년 12월 상원에서 통과된 사이버보안 정보 공유법(CISA)을 중심으로, 하원 통과 법안을 통합·조정한 수정(안)을 최종 반영한 법률을 일괄해서 칭하는 것이다. [본문으로]
  3. 앞의 국회정보위원회 수석전문위원 검토보고서, 9~12면. [본문으로]
  4. 사이버안보의 개념과 관련하여, 이철우의원안은 “사이버공격으로부터 국가의 안보와 이익을 수호하기 위한 활동으로서 사이버위기의 관리를 포함”하는 것으로 정의하고, 정부안은 “사이버공격으로부터 사이버공간을 보호함으로써 사이버공간의 기능을 정상적으로 유지하거나 정보의 안전성을 유지하여 국가의 안전을 보장하고 국민의 이익을 보호하는 것”으로 규정하여 ‘사이버공격으로부터 사이버공간을 보호’하는 행위와 함께 이를 통해 얻을 수 있는 ‘국가의 안전을 보장하고 국민의 이익을 보호하는 것’까지를 규정하고 있다. [본문으로]
  5. 「국가사이버안보기본법 제정안 의견서(민변·참여연대, 2016.10.10)」,「국가정보원과 국내 사이버보안정책 개혁방안(2016.12.16)」,「사이버테러방지법은 전면적 국가사이버감시법(2015.12.15)」등은 정보기관인 국가정보원을 중심으로 한 사이버안보체계를 기반으로 하는 국가사이버안보 관련 법안을 반대하는 입장으로 이해된다. [본문으로]
  6. 박상돈 외, “사이버안보법 제정을 위한 국내 사이버안보 법률안 연구”, 융합보안 논문지 제13권제6호, 2013.12, 92면 “…이는 관계 부처 기관의 집행력을 미약하게 하고 특히 민간부문에 대한 대국민 효력을 발휘하는데 한계를 발생시킨다. 따라서 법률상 관계부처 기관이 수행하는 사이버안보 활동의 법적 근거를 명확히 정하고, 대통령훈령 등에 규정한 내용들을 법률의 형식으로 하여 다시 규정해야 한다.” / 김연준 외, 사이버테러대응방안에 관한 연구, 융합보안 논문지 제16권제3호, 2015.5, 40면. “…분산되어 있는 사이버테러 대응관련 체계를 단일법령을 근거로 일원화하여 국가적 차원의 컨트롤타워를 명시화해야 한다. 사이버테러는 인터넷망에 연결되어 있는 경로를 따라 발생하기 때문에(공격대상의 비정형성), 통합된 리더십 발휘가 가능한 컨트롤타워의 존재가 필수적이다. 국가적 차원의 임무수행이 가능하도록 기존의 “국가사이버안전관리규정”수준이 아니라 ‘국가사이버안전관리법령’으로 법제화 하였을 때 현재의 컨트롤타워인 국가정보원은 공공분야만이 아니라 군사분야와 민간분야 등 국가의 인터넷망과 연결된 모든 기관을 통합하여 예방대책 수립부터 사후조치 단계까지 통합된 대응이 가능하다.” / 정준현, “국가 사이버안보를 위한 법제 현황과 개선방향”. 한국국가정보학회 학술대회 자료집 2011.11. “…현행「정보통신기반 보호법」을 통해 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 ‘주요정보통신기반시설’에 대하여 국가 위급 상황시에 정부가 규제하고 명령할 수 있는 권한을 가지고 있기는 하지만, 사이버공격징후를 사전 탐지하여 수집된 정보를 국가종합적으로 분석대응한다거나 발생한 사이버공격에 부처별 대응이 아닌 국가종합적인 대응을 위한 시스템은 아직 법제도화되어 있지 아니하다.” [본문으로]
  7. 현재 공공은 국가정보원(「국가사이버안전관리규정」) 주도의 민·관·군 합동대응반 또는 범정부적 사이버위기 대책본부, 민간은 미래창조과학부(정보통신망법)가 주도하는 민·관합동조사단, 주요정보통신기반시설은 정보통신기반보호위원회(「정보통신기반보호법」)가 주도하는 정보통신기반침해사고대책본부가 합동대응을 수행하는 구조이다. [본문으로]
  8. 프랑스는 총리 산하 범정부 전문조직인 ‘국가정보보안원(ANSSI; Agence nationale de la sécurité des systèmes d’information)’을 운영하고 있다. 사이버안보라는 국가적 중요 과제를 추진하기 위하여 2009년에 창설되었는데, 이 기구는 총리 소속으로 설치된 유관부처 간 협력조직이나, 2차 세계대전 중 정보기관을 전신으로 한다. 2011년에 행정관청으로 그 기능이 격상되는 등 최근 지위와 역할이 강화되는 추세(‘2014-2019 중장기 국방정책에 관한 2013년 법률’의 주요내용으로 국가정보보안원의 기능 강화가 포함됨)이며, 2015년 10월 16일 “사이버안보 국가전략” 발표를 통해 더욱 역할이 강화되었다(http://www.ssi.gouv.fr/). [본문으로]
  9. 사드 배치 논란으로 촉발된 중국발 해킹 공격이 급증하면서 이 사태를 틈타 북한의 해커조직도 우리나라를 타깃으로 ‘은밀하게’ 사이버 공격을 진행하고 있는 것으로 드러났다. “중국발 해킹 틈타 ‘은밀하게’ 감행되는 북한발 사이버공격”, 2017.3.28자 보안뉴스. [본문으로]
저자 : 김도승

목포대학교 법학과 교수/한국법학교수회 이사/공공데이터전략위원회 전문위원/(전)국가정보화전략위원회 전문위원/(전)법제처 국민법제관/(전)한국법제연구원 법제분석지원실장