주요국의사이버안전관련법...

급속한 과학기술의 발전과 더불어 세계 냉전체제의 붕괴와 남북관계의 변화, 국가간

치열한 기술경쟁 및 고도의 정보사회 도래에 따른 국제안보환경이 변화되면서 국가 간

에사이버전쟁의위험이급격히증가되고이에따른기존의안보개념도기술및사이버

보안 등에 포커스를 둔‘신(新)안보’쪽으로 확 되고 있다. 최근 사이버공격으로 그루지

야와 에스토니아의 국가전산망의 마비사태에서와 같이, 그 실체가 밝혀지지 않은 개인

또는 외부 조직으로부터의 국가 주요기반시설에 한 해킹침투가 지속적으로 증가하고

있는 가운데, 국가전산망에 한 악성코드 유포 등 국내외 해커조직들로부터의 사이버

공격이 새로운 국가안보의 위협요소로 두되고 있지만 아직도 우리나라의 국가사이버

주요국의사이버안전관련법∙

조직체계비교및발전방안연구

이연수, 이수연, 윤석구, 전재성

Ⅰ. 서 론

Ⅱ. 이론적 배경

1. 국가정보의 개념

2. 사이버안전

3. 국가정보의 보호 상

Ⅲ. 변화하는 안보환경 분석과정보보호정책

1. 변화하는 안보환경 분석

2. 우리나라의 정보보안정책

3. 주요국의 정보보안 정책

4. 시사점

Ⅳ. 국내외 사이버안전 법체계 비교

1. 국내외 사이버안전 유사법률 비교

2. 국내외 사이버안전관련 양형비교

3. 국가사이버안전관리유사기관비교

V. 사이버안전업무 발전방안

VI. 결 론

【 차 례 】

국문요약

안전체계는 부실한 실정으로, 미비한 법 제도적 장치로 인해 급속한 정보화 발전에 비

해 정보보안의 발전은 한계를 드러내고 있어 이를 극복하기 위한 책마련이 시급하다.

이에 본 논문에서는 국가정보와 사이버안전에 한 개념을 정립하고, 2003. 1.25 인터

넷 란을 계기로 국가안보차원에서 탄생된 국가정보원의 국가사이버안전센터와 한국

정보보호진흥원의 인터넷침해사고 응지원센터, 국군기무사의 국방정보전 응센터 등

우리나라의 국가사이버안전기관의 설립 배경과 활동내역을 고찰하고 민∙관∙군의 사

이버안전정책을 국가전산망 안전 확보를 위한 예방활동 역과 각종 위협적인 요소를

적발하는 탐지활동 역, 그리고 침해당한 전산망에 해 긴급 복구를 지원하는 응∙

복구활동 역 등 크게 3가지로 구분하여 사이버 안전업무 현황을 살펴보았다. 또한 미

국, 국, EU 등 주요 7개국의 법제도를 비교하여 국내 사이버안전정책의 문제점을 분

석, 이에 한 해결방안을 도출코자 하 는바, 우선 법률의 재정비를 통해서 국가사이

버안전센터 등 관련기관들의 설립근거를 확보하고, 각종 법률에 분산된 정보보호관련

법규정을단일법으로제정하며사이버범죄의재발방지를위해범죄자에 한가중처

벌 및 국가정보기반시설 피해로 인한 긴급 상황 발생시 즉각 투입할 수 있는 사이버안

전 전문인력(일명 사이버전사)의 양성제도의 도입을 비롯, 선진국 수준의 정보보호 예산

확보등국가가지향하는미래유비쿼터스사회의도래에 비한실질적인정책적과제

를제시하 다.

국가사이버안전정책, 정보보안정책, 정보보호제도, 사이버안전

발전방안

36 국가정보연구 제1권 2호

주제어

Ⅰ. 서 론

유비쿼터스의 도래는 네트워크가 RFID, 스마트카드 등이 내재된 사물로

까지 확장되는 환경 조성을 의미하며 이는 Malware∙스파이웨어∙봇넷

(Botnet) 등을 이용한 공격이나 모바일 스팸 등의 신종 유비쿼터스 범죄가

등장할우려를낳고있다. 네트워크인프라망이광 역화와융합화등을통

해진화하는유비쿼터스사회에서는진화된네트워크를이용하여지능화된

서비스제공이가능함을의미한다. 이러한발전된기술을통해세계각국에

서 발생되고 있는 사이버 테러나 사이버 전쟁은 더 이상 가상적 상황이 아

닌현실적이며실체적인안보상황으로다가온것이다.

급속한과학기술의발전과정보화에따라국제안보환경이새롭게변화하

면서 전 세계적으로 정보전쟁 또는 사이버전쟁의 위협이 크게 증가되고 있

는 가운데, 기존의 군사작전은 물론 첨단무기 및 적 세력에 관한 첩보, 국

력의근간이되는경제활동, 정부의주요활동시스템등국가의안보역량을

결정짓는 요소들은 적 적 공격이나 우발적 침입의 위협에 항상 노출되어

있다.

새로운 사이버안보의 중요성이 부각되고 있는 가운데, 현재 국내에서는

이에 한기본적인개념정립및법∙제도적인측면에 한구체적인연구

가 미흡한 실정이며 이러한 일련의 사태를 직면할 때 또 다른 인터넷 강국

‘ 한민국’을 돌아보지 않을 수 없다. 우리나라는 기업의 인터넷 활용에서

는세계1위, 초고속인터넷가입자2위, 전자정부준비도5위등인터넷강국

으로서 최근에는 가정까지 100Mbps광랜이 확산되어 정보의 전송이 너무

도 빨라서 이를 이용한 사이버 위협도 급격히 늘어나고 있는 등 잘 발달된

우리나라인터넷인프라가사이버테러에는매우취약한실정에있다.

최근 외국해커들에 의해 청와 를 비롯하여 정부기관을 상으로 한 해

킹시도 등 일련의 사태가 보여주듯이 2004년 외국으로부터 조직적인 국내

37주요국의사이버안전관련법∙조직체계비교및발전방안연구 ▷▷이연수,이수연,윤석구,전재성

주요기관의 정보통신망에 한 해킹 실체가 밝혀진 이후, 아직도 지속적으

로국가기관의네트워크등주요기반시설에 한해킹침투가줄어들지않

고오히려증가하고있어 책마련이시급한과제이다. 특히1∙25 인터넷

란으로 전국이 혼란을 겪은 이래 더욱더 심하게 전개되는 해외로부터의

사이버공격은새로운국가안보의위협요소로 두되어정부차원에서‘국가

사이버안전관리규정’을제정하여각종사이버위협에 비하고있지만아직

까지도우리에게는이러한사이버위협으로부터국가안위를보장하기위한

법∙제도적장치는매우미흡한실정에있다.

또한냉전체제의붕괴와남북관계의변화, 국가간치열한기술경쟁등변

화된 환경에 따라 국가안보의 포커스도 기술 및 사이버 보안 등‘신(新)안

보’쪽으로확 되고있는등안보개념도점차바뀌어가고있다. 외국의해

커들이 우리의 정보를 빼내가기 위해 수시로 국가기관이나 기업전산망을

침투 상으로노리고있는가운데, 우리가개발한첨단과학기술이외국에

고스란히 넘어가는 상황이 지금 이 시간에도 진행될 수 있다는 점에서 그

심각성과우려는시간이갈수록더욱심화되고있다.

이에본논문에서는국가안보요소로등장한각종정보, 즉국가기 정보

를 포함한 국가정보와 사이버안전에 한 개념 정립과 함께 국가안보와 관

련된 우리의 헌법과 법률을 고찰해 보고 1.25 인터넷 란을 계기로 2004년

정부가국가안보차원에서설립한국가정보원의‘국가사이버안전센터’와한

국정보보호진흥원의‘인터넷침해사고 응지원센터’, 국군기무사의‘국방정

보전 응센터’등민∙관∙군의국가사이버안전관리체계와그동안의활동

내용을 살펴보았다. 특히 미국, 국, 독일, 일본 등 외국의 법 제도와 체계

를비교하여문제점을분석하고개선점을도출한결과, 가장시급한것으로

법 제도적 개선을 들었다. 지금까지는 사이버안전활동이 법률에 의하지 아

니하고 통령훈령, 규정, 지침등으로이루어지고있어서의무사항준수및

처벌등이곤란하여적극적인활동을기 할수없음을알수있었다.


따라서 국가사이버안전활동을 새롭게 법률로 제정함은 물론, 기존의 분

산된관련법률을통합하는법률개정작업과함께외국에비해턱없이부족

한정보보안예산을 폭확 함과동시에사이버안전활동에필요한전문인

력을 양성하는 새로운 교육제도 도입 등의 제도적 보완도 선결과제로 두

되고 있는 바, 이는 우리나라가 추구하는 미래 유비쿼터스사회를 준비하기

위한기반조성을위해서도해결해야할필수정책과제이기도하다.

II. 이론적 배경

1. 국가정보의개념

국가정보에 관한 이론적 기반은 그동안 미국에서 가장 많이 연구되어 왔

기 때문에 주로 미국의 자료를 근거로 살펴보기로 한다. 고전적 저서인 셔

먼켄트(Sherman Kent)의「미국의 세계정책을 위한 전략정보」(Strategic

Intelligence for American World Policy)에 따르면 정보(intelligence)란

지식 또는 첩보(information), 활동(activities)및 조직(organizations)을 포

괄하는 개념이라고 할 수 있다. 다시 말해서 국가정보는 일종의 지식이며

그러한 지식을 입수하는 행위(또는 상 방의 입수행위를 저지하는 것), 그

리고입수또는저지기능을수행하는조직등을지칭1)한다. 또한단순한지

식의 차원을 넘어 활동과 조직을 포괄하는 개념으로 지식, 활동, 조직 등이

상호 유기적으로 관련되는데 단순한 정보를 가공, 재생산한 지식과 그것을

생산하기 위한 국가적 조직, 그리고 활동을 포괄한다.2) 활동에서의 정보에


1) Abram N. Shulsky,『Silent Warfare : Understanding the World of Intelligence』

(Virginia:Brassey’s, Inc, 1991), pp.1-3.

2) 전웅, “국가정보와안보정책”『한국국제정치학회』, 1997.

는 정보의 생산 활동과 함께 방첩활동이 포함되고 방첩활동에는 각종 위해

요소로부터 비 을 유지하기 위한 보안활동도 포함된다. 법률적 측면에서

보면 미국정부는 1947년「국가보안법」을 제정, 전략정보국을 중앙정보부로

개편하면서 정보공동체의 조직과 기능을 법제화하 고 1993년 미연방 의회

는「정보활동승인법」을개정, 정보의개념을포함시켰는데여기에서도“정보

는 국외정보와 방첩을 포함한다.”고 규정하 다. 특히 2004년에 제정된「정

보개혁및테러방지법」은 국가안보와 관련된 정보는 출처와 상관없이 미국내

외에서수집된첩보를포함, ①미국의 통령이발령한지침에부합된것으

로1개이상의미연방정부기관이보유한것, ②미국이나미국의시민, 재산,

이익에 한위협및 량살상무기의개발, 확산, 이용뿐만아니라미국의국

가보안과국토안보에관한기타사항을망라한‘정보’라고규정하 다.

또한국가의지식자산은지식과정보의창출, 확산, 활용등이경제, 사회

활동의 핵심이 되는 지식 기반 사회의 무형자산(OECD는 국가 지식자산을

인적자원, 시스템과 프로세스, 지식 환경으로 구분, 구체적인 측정 상을

설정)으로서중요한정보자산이며, 지식환경역시지식창조자와사용자사

이의 커뮤니케이션 체계를 의미하므로 국가의 교육 및 정보 유통 네트워크

등도이에해당된다. 즉광의의국가지식자산은정보를창출, 확산, 활용하

는 일련의 프로세스와 관련된 다양한 무형자산을 포함하고 있으나 핵심은

국가가생산, 유통하고있는지식컨텐츠라고말할수있다.4) 이러한무형의

지식 컨텐츠에서 그 개념을 확장, 국가정보의 개념을 도출하면 우선, 국가

정보란 국가정책 및 국가안보와 관련, 국가정보기관이 작성한 종합적인 정

보로써 국가 정책결정에 관여하며 통령을 중심으로 한 국가 최고운 자

가사용하는정보를의미5)한다. 게다가정보화시 의도래로인해컴퓨터와


3) 김윤덕, 『국가정보학』박 사, 2001, pp.9-11

4) 조재인, “지식정보자원 보존 체계에 관한 연구.”『한국도서관∙정보학회지(제35권 제4

호)』, 2004.

5) 김윤덕, 상게서.

네트워크에관련된비 첩보수집및보안 책강구등을내용으로하는사

이버정보도새로운정보요소로지목받고있을뿐만아니라6) 1986년시행된

「전산망 보급 확장과 이용 촉진에 관한 법률」에 의해 경제∙사회∙국방∙

외교∙문화등사회모든분야가전산화되어국가정책수립등의활동이이

를통해이루어지므로국가정보개념을확 해석하는것이당연하다.

아울러물질적인자원외에도기업의기술특허및 업비 등과같은산

업기술은 국가경쟁력 강화의 초석이 될 수 있는 국가 핵심정보로서 해외로

유출될경우국가안보와국가경제에심각한 향을줄수있기때문에지식

자산을 국가정보의 개념에 포함할 수 있으며 인터넷으로 행정서비스가 이

루어지는실정에서국가정보통신망을통해소통되는모든제반활동의결과

물과 이를 통해 수집∙가공∙분석되는 모든 정보를 국가정보로 보고 이러

한 관점으로 관련 법률과 규정에서 지칭하는 국가정보의 개념을 이해하여

야한다.

구체적으로 우리나라의 법령을 살펴보면 우선, 「전기통신기본법」제2조

의제2호(정보통신망 정의7))를 참조할 수 있으며, 2004년「산업기술의유출

방지및보호지원에관한법률안」발의문에서‘국가안보에 직접 향을 미치는

국가핵심기술의 해외유출을 규제하고, 산업기술의 유출을 방지하기 위한

보안의식 확산 및 제도적 기반구축을 통해 국내 핵심기술 보호는 물론, 과

학∙산업기술인 및 연구 개발자를 보호, 국가산업경쟁력을 강화하고 국가

안보와 국민경제의 안정을 보장하기 위한 것’이라고 밝힌 로‘국가안보

에직접 향을주는국가핵심기술’등은국가정보로구분해야할것이다.


6) 국가정보포럼. 『국가정보학』, 서울:박 사, 2006, p.16.

7) “정보통신망”이라함은전기통신설비를활용하거나전기통신설비와컴퓨터및컴퓨터의

이용기술을 활용하여 정보를 수집∙가공∙저장∙검색∙송신 또는 수신하는 정보통신

체제를말한다.

2. 사이버안전

그동안 국가정보를 보호하기 위한 보안활동은 크게 물리적 보안과 사이

버보안으로 구분되어 왔는 바, 우리는 흔히 통신보안, 정보통신보안, 전산

보안, 정보보안, 사이버보안, 컴퓨터보안, 네트워크보안 등의 용어를 사용

하여 왔지만 이러한 용어의 변천과정은 IT기술의 발전과정과 접히 연관

되어 있다. 국의 IT평가기관인 통신전자보안단(CESG :

Communication-Electronic Security Group)과 美 국가보안국 (NSA :

National Security Agency)에서는 이미 오래전부터 이러한 용어를 공식적

으로사용해왔으며일반화한것으로서시 변천에따라그보호 상과의

미가변화되어왔다.

통신보안(Communication Security)이란, ‘60�’80년 중반 전화∙

FAX∙전신 등 유∙무선 통신망으로 소통되는 내용을 보호하기 위한 책

을의미하 다. 이시기는컴퓨터통신이사용되지않았으며통신보안을위

해 주로 암호기술이 사용되었다. 이후, ‘80�’90년 중반 정부가 국가 공

공기관들에 컴퓨터를 보급하고 국가 기간전산망을 구축, 공공기관 내부 전

산망에 한보안의필요성이 두되면서전산보안(Computer Security)이

등장하 다. 즉전산보안은주전산기(PC포함)와전산망에서기 정보의저

장∙가공∙소통 중에 훼손∙변조∙유출 등을 방지하기 위한 보안 책으로

사용되었는데, 당시에는 인터넷의 보급이 활성화하지 않아 각급 기관의 주

전산기또는PC에 한비(非)인간자접근차단및전산망에 한보호가주

된 보안활동이었다. 인터넷 보급이 활성화되던 1995년부터 2003년까지 정

보화가 급속히 진전되자 주로 해킹, 웜∙바이러스 등 역기능이 나타나고

유∙무선도청문제가제기되면서통신보안과전자파보안을포괄하는개념8)

으로 정보보안(Information Security)이라는 용어가 출현하 다. 그러다가


8) 출처: CESG Computer Security Memorandum No.1 (1993.11)

2003년 1.25 인터넷 란으로 인해 국가 정보기반시설에 한 국가안보차

원의 응체계 구축 필요성이 제기되어 정부는 국가정보원을 주축으로 국

가안전보장회의(NSC) 사무처(舊) 및국방부, 정보통신부(舊) 등관련기관들

이참여하여「국가사이버테러 응체계구축기본계획」을마련하게되었고

통령께보고하는과정에서당시노무현 통령은‘보안’이라는용어보다

‘안전’이라는 용어가 적합하다고 지시, ‘사이버안전(Cyber Security)’이라

는용어가최초로등장하면서이를근거로「국가사이버안전센터」가설립되

는 등 보안이라는 용어 신 포괄적인 개념이 적용된‘안전’이라는 용어가

보편화되기시작하 다.9)

사이버안전은 주로 국가기간전산망과 이를 운용하는 시스템을 상으로

국가기 은물론, 주요자료보호활동과해킹, 웜∙바이러스등에따른방어

업무를포함, 정보보안을확 한개념이며국가의각종재난 책과함께사

이버안전분야에서의 공공(국가정보원), 군(국방부), 민간(한국정보보호진흥

원) 분야별 응체계로 이루어진 하나의 국가 위기관리체계로서 사이버공

간의위협에 한 응활동이국가안보차원에서다루어지고있다.

3. 국가정보의보호 상

가. 국가기 과비 10)

이론적으로 국가기 은 비 을 포함하는 광의의 개념으로 법규와 판례


9) 당시 새로 출범한 참여정부에서는 국가정보원이 과거 냉전체제하의 정보활동원칙에서

산업보안, 테러, 국제범죄, 사이버테러등신안보위협에 한정보활동으로집중, 국

민들로부터신뢰받는정보기관으로쇄신해줄것을요구(노 통령도“보안”이라는용어

가국민들에게일부부정적으로인식될수있다는점을우려함과동시, 사이버보안업무

는비 에관한보안업무외에도비 은아니라할지라도국가가보호해야할중요한정

보가 소통 저장 되는 네트워크상에서의 보안활동 역을 구분하기가 애매하여 좀 더 포

괄적인사전적의미의“안전”이라는용어를선택한것으로사료)

10) 서원경, “우리나라의비 기록관리현황에관한연구”『한국기록관리학회지』, 2006

등에서 개념이 정립되어 있는데, 「국가정보원법」제13조 제4항에“국가의

안전에 한 중 한 불이익을 회피하기 위해 한정된 인원에게만 지득이 허

용되고 다른 국가 또는 집단에 하여 비 로 할 사실, 물건 또는 지식으로

국가기 로 분류된 사항”이라고 규정하고 있으며「보안업무규정」에는 그

내용이 누설될 경우 국가안전보장에 유해로운 결과를 초래할 우려가 있는

것”을 국가기 로 정의하고 있다.11) 따라서 국가기 이라 함은 공지의 사실

이아닌것(비공지성)으로서적국을포함한외국에누설되는경우국가안보

및국익에명백한불이익을초래할가능성이있는것(실질비성)이면비 이

건 외비 이건 그 형식 여하에 불구하고 모두 이에 해당한다고 볼 수 있

다.12)

비 의개념은이해관계적차원의문제이지, 절 적실체는아니다.13) 즉

시간의 변화, 환경의 변화, 이해관계에 따라 비 의 정의와 범위가 달라질

수있기때문에비 보호의 상과범위도국가의관심과입장에따라달라

서 각국의 정부는 모두 비 관리체제를 유지하고는 있으나 정도에 있어서

는 조금씩 차이를 보이고 있다. 우리나라의 현행 법령상으로 불 때 국가의

비 과 기 에 해서는「군사기 보호법」과「보안업무규정」에서 각각‘비

’에 한법령상의정의를내리고있다.

「군사기 보호법」(1972.12.26제정, 법률 제2387호)’에서의‘군사기 ’이

라함은“일반인에게알려지지않는것으로서누설될경우국가안보에명백

한 위험을 초래할 우려가 있는 군 관련 문서∙도화∙전자기록 등 특수매체

기록 또는 물건이며 군사기 이라는 뜻이 표시 또는 고지되거나 보호에 필

요한 조치가 행하여진 것과 그 내용”을 말한다. 이러한 군사기 은 국가안


11) 보안업무규정( 통령령제10478호, 1981.10.7) 제2조1호참조.

12) 민병설, “산업보안체계의정립에관한연구”『경희 학교 학원, 박사학위논문』, 2002,

p.28.

13) 『세계일보』, 2004.5.31.

보에미치는 향의정도에따라Ⅰ급, Ⅱ급, Ⅲ급비 로등급을구분한다.

「국가보안법」제4조 제1항 제2호 (나)목에 정해진 기 은 정치∙경제∙사

회∙문화 등 각 방면에 관하여 반국가단체에 해 비 로 하거나 확인되지

아니함이 한민국의이익이되는모든사실, 물건또는지식으로서그것들

이국내에서의적법한절차등을거쳐이미일반인에게널리알려진공지의

사실, 물건 또는 지식에 속하지 아니한 것이어야 하고 또 그 내용이 누설되

는경우국가의안전에위험을초래할우려가있어기 로보호할실질적인

가치를갖춘것이어야한다.14)고규정되어있다.

「보안업무규정( 통령령 제1664호로 1964.3.10제정)」은 비 을“그 내용

이 누설되는 경우 국가안보에 유해한 결과를 초래할 우려가 있는 국가기

로서 통령령에 의해 비 로 분류된 것”이라고 말하며 동 규정 제4조에서

는 그 중요성과 가치의 정도에 따라 이를 Ⅰ급, Ⅱ급, Ⅲ급 비 로 구분하

여, 1급비 은“누설되는경우 한민국과외교관계가단절되고전쟁을유

발하며, 국가의 방위계획∙정보활동 및 국가방위상 필요불가결한 과학과

기술의개발을위태롭게하는등의우려가있는사항”, Ⅱ급비 은“누설되

는 경우 국가안전보장에 막 한 지장을 초래할 우려가 있는 사항”, Ⅲ급 비

은“누설시국가안전보장에손해를끼칠우려가있는사항”으로각각규

정하고있다.15)

따라서 기 이란 여러 판례16)에서도 알 수 있듯이 비 의 포괄적 상으

로 군사∙외교 관계에서 국가안보와 관련된 조직체의 중요한 비 이라 지


14) 법원1997. 7. 16. 선고97도985 전원합의체판결, 2000. 10. 6. 선고2000도2965 판

결등참조.

15) 이러한비 지정에는세분류규정이있다. ‘보안업무규정시행규칙’제8조에의하면국

가정보원장은 기본 분류지침에 따라 각 중앙국가기관의 장이 제출하는 자료에 의하여

비 세부분류지침을 작성하여 국가기관 기타 관계기관에 배부하도록 하고 있다. 또한

중앙국가기관의장은비 세부분류지침을새로이작성하거나변경할필요가있다고인

정할때에는그자료를국정원장에게제출하여야해야한다.

16) 법원2003.06.24 선고2000도5442 판결.

칭할수있으며법률에서정한 로비 로지정된기록은물론, 국가기록원

의 경우처럼“각급기관이 생산한 문서∙ 장∙카드∙도면∙시청각물∙전

자문서중비 로분류된기록물( 외비포함)”17)을말하며「보안업무시행규

칙」제7조도 외비또는‘직무수행상특별히보호’를요하는사항도‘비

에 준하여 보관 한다’라고 명시하고 있어 비 은 아니나 비 에 준하여 관

리하도록하고있다.

나. 산업기술

산업기술이란용어가실무적으로활용되기시작한것은냉전체제가붕괴

되고 국가간에‘자국 이익 보호주의’가 팽배하면서부터 과거 군사ㆍ외교

위주에서 국가 경제발전을 위한 정보와 기술을 수집하는 활동으로 국가정

보활동이 전환되었고 이에 맞서 선진국을 필두로 보안 책을 강구하게 되

면서 이 과정에서 민간 기업을 비롯한 연구소 등의 국제 경쟁력을 갖춘 기

술과 산업정보를 국가가 국가안보는 물론 국익보호 차원에서 보호해야 할

필요성이 두되어보호의 상으로서의“산업기술”과이를보호하기위한

활동의 일환으로“산업보안”이라는 용어와 함께 본격적으로 사용되었다.18)

산업기술은 5가지로 분리되는 바, 국가정보의 요소별 기준에 따르면 정치,

경제, 군사, 과학∙기술, 사회정보 중에서 경제정보와 과학∙기술정보19)로

서 기업이 기 로 취급하는 기술과 경 정보를 총칭하는 것을 의미한다.20)

또한 국가나 기업이 보호할 가치가 있는 기술을 스파이나 경쟁회사로부터

의침해또는무관한자에게누설되지않게보호해야하는실질적인기술로

서공공연하게알려져있지않고독립된경제적가치를가지는것으로상당


17) 국가기록원, 「비 기록물의 보존관리지침(2002. 5)」, 국가기록원 홈페이지

<http://www.archives.go.kr> 참조.

18) 민병설, 상게서, p.16 참조.

19) 국가정보포럼, 『국가정보학』, 서울:박 사, 2006, p.15.

20) 민병설, 상게서, p.23.

한 노력에 의하여 비 로 유지된 유무형의 기술정보로서 그 종류는 업비

과국가핵심기술, 전략물자와전략기술등이있다. 특히이러한산업기술

은 컴퓨터와 인터넷 기술의 발달로 인하여 산업기술정보의 절취가 매우 용

이해 졌다는 점이다. 과거에는 트럭을 동원해야 옮길 수 있었던 방 한 정

보자료(Data)를 이제는 CD 몇 장에 담아 옮길 수 있게 되었고 인터넷을 통

하여수시로즉시취득이가능하는등시공간을초월하여언제어디서든지

쉽게 빼낼 수 있다는데 해서 경쟁 국가나 기업, 개인에 이르기까지 그 유

혹을느끼지않을수없다는것이다.21)

다. 국가보안목표시설

9∙11 테러이후세계각국에서는‘포괄적안보’개념의정립및국민의안

전욕구 증 로 위기관리에 한 국가의 책임이 점차 확 되어 환경ㆍ에너

지ㆍ금융ㆍ물류ㆍ교통ㆍ정보통신 등 국가안보와 직결되는 국가 핵심기반

시설에 한보호를국민의생명과삶에직결되는문제로인식하여더욱강

화하고있는추세이다. 이러한국가핵심기반시설의항공사진및주소∙위

치정보 등의 노출은 국가안보에 치명적일 수 있어서 비공개를 원칙으로 하

고「국가보안목표관리지침」에 의해 보안목표시설로 지정, 관리 감독을 통

하여보호함으로써국가의안위를보장토록하고있다. 특히이러한시설들

은 인터넷은 물론 국가정보통신망에 의해 운용 관리되고 있기 때문에 관련

네트워크를비롯한컨텐츠는국가안보와직접적으로연관성을갖게되므로

중요한보호의 상에포함된다. 따라서우리나라는「보안업무규정」제36조

및 시행규칙 제59조(보안측정 상)에 의거‘국가보안목표’를 공공분야와

민간분야로지정관리하고있다.


21) 염돈재, “각국 정보수사기관의 산업기술 보호활동에 관한 비교 연구”『한국국가정보학

회∙국가정보 학원주최, 2008년도국가정보학술회의“ 로벌정보환경변화와국가

정보의새로운모색”논문집』, 2008년8월, p.37.

라. 정보통신기반시설

정보통신기반시설은「정보통신기반보호법」에 의하여 지정, 정부가 보호

관리하고 있는 시설로서 동(同) 법에 의하면 전자적 침해행위에 비하여

주요정보통신기반시설의보호에관한 책을수립시행함으로써동(同) 시

설을 안정적으로 운 하여 국가와 국민생활의 안정을 보장하는 것을 목적

으로하고있다. 특히국가기반구조를연결하고각정보시스템에 향을주

는 정보통신기반구조의 침해사고는 국가전반의 장애를 초래할 수 있기 때

문에중요한정보시스템및정보통신망을주요정보통신기반시설로지정하

여취약점분석ㆍ평가, 보호계획수립등조치로각종침해사고를사전에예

방하고 유사시 적절히 응, 복구할 수 있는 토 를 마련하는 것이다. 우리

나라의정보통신기반시설은주로도로, 지하철, 공항시설, 전력, 가스, 석유

등 에너지, 수자원시설, 국가지도통신망시설, 원자력, 국방과학, 첨단방위


[표1] 국가보안목표시설의분류및내용

분 류 주 요 내 용

1. 정부투자기관 주요국가기관, 지방자치단체및공공의안전과관련된기관

2. 산업시설 중화학∙방위산업, 규모가스∙유류저장시설등

3. 전력시설 원자력발전소, 용량발전소및변전소등

4. 방송시설 전국및지역권방송국, 송신∙중계소등

5. 통신시설 국제위성기지국, 해저통신중계국, 안보통신전화국등

6. 교통시설 항공관제소및지하철사령실, 교량∙터널등

7. 항만시설 국제공항및주요국내공항과 형선박의출입항이가능한시설

8. 수리시설 형취수∙정수시설및다목점댐등

9. 과학연구시설 핵연료개발, 항공우주∙전자통신∙생화학연구등

10. 교정∙수용시설 교정∙정착지원시설, 불법입국외국인수용시설

11. 공동시설 주요전력∙통신∙상수도등을수용하고있는 도시지하공동구

12. 항만설비 형항공기및선박

13. 기타시설 기타국가안보상중요한시설및장비

산업관련정부출연연구기관연구시설들로2007. 12월현재총101개가지

정22) 되어있다.

마. 국가주요정보통신망

「전자정부법(일부개정 2008.2.29)」제2조 7에 의하면“정보통신망”이라

함은「전기통신기본법」제2조제2호의규정에의한전기통신설비와컴퓨터

및 컴퓨터의 이용기술을 활용하여 정보를 수집∙가공∙저장∙검색∙송신

또는 수신하는 정보통신체제를 지칭한다. 현재 우리나라 국가 인터넷망은

KT∙LG데이콤 등 형 인터넷사업자(이하 ISP로 통칭)가 光케이블 등 기

반시설을 구축∙운 하며, 일부시설은 중∙소형 ISP에서 임 하여 사용하

고 있고 형 ISP는 ISP간 효율적 통신을 위한 인터넷교환기와 국가간 접

속을 위한 국제관문국을 운 하고 있다. 우리나라와 외국간의 인터넷은

KT∙LG데이콤∙SK브로드밴드3개사에서운용중인국제관문국을거쳐서

부산∙거제 등 10개의 해저 광케이블을 통해 전세계 인터넷과 연결되며 그

중 우리나라 국가∙공공기관에서 사용하는 주요 전용 전산망은 크게 행정

안전부가주관하는‘전자정부통합망’, ‘전자정부통신망’과교육과학기술부

가주관하는‘초고속연구망’등으로구분할수있다.

전자정부통합망은 행정안전부가 중앙부처, 지방자치단체, 입법∙사법부

및 헌법기관 상으로 정보통신서비스를 하기 위해 운용하는 국가기관 전

용망으로행정기관간정보유통과 국민민원서비스지원을위해정부고속


합 계 정보통신 금 융 에너지 건설∙교통 사회복지 기 타

101

인터넷

접속망등

인터넷

뱅킹시스템등

급전자동화

시스템등

공항운 정보

시스템등

건강보험공단

정보시스템등

광역외교망

선거시스템등

34 52 3 5 4 3

[표2] 분야별주요정보통신기반시설지정현황(2007.12월현재)

22) 국가정보원∙정보통신부,『2007 국가정보보호백서』, 2007.4. , pp.111-112.

망∙지방행정정보망∙전국행정전화 단일망 등 3 정보통신망을 통합한

망을 지칭한다. 이 망은 중앙∙별관∙과천∙ 전 등 4개의 정부청사 인터

넷접전구간을통해중앙행정부처외에16개지자체와230여개시∙군∙구

에서 사용하고 있으며 전자정부통합망에서 각종 전자정부서비스를 제공하

고있는각기관별, 사용자유형별맞춤형위협정보를제공하고전자정부통

합망내∙외부위협요인에 한종합적분석및 응체계수립을위해정부

보안정보공유분석센터(GISAC: Government Information Sharing &

Analysis Center)가 구축되어‘ 전정부통합전산센터’에서 업무를 수행하

고있다.

전자정부통신망은정부혁신지방분권위전자정부로드맵(‘03.8)에따라행

정안전부 정부통합전산센터에서 고품질 정보통신서비스를 저렴하게 이용

하기 위해 KT∙LG데이콤∙SK 브로드밴드 3개 사업자의 시설을 활용, 구

성한 통신망으로서 국가기관을 비롯, 국가기관이 승인한 공공기관 및 민간

기업과 중앙행정기관 홈페이지∙DB 서버 등의 국민서비스 전산망을

상으로운용(運用)하는통신망이다. 이망은정부전산체계의효율적인관리

를위해각부처정보시스템을정부통합전산센터에서통합관리하고있는데

2005. 10월 설립된 제1센터( 전)와 2008. 1월 개소한 제2센터(광주) 등에

서운용하고있다.23)

초고속연구망(과학기술연구망 : KREONET : Korea Research

Environment Open NETwork)은 1988년부터 과학기술부(MOST)가 지원

하고한국과학기술정보연구원이관리∙운 하는국가R&D 망으로서산∙

학∙연 등 약 200여 기관의 주요 연구개발기관을 상으로 다양한 과학기

술 정보자원, 슈퍼컴퓨팅, GRID, e-Science 응용분야 등의 연구자원을 제

공하기 위한 고성능 네트워크 인프라를 지칭하며 중요한 정보통신기반 인


23) 제2정부통합전산센터이전, 정통부미래정보전략본부, ‘07.06

(http://epic.kdi.re.kr/epic_attach/2007/R0706096.hwp)

프라역할을수행하고있다. 현재는교육과학기술부에서비 리연구및개

발에 관련한 국내외 상호정보교환, 자원의 공동 활용을 목적으로 초고속연

구망을운용하고있는데경북 , 광주과기원, 제주 학교등을포함하여전

국적으로14개지역15개지역망센터(GigaPoP24))로구성되어있다. 이망은

주로 연구개발 및 교육을 목적으로 하며 국내의 정부출연연구소, 교육기관

및 망에서 인정하는 교육∙과학∙기술분야 공공기관과 산업체연구소 및

학∙협회 등 161개 기관이 사용하고 있다. 그 외에도 금융결제원(금융

ISAC25))과 코스콤(증권ISAC26))에서 데이콤, KT 등 민간ISP로부터 할당받

아인터넷뱅킹업무를수행하는전용망이있으며, 은행공동망과같이그기

관의 수행업무 특성에 따라 각각 별도의 내부망이 사용되고 있다. 예를 들

면, 국방 분야의 경우, 자원관리망과 C4I망, 항공관제데이터망

(MCRC:Master Command Reporting Center), 해군전술망

(KNTDS:Korean Navy Tactical Display System), 합동전술망

(KJCCS:Korea Joint Command Control System) 등을 포괄하는 전술망

이 있으며 외교부의 외교통신망, 경찰과 검찰의 공안망 등이 이에 속한다.

이러한 내부망은 외부 인터넷과는 분리되어 자체 기관에서 특정 업무의 보

안을유지하기위해별도로구성하여사용하고있다.


24) GigaPoP(Gigabit Point of Presence) : 초고속가입자의 효율적인 수용과 통신망간의

연동기능을강화한초고속정보통신망의기본구조.

25) 금융정보공유분석센터(금융ISAC) 홈페이지(http://www.kfisac.or.kr)참조.

26) 증권정보공유분석센터(증권ISAC) 홈페이지(http://www.koscomisac.co.kr)참조.

III. 변화하는 안보환경 분석 및 정보보호정책

1. 변화하는안보환경분석

21세기 지구정치에서 폭력은 새로운 양상으로 전개되고 있다. 하나의 정

치집단이가질수있는폭력의양이비약적으로발전하 기때문이다. 과거

16세기 유럽에서는 토국가의 토범위를 60일간 이동할 수 있는 포의

이동거리로 규정하기도 하 다. 또한 포의 사거리가 사수 가능한 토범

위를 나타냄으로써 정치집단의 정치 행정적 범위를 규정하 다. 그러나 21

세기의 폭력은 전 지구를 그 상으로 하기 때문에 지구정치의 기본 단위,

그리고 조직원리가 바뀌어 가는 것이다. 과거의 테러가 요인암살, 주요 시

설물 파괴, 소규모의 민간인 살해에 그쳤다면, 이제는 수십만의 인명을 살

상할 수 있고 이로 인해 한 정치집단의 존립자체가 위협 받을 수 있는 량

살상무기테러가가능해진것이다. 또한과거전통적인안보개념이21세기

들어서국가간의무력충돌보다는비정부조직, 단체의이해득실을위한충

돌, 즉테러가중요한안보이슈로종종등장하고있는등현안보환경은잠

재적인 위협의 출처와 목표가 확산되고 다양화되고 있다는 점이 과거보다

훨씬 변화 무쌍히 전개되고 있어 국가차원의 위협요소가 상존할 뿐만 아니

라비국가(non-state actors)차원의위해주체등도많이존재하고있다.

최근의가장위험한비국가주체로는이념적극단주의를추구하는‘알카

에다’와 그 활동세력 등을 정당한 테러 상으로 볼 수 있으며 안보위협 가

능성이 가장 많이 제기되고 있고 간첩활동 역시, 냉전 이후 지속적으로 진

화하여 이제는 국가 국가의 전통적인 첩보활동 외에도 비국가 주체에 의

한 첩보활동이 더욱 부각되고 있어서 오히려 정부 보호 하에 있는 정보와

자산의전략적가치는상실되어가고있다.


특히 이들은 우리사회가 인터넷 등의 IT시스템에 한 의존도가 나날이

증가되고 있는 것을 이용, 이른바 뉴미디어를 이용한 선전, 선동 등의 사이

버활동을 강화하고 있으며 비단 이 분야뿐만 아니라 해커, 범죄 집단 및 여

러 외국단체(정부 및 민간)에 의해 경제적 이득 획득, 시스템 손상유발, 민

감 정보 탈취 등의 악의적 사이버테러 활동도 심화되고 있다. 이러한 테러

주체들은 정부기관만이 아니라 민간기업 등도 공격 상 목표로 삼고 있어

서고도의해킹기술과위장프로그램등을사용하여비 등국가정보는물

론, 사업전략, 지적재산권, 고객정보, 기업정보 등 상업적으로 중요한 정보

가탈취당할수있어적절한보안 책이강구되어야한다. 따라서현(現) 안

보환경의 핵심은 다양한 위해활동이 국가기관은 물론, 보안관리가 취약한

민간부문을 상으로보다많이이루어지고있으므로물리적인보안 책과

함께각종정보시스템에 한보안관리는물론, 사이버상에서도강력한보

안관리체계의구축필요성이제기되고있다.27)

게다가테러와인터넷의결합은테러집단에게많은이점을주고있다. 과

거의테러가오프라인에서의적나라한폭력, 혹은출판물등과거의매체들

을 사용한 소위 on-press 테러 다면 이제는 on-line 테러, 혹은 e-테러

리즘의모습을하고새롭게등장하고있다. 인터넷과테러의결합은오프라

인에서의 파괴행위 조장이라는 측면뿐만 아니라, 열린 마음의 공간에서의

명분과 이데올로기, 견해들의 싸움이라는 점에서 새로운 측면을 제시하기

도한다.

이러한 새로운 테러를 분석하기 위한 개념들이 다양하게 제시되고 있다,

즉 핵심적인 것들로는 사이버 전쟁, 네트전쟁, 사이버 테러리즘, 핵티비즘,

스워밍 등을 들 수 있으며 이러한 인터넷에서의 테러 사이트는 기하급수적

으로 증가하여 1998. 1월에 14개 테러조직의 16개 웹사이트가 발견되었으


27) 호주정보부장 파월(Paul, o’sullivan), 호주∙이스라엘 상공회의소 초청 연설(2008.5)

中「국제안보환경의변화동향과이에따른호주정보부역할확 」에서발췌.


구분 내 용사 례

그루지야-러사이버전으로

확전(‘08. 8)

‘남 오세티아’를 둘러싼 토분쟁으로 무력충돌이 확산되고 있는 그루지야 주요 정부 인터넷 사이트가‘러시아비즈니스 네트워크(추정지)’로부터 수차례 무차별 DDoS 공격을 당해정부기관 사이트가 초토화됨(WSJ, NYT,CSM 등서방언론보도)

중국∙ 만간해커전쟁

(‘07. 11)중국 정보기관인 국가안전부가 만 군사정보국소속첩보요원에 해공개수배령발령

뉴질랜드정부해킹피해

(‘07. 9)

뉴질랜드안보정보국(SIS)에서정부부처웹사이트들이 공격을 당하고 정보자료들이 도난,사실상중국을지목

프랑스총리실해킹피해

(‘07. 9)

프랑스정부전산망이중국해커에게공격당한흔적을확인

독일총리실, 외무부, 경제부

등전산망해킹피해(‘07. 5)

독일시사주간지슈피겔이중국해커가스파이프로그램을 이용, 정부 주요 부처 컴퓨터에 침투했다며 중국군 소속 해커에 의한 것으로파악보도

미국방부컴퓨터네트워크,

1주일넘게내부조사(‘07. 6)

국 파이낸셜타임스(FT)는 국방부 전산망이와해 일보 직전까지 갔으며 당시 국방부는 로버트게이츠(Gates) 국방장관집무실로연결되는 전산망을 차단하는 비상조치를 단행, 중국인민해방군이해킹의‘진원지’임을확인

러시아해커, 에스토니아 상

사이버테러(‘07. 6)

에스토니아수도‘탈린’에있던舊소련군동상철거되자, 통령궁, 정부부처, 정당, 금융기관등 상 규모사이버테러를감행하 는데, 2개월간행정업무마비등국가적혼란야기됨

이명박 통령방문일정제하

해킹메일(‘08. 3)

악성파일이 첨부된 이메일이“김상기”또는“박명원”이라는발신자명과“이명박방문일정’이라는 메일제목으로 공공기관에 발송, ‘ 통령출국일정’이라는제목의엑셀파일로작성된문서를첨부

한국원자력연구소와외교부등

10개기관, 국내주요언론사와

웹사이트해킹(‘04. 4)

정보유출이 가능한 악성코드를 삽입한 메일의첨부화일을통해국가전산망에침투

해

외

사

례

국

내

사

례

[표3] 주요사이버테러사례

나 이후 2005년 초에는 약 4300여개, 2006. 5월에는 4800여개로 급속하

게증가하고있는것으로검색되었다.

특히 세계 각국은 사이버전 전담부 를 창설하는 등 사이버전 수행능력

을국가및국방핵심전략으로추진하고있으며특히, 중국은인민해망군에

6천여 명 규모의 해킹조직을 운 하고 있고 미국은 2001년 이후 국방부와

주요 정부기관 웹사이트에 해커가 침입, 기 문서가 유출되는 사건이 빈발

하자 중국정부를 배후로 지목하고 사이버보안을 더욱 강화하여 최근에는

사이버전에 비한가상공격체계를수립한것으로알려졌다. 또한미공군

은2008. 10월까지4 편 로구성된사이버사령부를신설해적의통신시

스템을 교란하거나 데이터 패킷을 파괴하는 등 사이버 공격 정예부 로 양

성한다고 밝힌바 있다.28) 이는 그동안 미 정부가 사이버전 전략을 방어위주

로 일관해 온데서 선회, 이제는 선제공격을 취할 수 있음을 공개적으로 시

사한것이어서더욱주목되는부분이다. 최근언론에공개된국내외사이버

테러사례를종합해보면[표3] 주요사이버테러사례와같다.

종합적으로 볼 때, 우리나라에서도 그동안 발전된 정보인프라를 안전하

게 보호하고 국가가 지향하는 미래 유비쿼터스 사회로의 진전과정에서 제

기되는 물리적 테러위협에 못지않게 사이버안보 위협의 심각성 등 현 사

회의안보환경변화를직시하고이와관련된법률과체계정립등국가사이

버안전을위한제도정비가시급하다하겠다.


28) 『전자신문』2008.4.7,

(출처: www.etnews.co.kr/news/detail.html?id=200804070065)

2. 우리나라의정보보안정책

우리나라의 보안업무는「중앙정보부법」에 의거 1961. 6. 10일부터 중앙정

보부에서 수행되었다. 당시에는 중앙정보부의 보안업무 수행을 위한 세부

규정으로「비보호규칙(국가재건최고회의 제16호)」및「비 취급인가규칙(국

가재건최고회의제17호)」이제정되어비 문서보호및인원보안에 한보

안업무가본격적으로시작되었고, 현행보안업무는1964. 3. 10일 통령령

제1664호로 제정된「보안업무규정」및 1964. 6. 30일 통령훈령 제4호로

제정된「보안업무규정시행규칙」에의거수행되고있다.

초기 보안업무의 상은 크게 인원∙문서∙시설∙자재(통신)보안 등 4개

역이었으나 시 발전과 더불어 새로운 역이 추가되어 왔다. 즉 1968.

1. 21일 북한의 124군부 무장 게릴라 31명이 청와 를 기습할 목적으로

서울에 침투한 사건을 계기로 당시 중앙정보부는「국가보안목표시설 및 보

호장비분류기준」을 제정(68.5)하여 청와 등 국가차원에서 보호가 필요한

중요시설을‘보안목표시설’로 지정, 관리해 왔으며 1970. 3월「보안목표관

리지침」을 제정하여 체계적인 시설보호활동을 수행하여 왔다. 한편, 1969.

12월산업발전으로인한공항과항만의중요성이높아지면서「공항및항만

보안업무지침」을 제정, 공항만 보안활동도 강화하 다. 1978. 10월에는「중

요인원 보안 상자 신변보호지침」을 제정하여 뛰어난 과학기술 보유자 등

국가차원에서 신변보호가 필요한 인원들을 지정, 보호하기 시작하 으며

정부 각 부처에서 컴퓨터를 도입하면서 그동안 타자∙인쇄 등으로 생산되

던 비 이 개인용 컴퓨터로 생산, 플로피 디스크에 보관하게 되자, 1988. 8

월「전산업무 보안관리지침」을 제정, 시행하게 됨으로써 보안의 역이 물

리적보안에서전산화에의한사이버 역까지확 되었다.

우리나라가본격적으로보안업무를수행하기시작한것은냉전시 의산

물로 남북한이 전쟁을 치루고 난 이후여서 군사안보를 최우선시하 으며

국가기 보호의 상도 국방이나 외교 안보관련 내용이 부분을 차지하


다. 그러나 1970년 들어서서 미국과 소련 및 중국을 비롯한 남북한 간

에의 해빙무드를 계기로 경쟁상 국들의 주요 정보 수집 상도 군사안보

내용중심에서 산업기술 방면으로 변화하게 되었다. 당시 우리나라는 산업

화가 초기단계에 진입, 수출 총력전을 펼친 결과, 1980년 들어와서 산업

기술도 점차 첨단화 고도화되어 일부 기술이 세계적으로 경쟁력을 갖추기

시작하면서 1989. 6월 국익보호 차원에서 우리나라 산업기술 중에서 세계

적으로 우수한 기술을 선정, 보호하기 위한 산업보안이 또 하나의 새로운

보안업무의 역으로 포함되었다. 1990년 중반에는 우리나라의 국가기관

은 물론, 사회 각 분야에서 인터넷이 본격적으로 활용되면서 정부 각 부처

의행정업무를포함한기 관련업무도사이버공간에서처리하게되었으며

보안업무 상도전통적인물리적보안업무중심에서점차사이버보안업무

중심으로 이동하게 되었다. 최근에는 최첨단 IT기술을 기반으로 한 사이버

보안업무 역이기존물리적보안업무 역보다오히려더큰비중을차지

하게 됨으로써 오프라인에서의 기 보호와 온라인 공간에서의 기 보호를

효율적으로수행하기위하여물리적보안과사이버안전업무가실용적으로

융합하여 체계적으로수행될필요성이 두되었으며이는보안사각지 를

해소하고국가기 보호는물론, 산업기술등국익을보호하기위하여우선

적으로시행해야할필수과제이다.

가. 정보보안법∙제도현황

우리나라의 정보보안업무는 초기「국가정보원법」제3조 제2항에 근거한

「보안업무규정」및「정보및보안업무기획조정규정」과「국가보안법」,「군사기

보호법」등 국가기 에 한 보안업무로부터 시작되었다. 이후 1980년

부터 국가차원에서 추진해 온 정보화 사업이 진척되면서 동시에 정보화 역

기능이 나타나게 되었고 정보보호 관련 법령도 새로이 제정되기 시작하

다. 1986. 5월제정된「전산망보급확장과이용촉진에관한법률」은우리나라

최초의 정보화에 관한 법률로써 정부가 중심이 되어 정보화에 관한 국가적


시책과 제도를 규정한 것으로 일부 전산망보호 규정도 포함되었으나 정보

보호에 초점을맞춘법률은아니었다.

한편, 민간부문에서도 정보보안의 중요성이 부각되면서 정보보안시책의

강구및정보보호시스템에 한기준고시등관련제도를마련하기위해시

작한 법은 1995. 8월 제정된「정보화촉진기본법」이다. 이 법은 정보화 촉

진 내용과 더불어 민간 정보보호를 담당하는‘한국정보보호진흥원’설립

등 국가안보차원에서의 정보보호에 관한 기본적인 최초의 규범이었다. 또

한 같은 해에 전자기록 위ㆍ변조행위 및 전자기록에 한 비 침해행위를

범죄행위로규정, 처벌할수있도록「형법」도개정되었다.

인터넷 보급이 본격화되고 인터넷을 통한 전자상거래가 활성화되면서

1999. 2월 개인 및 기업의 정보유통과 중요 정보를 보호하기 위한「전자서

명법」이 제정되었으며 동시에 정보통신망을 통한 개인정보의 오ㆍ남용 방

지를 위해서「전산망보급확장과이용촉진에관한법률」을 개정하여 개인정보

보호 규정을 신설하고 법률의 명칭도「정보통신망이용촉진등에관한법률」

로변경하는등정보보호와관련된법률이재정비되었다.

2000년 에 들어서서 국가와 사회의 주요 기능이 정보통신시스템에 전

적으로 의존하게 되었고 정보보안에 관한 국가차원의 관심도 높아져서

법∙제도 정비가 활발히 이루어졌다. 이는 정부가 국가ㆍ사회의 핵심정보

나 정보통신시스템에 한 파괴와 침해가 국가의 안위를 위협하고 사회ㆍ

경제적 손실을 야기함은 물론 개인의 자유와 권리를 위협하는 수준에 이르

고 있다고 인식했기 때문이다. 2001. 1월에는 금융ㆍ통신ㆍ에너지 등 국가

와 사회의 중요한 정보통신기반시설을 보호하기 위한 특별한 체계를 주요

내용으로 하는「정보통신기반보보호법」이 제정되고 같은 해 5월에는 행정

기관 사무의 전자화 촉진과 함께 보안 책을 강구토록 하는「전자정부구현

을위한행정업무등의전자화촉진에관한법률」(이하’전자정부법’이라함)이 제

정되었으며,「형법」도 개정되어 컴퓨터 등 정보처리장치에 허위정보나 부정

한 명령을 입력하여 타인의 재산을 빼앗은 온라인 사기행위를 처벌하는 규


정이 신설되었다. 한편, 「정보통신망이용촉진등에관한법률」도 명칭을 바꾸

어「정보통신망이용촉진및정보보호등에관한법률」(이하‘정보통신망법’이

라함)로 개정되면서 정보보호와 관련된 처벌 규정을 강화하 다. 이 법은

2003년에 발생한 1∙25 인터넷 란을 계기로 침해사고 응관련 규정을

크게 보완하 고 2004년과 2005년에 개인정보 침해 및 광고성 정보 전송

으로인한이용자피해최소화를위해서처벌형량도가중되었다.

참여정부 출범 직전인 2003년‘1.25 인터넷 란’으로 전국이 일 혼란

을 겪고 난 이후, 범 국가차원에서 이에 한 비 논의가 본격화되자 정부

는 급기야 2003년 말�2004년 초에 한국정보보호진흥원의‘인터넷침해사

고 응지원센터’와 국가정보원의‘국가사이버안전센터’등 사이버테러와

인터넷역기능방지를위한기관들을설립하 다. 이어2005년에는정부가

「국가사이버안전관리규정( 통령훈령제141호)」을발령하여국가안보를위

협하는해킹이나컴퓨터바이러스등각종사이버공격으로부터국가주요정

보기반을보호하기위한제규정을공표하고‘국가사이버안전전략회의’및

‘국가사이버안전센터’의 운 을 통한 사이버안전 정책총괄 등 조직 및 활

동에 한사항을구체적으로정립하 다.

최근 들어 2007년에는 정부가「전자정부법」을 개정, 정부기관 전산망에

한 안전성확인 제도를 신설하고「정보통신기반보호법」도 기반보호시설

지정 절차, 보호 책 이행여부 확인 및 기반보호위원회 운 등 일부 규정

을 개선한데 이어 2008년에는 신정부 출범에 따른「정부조직법」개정과 함

께‘국가사이버안전전략회의’확 운 등의 제도보완을 위해「국가사이

버안전관리규정」도개정하 다.

나. 사이버안전정책및활동

급속한IT발전에따른정보화환경의변화를적극수용하기위해법제도

를정비하려는노력은지속적으로추진되어왔다. 그중「전산망보급확장과

이용촉진에관한법률(’86)」과「정보화촉진기본법(’95)」의 제정으로 정보화


법체계의 기틀이 마련되고 이후 행정업무의 전자적 처리를 위한 기본원칙

등이 규정됨으로써 행정기관에서 생산성ㆍ투명성ㆍ민주성을 높이게 되었

다. 2001년에는지식정보화시 의국민의삶의질향상을목적으로전자정

부의구현을위한「전자정부법」도제정되어국가사회정보화사업의일환으

로 진행해 왔던 행정정보화 사업이‘전자정부 구현’으로 명칭을 변경하여

행정기관내각부처의모든행정정보화사업이활발하게진행되었다.

그러나국가정보화사업의발전과더불어잘정비된국가기간전산망은국

내외로부터의사이버공격의 상으로또는경유지로악용되면서피해가증

가하게 되었으며 이에 정부는 국가안보 차원의 응을 위한 국가 공공기관

위주의 정보보안체계와 국방, 통신, 금융 등 주요정보통신기반시설의 주요

정보통신기반시설보호체계, 전자정부구현을위한전자정부정보보호체계

를마련하게되었다.

2003년 1.25 인터넷 란을 계기로 우리나라는 국가안보와 사회질서를

유지하고국민생활의안전을보장하기위해범정부차원의국가사이버안전

업무를 민∙관∙군 등 3원화 체계로 구축하게 되었다. 즉 한국정보보호진

흥원의「인터넷침해사고 응지원센터29)」, 국가정보원의「국가사이버안전센

터 국가사이버안전센터30)」, 국방부의「국방정보전 응센터31)」에서 각각 분

야별 업무를 담당하고 있는 바, 분야별로 살펴보면, 국가안보와 관련된 국

가 공공기관의 정보통신기반보호 업무와 사이버안전업무는「정보통신기반

보호법」과「국가보안업무규정」및「사이버안전관리규정」에 근거하여 국가

공공기관을 상으로 국가정보원의 국가사이버안전센터가 국가전산망에

한사이버위협또는침해에 응, 복구하는등범정부차원에서사이버안

전정책의컨트롤타워역할을수행토록하 다.


29) 인터넷침해사고 응지원센터홈페이지(http://www.krcert.or.kr)참조.

30) 국가사이버안전센터홈페이지(http://www.ncsc.go.kr)참조.

31) 국방정보전 응센터홈페이지(http://www.dsc.mil.kr)참조.

한편, 국방관련 기반보호와 사이버안전업무는「군사기 보호법」, 「정보

통신기반보호법」에 의거하고 있는데, 보안정책업무와 보안업무시행규칙

제∙개정 등과 같은 전통적인 군의 정보보안업무는 국방부 정보본부가, 정

보통신기반보호 등의 업무는 정보화기획관실에서 그리고 기무사령부가 정

책에따른실제적인군사보안업무를분담, 수행하고있다.

또한 정보통신부(舊)가 담당하던 민간분야의 기반보호와 사이버안전업무

는 2008년 새로운 정부 출범과 동시에 정부 직제 개편으로 정보통신부가

폐지되면서「정보통신기반보호법」과「정보통신망법」도 개정되어 정보보호

제품평가인증업무는행정안전부로, 침해사고 응등민간정보통신망보

호업무는 방송통신위원회로, 정보보호산업 육성업무는 지식경제부로 각각

분산, 이관되어수행되고있다.

아울러 정부는「국가사이버안전관리규정( 통령훈령 제141호)」에 의거

‘국가사이버안전전략회의’와 전략회의의 효율적 운 및 지원을 위한‘국

가사이버안전 책회의’를 설치32)하여 범국가적인 체계를 수립하고 기관간

역할조정및국가사이버안전에관한중요정책사항을심의하고있다. 여기

에서 우리나라의 사이버안전정책 및 활동은 크게 3가지로 구분할 수 있는

바, 첫째사이버위협으로부터사이버공간의안전확보를위한국제협력, 취

약성 분석평가, 평가인증, 보안적합성 검토 등 예방활동과 둘째 주요 국가


32) 국가사이버안전전략회의는 국가사이버안전에 관한 중요사항을 심의하며, 전략회의의

의장은국가정보원장으로하고위원은외교통상부차관∙법무부차관∙국방부차관∙행

정자치부차관∙정보통신부차관∙국가안전보장회의 사무처의 사무차장 및 전략회의

의장이 지명하는 관계 중앙행정기관의 차관급 공무원으로 구성되어 있다. 전략회의는

1)국가사이버안전체계의 수립 및 개선에 관한사항, 2)국가사이버안전 관련 정책 및 기

관간역할조정에관한사항, 3)국가사이버안전관련 통령지시사항에 한조치방안,

4)그밖에전략회의의장이부의하는사항등에 해심의한다.(사이버안전규정제6조)

이는 우리나라 최고의 사이버안전 기구이며 이를 보좌하기 위하여 국가정보원 차장을

위원장으로하고관련부처의실∙국장을위원으로하는국가사이버안전 책회의를구

성하 다.

기관정보통신망에 한 실시간 보안관제(모니터링)를 통한 위협정보 탐지

활동, 그리고마지막으로침해사고발생시긴급복구를통한피해최소화와

재발방지 조치업무를 수행하는 긴급 응 복구활동 등으로 구분한다. 이러

한 활동은 아래[표4]와 같이「전자정부법」제27조, 「전자정부법 시행령」제35

조, 「정보화촉진기본법」제15조와「사이버안전관리규정」제8조 등에 근거하

고있다.

이밖에도최근급증하고있는해킹등사이버공격에 비하여정부각부

처가‘종합사이버보안관제센터’를 구축하고 있는데, 2007년 지식경제부

(지식경제사이버안전센터33))∙국토해양부∙교육과학기술부(교육사이버안

전센터34))∙보건복지가족부 등 4개 부처가 에너지∙교통∙교육∙보건 등

국가 핵심전산망의 부문별‘종합사이버보안관제센터’를 구축한데 이어

2008. 2. 11일 교과부 교육사이버안전센터가 개소되어 전국 초∙중∙고 등

교육과학기술부 산하 각급학교 및 교육청으로부터 사이버침해 정보를 수

집∙분석∙배포하며 필요시 침해사고 복구지원 업무를 수행한다. 분야별


주요내용관련법규 세 부 내 용

법 적 근 거구분

[표4] 우리나라사이버안전활동의주요내용및관련법규정

○안전한 정보보호

시스템의사용

-보안적합성검증

-정보보호시스템

평가∙인증

전자정부법

전자정부법

시행령

제27조정보통신망 등의 보안 책

수립∙시행

제35조전자문선의 보관∙유통관련

보안조치

정보화촉진

기본법

제15조정보보호시스템에 관한 기준

고시등

정보화촉진

기본법시행령제16조정보보호시스템의보완등

국가정보보안

기본지침

제91조도입, 검증필 정보보호시스템

사용

제92조보안적합성검증요청

우

리

나

라

사

이

버

안

전

활

동

예

방

활

동


주요내용관련법규 세 부 내 용

법 적 근 거구분

○취약점분석평가

○국제협력

전자정부법제27조정보통신망 등의 보안 책

수립시행

전자정부법

시행령제35조전자문선의 보관∙유통관련

보안조치

국가사이버안

전관리규정

제8조국가사이버안전센터①항

제9조사이버안전 책의 수립∙

시행④항

국가정보보안

기본지침제105조정보보안측정①항

국가사이버안

전관리규정제8조국가사이버안전센터②항의7

제14조전문기관간협력①항

○보안관제

(모니터링)

○예∙경보발령 및

전파

○사고조사및복구

국가사이버안

전관리규정

제8조국가사이버안전센터②항의3


국가사이버안

전관리규정

제8조국가사이버안전센터②항의3

제11조경보발령①항

제12조사고통보및복구①항

국가사이버안

전관리규정

제13조사고조시및처리


제15조연구개발①항

국가정보보안

기본지침제107조정보보안사고처리및조사

탐

지

활

동

응∙복구활동

우

리

나

라

사

이

버

안

전

활

동

예

방

활

동

33) 지식경제사이버안전센터홈페이지(http://csc.mke.go.kr)참조.

34) 교육사이버안전센터홈페이지(http://www.ecsc.go.kr)참조.

사이버보안센터는‘국가사이버안전센터’와 연계하여 범정부차원의‘종합

사이버보안센터’체계를 갖추어 공동으로 응하고 있는데, 국가사이버안

전활동에 해법∙제도적활동근거를살펴보면다음[표4]와같다.

3. 주요국의정보보안정책

가. 미국

인터넷 등 정보화 기술을 사용하는 사이버테러에 처하는 노력은 미국

이 가장 선도적인 노력을 보이고 있다. 미국은 사이버테러에 비, 국가안

보전략(National Strategy to Cyber Terrorism) 부분의 연구를 9.11 테러

이후지속추진해왔다.35)

이들연구및실천분야는다음과같은소분야들로구성되어있는데, 정보

보호와 관련하여 국가전략 수립, 법제도 정비, 사고 응체계 정비, 민ㆍ관

협력강화 및 정보보호문화운동 추진 등의 5개 주요 역을 중심으로 정보

보호 업무를 수행하고 있고 사고 응체계 정비를 위해 컴퓨터비상 응팀

(CERT : Computer Emergency Response Team)을 비롯한 국방ㆍ민간

및 국가기관의 응체계를 갖추고 있다. 특히 각 역별로 사고 발생시를

비하여국가재난 응계획(NRP : National Response Plan) 등을수립하

여사고처리및 응태세를완벽히구축하고있을뿐만아니라 민ㆍ관협

력을 위해 기반보호 역의 경우, 각 기반보호 역별 민ㆍ관 협력체계를

구축하여 이를 총괄할 수 있는 협력모델을 제시하고 기반보호시설 및 주요

자산의 부분이 민간에 의해 운 되고 있는 현실을 극복해 나가면서

OECD에서 주창한 정보보호문화운동을 국민 인식제고의 방안으로 활용하

여, 사용자가 스스로 정보보호를 생활화할 수 있는 기회를 만들기 위해 적

극적으로노력하고있다.

정보보호 관련 정책수립을 위한 미국의 전략은 크게 국토안보 국가전략,

국가 주요기반시설 및 주요자산에 한 물리적 보호전략, 사이버공간 보호

를 위한 국가전략으로 압축된다. 2002년에 발표한 국토안보 국가전략

(National Strategy for Homeland Security)에의하면국토안보전략목적


35) US White House,『National Strategy to Cyber Terrorism』, 2003, February.

을수립, 6개주요임무를설정하고그중주요기반시설과자산보호에중점

을 두고 있는 주요기반시설 및 자산 보호를 위한 8개 프로젝트에는 국토안

보부가 주요기반시설 보호업무를 총괄하도록 업무를 조정, 주요기반시설

및 자산에 한 정확하고 완벽한 평가, 연방정부와 주정부 및 지방정부와

민간 역과의 공고한 파트너십 유지, 국가기반시설 보호계획 수립, 사이버

공간 보호, 효율적인 보호 솔루션에 필요한 분석적인 모델링 툴 개발, 내부

위협으로부터 주요기반시설과 자산 보호, 국제 공동체와 협력을 통한 국가

간주요기반시설보호강화등을제시하고있다.

관련 법률로는 컴퓨터보안법, 국토안보법, 애국법, 사이버보안강화법, 해

외정보감시법, 법집행을 위한 통신지원법, 연방보안관리법, 그리고 통령

명령 등을 들 수 있다. 먼저 미국의 정보보호관련 최초 법률인「컴퓨터보안

법(Computer Security Act)」(1987년 제정)은 미국국립표준기술연구소

(NIST : National Institute of Standards and Technology)를중심으로정

부에서 사용되는 컴퓨터보안에 기준 프로그램을 제공함과 동시에 연방정부

컴퓨터시스템의운용에관계되는정부관계자교육을목적으로하고있다.

「국토안보법(Homeland Security Act of 2002)」은 포괄적인 테러로부터

미국의 전체 국가기반을 보호하기 위해서 제정된 법으로 총 17장으로 구성

되어있는데, 이중특히사이버보안과관련된규정은제2장의정보분석및

기반시설보호에관한규정, 제10장의정보보호에관한규정이 표적이다.

이 법은 미 연방기관들이 분야별로 각각 분담하고 있는 국토안전보장업무

를총괄하는국토안보부를창설하고정보기술을유용하게활용하여사이버

공격이나물리적공격으로부터미국의 토를방위하기위해주요기반보호

를국토안보의핵심으로인식, 이를위한정보분석및기반보호국을설치하

다. 이와 함께 기(旣) 설립되었던 주요 기반보호센터, 주요기반보장국,

국가통신시스템, 컴퓨터비상 응팀 등의 기구를 국토안보부로 통합시키고

주요기반보호를국가안보차원에서접근하게함으로써국토안보부는이법

을 통하여 미국의 주요기반시설의 보호와 사이버공격에 한 응활동을


총괄조정한다.

「애국법(USA Patriot Act)」은 9∙11테러 직후 계속되는 테러 위협에 응

하기 위한 수사력 강화와 국가안보 확립을 목적으로 한 법률로서 주요 내용

을 살펴보면, 종래 법집행기관의 용의자 관련 전화번호 기록 권한을 인터넷

이나 휴 전화를 포함한 전자통신으로 확 하고 DCS1000(통칭‘카니보어

(Carnivore)’) 등에 의한 IP주소 등을 기록한다(단, 통신내용은 기록하지 않

음). 또한 사람의 생명 등 긴급사항 발생 시, 인터넷 통신사업자가 법집행기

관에고객의통신기록(통신내용을포함)을공개하는것을합법화하여컴퓨터

해킹과같은전산망침입자를감시하기위해피해자가법집행기관에통신감

청을의뢰할수있다. 동시에사이버테러의억제와예방을위하여처벌을강

화(제814조)하 는데이전의경우, 초범에게는5년이하의징역, 상습범에게

는 10년 이하의 징역이 최고형이었으나 이 법은 보호되는 컴퓨터에 손해를

가한해커에 한최고형량을초범에게는10년, 상습범에게는최고20년형

으로상향하 을뿐만아니라국방이나국가안보와관련된컴퓨터에손해를

야기한경우, 손실을증명할수없어도처벌할수있도록하 다.

「사이버보안강화법(Cyber Security Enhancement Act of 2002)」은 원

래2002년하원에서통과후상원에서폐기되었으나, ‘국토안보법’에포함

되어 통과되었다. 즉, 이 법 제2장 SEC. 225에는 사이버보안 강화법이 규

정되어 있는데, 동(同)법에는 양형위원회 관련 내용, 긴급 공개 예외, 선의

의 예외규정, 불법장치의 인터넷 광고, 강화된 벌칙, 프라이버시 보호 등이

규정되어 있고 특히 사이버 공격자가 고의 또는 부주의로 법률을 위반하여

심각한 신체적 상해를 유발하거나 시도하는 경우에 본 Title에서 정한 벌금

이나 20년 이하의 징역 또는 이를 병과하고 공격자가 고의 또는 과실로 사

망을 유발하거나 유발하고자 시도하는 경우에 유기 또는 무기징역에 벌금

을부과할수있도록규정하여신체의상해나생명의위험과관련된컴퓨터

범죄의처벌을 폭강화하고있다.

「해외정보감시법(FISA : Foreign Intelligence Surveillance Act)」은


1978년에미국의회가몇몇정부부처로하여금외국의정보획득을목적으

로 외국이나 외국요원에 한 전자적 수사를 할 수 있는 권한을 부여하여

국가안보를 강화하고자 제정되었다. 이법 제정으로“해외 정보(Foreign

Intelligence)”에 한독립된법적권한을확립하게되었는바, 미국법령집

제3권(Title 3. 감청법(the Wiretap Statute))에서 일반 법집행기관의 감청

수사를 엄격하게 규제하고 있는 반면, FISA는 미국 정부의 외 정보 수집

활동을법률로정하여미국정보기관들로하여금해외정보수집(감청)을공

공연히인정하고있다.

「법집행기관을위한통신지원법(CALEA : Communications Assistance

for Law Enforcement Act)」은“클린턴”정부 시절인 1994년에 제정되어

현재에도빈번하게논의되는법률로서수사목적을위한통신감청과관련하

여 통신사업자의 의무를 구체화하고 있는데 해당 법에 따라 통신사업자는

수사당국의 요구가 있는 경우, 그 요구에 응하여야 함을 명시하고 있다. 또

한통신감청이가능한기기를통신사업자의설비중에설치할수있게하

으며이를위한표준기술은연방통신위원회의기준에준용하게하 다.

「연방정보보안관리법(FISMA : Federal Information Security

Management Act)」은「전자정부법(E-Government Act of 2002」제3편

으로제정되었다. 이법의목적은연방의운용을지원하는주요정보자원에

한 보호 및 통제를 위해 포괄적인 프로그램을 제공하는 한편, 고도로 네

트워크화된 국가기반 환경의 보호를 위해 민간인을 비롯해 국가안보 관련

기관과 법집행 기관 전체의 정보보호 노력을 조정함과 동시에 사이버위협

에 해 효과적으로 응할 수 있도록 하기 위한 것이다. 그리고 정부기관

전체에 한 관리 감독권한을 국토안보부에 부여하며 연방 운용 및 자산을

지원하는 정보자원에 한 정보보호 통제의 효과를 보장하기 위한 포괄적

프레임워크를제공하는등정부전체에 한관리및감독을규정하고있을

뿐만 아니라 민간에서 개발한 정보보호 제품이 첨단의 동적이며 안정적이

고효과적인정보보호솔루션을제공하는것을인정한다. 그리고특정기술


하드웨어 및 소프트웨어 정보보호 솔루션의 선택은 민간 개발 제품들 중에

서각기관이선택하도록규정하고있다.

한편, 통령명령(또는 지침)으로는‘클린턴’ 통령이 최초로 공표한

PDD-63(중요기반시설보호)과2003. 2월‘부시’ 통령이발표한「국토안

보 통령명령 제63호(HSPD-63 : 국내 사고관리)」, 그리고‘03. 12월 발표

한「국토안보 통령명령 제7호(HSPD-7 : 국가기반보호계획 수립, 주요기

반 식별, 우선순위 설정 및 보호)」, 2008. 1월 발표한「국토안보 통령명령

제53호(HSPD-53 : 국가사이버안보센터 설립)」및「국가안보 통령명령

제23호(NSPD-23 : 연방정부기관의인터넷모니터링)」등이있으며36) 이를

통해 미국은 국가사이버안전과 관련된 정책을 수립하고 집행하는 등의 업

무를규율하고있다.

정보보호관련 조직을 보면, 미국은 1988년 국방부 고등연구계획국

(DARPA)의 주도로‘침해사고 응팀조정센터’를 설치한 이래 정보보호 조

직을정비, 정책이추진되어오다가9.11 사태를계기로미국의정보보호정

책은 한층 강화되었다. 2002년 국토안보업무를 총괄하기 위해 주요기반보

장국(CIAO), 비 검찰국(Secret Service)등 22개 기관을 통합해 국토안보

부(DHS)를신설하면서정보보호분야와관련된조직을준비국(Directorate

for Preparedness)과 과학기술국(Science and Technology Directorate)

등 2개의 국(局)으로 통합하고 준비국 아래 국가사이버보안처(NCSD :

National Cyber Security Division)를신설, 운 한데이어서2008. 3월에

는 장관직속의 국가사이버안보센터(NCSC : National Cyber Security

Center)를설치하여범정부차원에서사이버안전업무를총괄하고있다.

국토안보부(DHS : Department of Homeland Security)는미국이9∙11


36) W.P지1. 26일자A3면참조

국가사이버안전을 위한 통령 명령으로는 국가안보를 위한 통령명령(NSPD :

National Security President Directive)과 국토안보를 위한 통령명령(HSPD :

Homeland Security President Directive)이있다.

테러가 발생하자 테러 책을 강화하기 위하여 미 연방차원의 테러 총

괄 및 주관 기관의 필요성을 인식하고 국토안보부, 사이버안보담당 통령

특별보좌관, 국토안보회의, 통령 주요기반보호위원회 등 관련 조직을 신

설한데이어2002. 11월제정된「국토안보법」에의거하여새로이창설된

테러 핵심 정부기관이다. 부시 통령은 2002. 11. 25일 동법에 서명한 후

국토안보부 재구성 계획을 의회에 제출했는바, 동 계획안에 따라 상무부의

주요기반보증국, 국가통신시스템, FBI의 NIPC(National Infrastructure

Protection Center)와총무청의연방컴퓨터침해사고 응센터, 그리고연방

재난관리국, 해안경비 , 교통안전국, 세관국, 이민국, 국경경비 , 비 경

찰국, 주요기반보장국, 미국준비국(NDPO:National Domestic

Preparedness Office), 연방보호국, 동식물검사국, 에너지부나보건복지부

내의기관들을국토안보부로통합하 다.

DHS에는 첩보기능 및 정보공유 강화를 위해 DHS의 첩보분석국(Office

of Intelligence and Analysis)을두고기존의정보분석국장을최고첩보담

당관(Chief Intelligence Officer)으로 임명, 직접 장관에게 보고하게 하며

모든현장작전및다른정보공동체에서부터정보를수집, 임무별로정보를

분석, 고위정책결정자들에게제공함과동시필요한연방, 주, 지방및민간

역에정보를전달하게한다. 또한작전수행및효율성을위해업무조정국

장(Director of Operations Coordination)은 국토안보부의 위기관리의 핵

심역할을 담당, 전 기관과 합동작전을 수행하고 사고관리 활동을 조정하며

국토안보부내의 모든 첩보와 정책을 직접적인 행동으로 이행할 뿐만 아니

라 정보공유 및 국내사고 관리의 주요기관인‘국토안보운 센터

(Homeland Security Operations Center)’를 첩보분석국의 핵심조직으로

운 하고있다.37)


37) 한국정보보호진흥원,.『미국∙독일∙일본의 정보보호법 체계에 관한 연구』, 2006. 12,

pp.85-94.

한편, 2002년 국토안보부 출범과 함께 발표된「국토안보 통령명령

(HSPD-7)」에 의거 신설된‘국가사이버보안처(NCSD)’38)는 미국 사이버침

해사고 응팀(US-CERT)을 운 , 경보발령 및 연방정부 정보통신망에

한 취약성을 평가하고 CIIMG(Cyber Interagency Incident Management

Group) 보안포털 사이트를 통해 CIA, 법무부, 국방부 등 관계기관 간 실시

간정보공유체계를유지토록하고있다. 또한장기적인전략구상(Strategic

Initiatives)에 따라‘국가사이버 응조정그룹’을 운 , 사고발생시 US-

CERT 및 법집행기관, 첩보공동체와 함께 연방정부의 사고 응 조정은 물

론, “사이버스톰(Cyber Storm)”과 같은 전국적인 사이버보안훈련을 실시

하여 응태세를 점검하고 일반 국민들과 민간기업의 인식제고를 위한 전

략수립 및 민∙관 협력을 주관함은 물론, APEC, OECD, G8 등 다자간 국

제기구와 협력 체제를 유지하는 등 기반시설에 한 보호업무를 주관하고

있다.

특히최근들어국토안보부는몇년간중국등해외스파이로추정되는해

커의 공격으로 인해 주요 정부기관의 컴퓨터시스템 정보가 노출되는 사고

가 빈발하자 2008. 1월 백악관이 통령명령으로 공표한 통령명령

(HSPD-54 및 NSPD-23) 중“범정부 사이버 이니셔티브”전략의 일환으

로 장관 직속의‘국가사이버안보센터(NCSC)’를 신설(2008. 3월), FBIㆍ

NSAㆍ국방부와 공조 하에 연방정부기관의 컴퓨터시스템에 침입하는 사이

버테러를 감시하고 해킹 취약정보를 관리하는 등 모든 연방정부기관의 컴

퓨터시스템과인터넷보안을총괄하는범부처기구로운 하고있다.39)

국가안전보장국(NSA : National Security Agency)은 정부의 통신보안


38) 출발당시에는준비국산하에있었으나2008년현재국가보안프로그램국산하사이버

보안통신단(Office of CyberSecurity & Communication)에소속되어운 중임.

39) 전자신문, 2008. 3.24자 14면(미 국토안보부 산하 국가사이버보안센터장에 실리콘 벨

리의웹기반기업용협업솔류션업체인“트위키(Twiki.net)”의CEO인“로드A. 벡스트

롬”을임명했다고보도) 참고

을 위해 1952년 통령령에 의해 국방부 산하 독립기관으로 설립되었다.

1972년에는 국방부 내에 통합된 암호연구를 위해 중앙보안서비스(CSS:

Central Security Service)가 설립되어 NSA의 조직을 재편성되었다. CSS

는국내의암호활동을제공하고국방부암호화의통일을위해설립되어전

투지원기관의 역할을 수행하고 있으며 군사 서비스의 시그널 첩보활동에

한조정업무를수행하면서미국암호분석과보안을책임진다. 즉, 상국

의 암호체계의 해독은 물론, 암호통신 등 정보보안(INFOSEC)기능을 제공

하는등전문기술과지식을기반으로백악관및군사통신보안을담당한다.

또한 최근에는 중국 등 외국의 사이버공격에 공세적으로 응하기 위해

통령명령인「국가안보지침(NSPD-54)」및「국토안보지침(HSPD-23)」에의

거 미 연방정부기관이 사용하는 모든 인터넷망에 해 보안관제(모니터링)

를 실시한 것으로 알려져 있어 기존‘에셜론시스템’을 이용한 국외통신 감

청뿐만 아니라 미국내 정부기관에 한 감청업무까지 맡게 되는 등 업무

역이 폭확 되었다. 한편, NSA 국장은CSS의장을겸임하고있다.40)

정보보호 예산관련, 미국 행정기관의 공식적인 예산안 준비는 관리예산

처 지침(Circular)A-11을 토 로 하고 있다. 여기에는 상세한 방침과 부처

가 제출해야 하는 추계치와 여타의 자료에 한 계획표가 포함된다. 미 연

방정부의 정보화 예산규모는 2005년 회계연도에 총 621억 달러, 2006년

625억 달러, 2007년에 요구한 예산은 642억 달러로 전년도 비 2.8% 증

가했다. 각 부처별 소요예산을 살펴보면, 미국연방정부의 2007년 요구된

정보화 예산 중 절반에 이르는 305억 달러가량은 국방부에서 소요되며 정

보보호를주로담당하는국토안보부는부처중세번째로정보화예산을많

이집행한다.


40) NSA의 업무는 신호정보(SIGINT)와 정보보안(INFOSEC)으로 크게 구분되는데,

INFOSEC은기 및비기 국가안보시스템을비인가접근이나도청및그와관련된

기술적 첩보 위험으로부터 보호하기 위한 조정 및 서비스를 제공하는 것(보안)이고

SIGINT는외국의정보수집에 한미국의조정등의업무(수집)를말한다.

2007 통령 예산요구서에 따르면 국방부분 정보화 비 정보보호 예산

비율은9.2%이고민간부처의정보보호예산비율은7.1%로총8.1% 정도이

다. 국가사이버보안처(NCSD)가 2007년에 요구한 예산은 9300만 달러로

이 예산에는 사이버보안 관련 기술의 연구개발을 위한 6백만 달러도 포함

되어있다.

각 부처는 매년 정보화예산 비 정보보안 예산을 평균 5�10% 선에서

책정하는데 백악관은 2009 회계연도 IT 분야 예산으로 710억 달러를 요청

했으며 이 중 IT 보안에 10.3%에 해당하는 73억 달러를 지급할 계획이다.

또한, 의회가 원안을 승인할 경우 IT 보안분야 예산이 2004 회계연도 비

73% 증가한것으로같은기간전체IT 예산의증가율(20%)에비해매우빠

른 증가를 보이고 있다. 미국 연방정부의 각 부처 정보화 예산 비 정보보

안예산을5�10%선에서책정하여2007년도에는약59억불이사용되었으

며2008년도에는60억불로정보화예산 비정보보호예산을9.2%로증액

되었다.41)

나. E U

「EU 헌법」은유럽연합(EU : European Union)이25개회원국으로구성

된 연합체로 정치적, 경제적, 안보적으로 공동정책을 취하고 있으며 이는

법으로 정해진다. 2004년 제정된「EU 헌법(Constitution for Europe)」에

따르면 정보보안과 관련, 현재 6개 수준의 법적 규제가 있으나「EU 헌법」

은각회원국들이자국의법체계를수정하는등일정한절차를거쳐승인되

어야 하며 EU 25개 회원국 모두가 승인(혹은 국민투표)하지 않으면 그 효

력을발휘할수가없다.

EU는「정보보호기본법」으로「프레임워크 지침(Directive 2002/21/EC,


41) 한국정보보호진흥원,.『미국∙독일∙일본의 정보보호법 체계에 관한 연구』, 2006. 12.,

pp.101-102.

2002.3.7)」을 제정하고 각국의 정부에서 규제기관과 유럽집행위가 일관적

인 규제를 시행하도록 하고 있는바, 개인정보나 프라이버시를 안전하게 보

호하고통신네트워크의안전성을확보하는것을목적으로하고있다.

그리고「인터넷과 신규 온라인 기술의 안전한 사용을 촉진하는 프로그램

추진에 관한 EU의회와 EC의 결정(Decision No 854/2005/EC,

2005.5.11)」에 의해 추진되는 Safer Internet Plus 계획은 1999년부터

2004년까지실시된Safer Internet 계획의후속단계로, 2005년부터2008

년까지 4년에 걸쳐 실시되고 있는 프로그램이며 주로 인터넷과 새로운 온

라인 기술을 사용하여 불법적인 내용과 사용자들이 원치 않는 내용을 근절

하는데목적을두고있다.

또한「안전한 인터넷 사회- 화, 협력 및 부권(Communication from

the Commission, 2006.5.31)」은“안전한 정보사회를 위한 전략(Strategy

for a secure information society)”에 근거하여 정보시스템에 한 공격

증가, 모바일 기기의 사용증 등에 따른 보안인식 제고를 위한 것이며 주

요목표는스팸, 스파이웨어등진화하는위협에 한 처방안을확보하고

법집행기관과의 협력을 강화, 신종 범죄에 응하며 기반시설보호를 위한

프로그램을제공하고전자통신관련법제도재검토등을위한것이다.

「유럽 네트워크 및 정보보안 기구(ENISA : European Network and

Information Security Agency) 설립에 관한 규칙(Regulation (EC) No

460/2004, 2004.3.10)」은 ENISA의 설치를 규정하고 있다. 2004. 4월 창

설된 ENISA는 2005. 9월 그리스 크레타 섬 이라클리온에 본부를 두고 가

동을 시작, 회원국에‘컴퓨터비상 응팀(CERT)’의 구축을 지원하며 이를

네트워크로 묶는 초국가적 시스템을 마련하고자 전력을 추구, 2008. 6월

현재 15개국이 CERT 설립을 추진하는데 지원하 다.42) 또한 이 규칙은 유

럽집행위와 회원국을 상으로 네트워크 및 정보보안에 한 전문지식을


42) 『세계일보』, 2008.7.22.

제공하고EU 및회원국의네트워크및정보보안활동을지원하며이해관계

자들 간의 원활한 정보교환을 촉진하고 네트워크 및 정보보안 관련 기능을

조정하여상호교류를증 하기위한규정등을두고있다.

한편, 「사이버범죄조약(Convention on Cyber Crime)」43)은사이버범죄에

관한 가장 포괄적인 문서이자 최초의 국제조약으로 각종 인터넷 범죄를 퇴

치하기위해각국가가공조할것을명기하고있다. 동(同) 조약은인터넷을

이용한 모든 범죄행위에 해 상세히 규정, 처벌할 수 있는 근거와 참여 국

가들이 네트워크에 한 불법 침입, 사기, 웜∙바이러스 유포, 아동 포르노

보유ㆍ유포, 저작권 침해 등 다양한 활동에 하여 조사, 처벌할 수 있도록

규정하고 있다. 또한 여기에는 기초단계부터 미국∙일본∙캐나다 등이 참

관자(Observer)로 참여하고 있어 2001. 11월 서명식에서는 유럽연합의 30

개국과 G8 국가들을 포함하여 총 38개국이 서명하 으며 이후에 5개국이

추가로 가입하여 총 43개국이 가입했다. 본 조약은 2004. 7. 1일 발효되었

으나자국내의회의비준을받은국가는18개국에그치고있다.

마지막으로「통신네트워크에 관한 데이터보전 지침」은 2004년 마드리드

동시다발 테러사건과 2005년 런던지하철 테러를 계기로 제안되어 2006년

브뤼셀에서채택된것으로서테러리스트를추적하기위해통신서비스제공

자가 통화 데이터를 6개월�24개월간 보존할 것을 의무화하도록 규정하

다. 다만, 보존기간의상한선을정하지않아회원국중에는더긴기간을요

청하는곳도있다.

이와 같이 EU는 단일국가를 넘어선 정치적 공동체임에도 불구하고 EU


43) 인터넷을이용한모든범죄행위에 하여상세한규정을두고이를처벌하도록한최초

의 국제조약으로, 일명‘부다페스트조약’이라고도 한다. 국제사회가 사이버범죄에 공

동으로 처하고 국가간 공조를 긴 히 하기 위한 핫라인 설치 등이 명시되어 있다.

2001년11월23일, 헝가리부다페스트에서열린사이버범죄국제회의에서전세계30개

국이조약에서명한뒤조약참가국별로비준절차를거쳐정식으로발효되었다. (출처

: 두산백과사전(엔싸이버)

역내회원국및시민들의정보기술활용증 와안전성확보를위해적극적

으로 노력하는 등 정보보안의 관점에서 볼 때, 상당히 고무적이라고 볼 수

있다. 네트워크라는정보통신망을기반으로운 되는정보와정보시스템에

한 안전성확보가 정보보안의 궁극적 목적이므로 가능한 한 많은 참여자

와 사용자들간의 정보보안 수준을 동시에 상승시키려는 노력 등은 그 진행

은지체될수있으나결과는만족할만한것으로기 된다.

유럽의 최신 동향으로서, 전 세계가 사이버테러에 응하기 위해 국가안

보차원의시스템마련에열을올리고있는가운데, 각국들에서는사이버부

는물론공동의‘사이버평화유지군’방안까지나왔다. 2008. 4. 4일루마

니아에서 막을 내린‘북 서양조약기구(NATO)’정상회의가‘사이버평화유

지군’창설 계획을 내놓은데 이어 다음달, 에스토니아 수도 탈린에 정보통

신(IT) 전문가와 테러 전문가 등이 참여하는‘사이버방위센터(CDCE :

Cyber Defence Centre of Excellence)’를 설립하기로 결정하고 2008. 5.

14일 센터를 설립하 다. 여기에는 에스토니아, 독일, 이탈리아, 리투아니

아, 슬로바키아및스페인등7개국에서IT 전문가30여명이파견되고미국

은 옵저버로 파견되어 8월부터 본격적으로 운 이 되고 있다. 연구소 형태

인 CDCE는 26개 나토회원국 간 사이버안보 협력을 강화하고 전문 인력을

양성하며 해커들의 공격을 분석해 이를 방어할 연구 프로젝트를 지휘하는

등 사실상 인터넷 내의 평화유지군 임무 수행은 물론, 회원국 내 정보기반

보호를위해상호공조체제를구축하겠다는것이중요한목적이다.

각국의 응과 공조는 지난해 에스토니아에서 발생한 사이버 테러와 그

피해를 직접 목격한 이후 더욱 활발해졌다. 에스토니아는 지난해 4월부터

약3주동안국외로부터쏟아지는사이버테러에시달리며금융기관∙정부

기관 등의 기능이 마비된 적이 있는데 에스토니아는 유럽에서 인터넷이 가

장 발달한 국가지만 역설적으로 해킹에도 취약한 모습을 보여줌으로서 우

리나라에시사하는바가크다.


다. 국

국은 정보통신 환경변화 및 이에 따른 정보보안 환경변화에 적극적으

로 처하고있으며이에따라정보보안과관련한입법활동도비교적활발

한국가중의하나이다. 국은EU의기본적정보보안및개인정보보호방

침을자국법으로수용하는데적극적이며미국∙EU 등타국가들이주도적

으로 추진하는 정보보안정책들을 받아들이고 있다. 즉 1980�1990년 미

국의 주도로 경제협력개발기구(OECD) 등을 통해 암호사용에 관한 정책을

정립할 때, 국은“암호와 법집행력(기획연재)”이라는 보고서를 발표하여

암호제품 및 기능의 사용을 권장함과 동시에 법집행기관의 효율적 활동을

위해암호사용이제한될수있음을간접적으로시사했다. 이어미국이클리

퍼(Clipper) 제도를통해키복구제도를추진하여국내외적으로논란을일으

켰을 때도 국은 범죄수사의 목적으로 피의자에게 암호키의 공개를 강요

할 수 있는 법적 근거를 확보(조사권한규제법 제정)하는 등 오히려 더 적극

적인 정보보안 정책을 펴 왔다. 즉, 정보보안과 관련하여 국은 사이버범

죄를처벌할수있는법률을중심으로상당히적극적으로관련법률과제도

를 발전시켜 왔으며, 특히 EU 회원국이 아니면서도 EU의 각종 지침을 자

국법으로현실화시켜국제적으로도정보보안을선도하고있다.

사이버안전관련 주요 법률로는 먼저「조사권한규제법」(RIPA:

Regulation of Investigatory Powers Act 2000)이 있는데 이 법은 통신감

청을 위한 것으로서 인터넷이나 컴퓨터 암호화기술의 발전과 더불어 일반

인을 모니터하기 위한 기술을 기반으로 하는 법이다. 국 정부는 이 법

(RIPA)을 통해서 기업이나 개인에게 암호 키를 강제적으로 개시시키는 권

한을 국경찰에게부여하는준비를진행시키고있다.

또한「컴퓨터 부정사용법(Computer Misuse Act 1990)」은 모든 컴퓨터

소프트웨어의 불법 복제 금지 등 비(非)인가자에 의한 컴퓨터 접속을 금지

하고 있는데 여기에는 일반인의 취미 활동이나 테스트를 위한 접속행위도

포함되어 이를 위반하는 경우 6개월의 구금, 혹은 5000파운드의 벌금형을


부과한다. 또한사기및도용등범죄를목적으로한비(非)인가된접속을금

지하며범죄를목적으로한행위에해킹을포함시키고있어이를위반시5

년간 구금 혹은 무한 의 벌금형을 부과한다. 뿐만 아니라 이법에 의해 바

이러스 등의 유포 행위를 포함, 컴퓨터 소프트웨어나 데이터에 한 불법

수정행위를 금지하며 이를 위반하는 경우 5년간 구금 혹은 무한 의 벌금

형이부과될수있다.

「 테러 범죄 및 안전 보장법(Anti-terrorism, Crime and Security

Act 2001)」은 미국의 9.11 테러 이후 테러 응을 위해 필요한 여러 테러

책의 내용을 포함하고 있다. 정보보호관련 주요 내용으로는 동법 제11

편에 통신 데이터(전화, 인터넷 및 우편 내용 등) 보전을 위한 권한 관계를

규정하고 있다.

특히 국 정부는 정보보안 관련 법규 외에도 기업체의 보안관리를 최상

으로 지원하기 위한「정보보안관리지침(ISO/IEC 27001)」을 규정해 놓고

있다. 1995년정보자산을체계적이고표준적인관리지침및방법에따라관

리할목적으로 국표준기관(BSI : British Standard Institution)이「정보

보안관리에 한 표준(BS 7799 ; British Standard for Informaton

Security Management)」을 제정하 는데,44) 동(同)표준은 Part 1과 Part 2

로구성되어, Part 1은조직에서정보보호관리체계를수립하기위한지침으

로 활용할 목적으로 2000. 12월에 국제표준인 ISO/IEC 17799로 채택되었

고Part 2는정보보호관리체계의규격(Specification)을제시하는인증심사

시 활용되는 지침과 설명을 통해 정보보안 관리시스템의 모델을 지원해 주

는내용으로2005. 10월에역시국제표준인ISO/IEC 27001로채택되었다.

‘ISO2700145)’은 국제표준화기구(ISO)에서 제정한 국제 보안표준규격이며


44) ISO/IEC 17799,『Information Security Management - Code of Practice for

Information Security Management』, 2000.

45) http://www.27000.org/ismsprocess.htm

정보보호 분야에서 가장 권위 있는 국제인증으로서‘ISO27001’인증을

획득하기 위해서는 정보보호 관리체계 기준에서 정하는 위험관리, 보안정

책, 자산분류 및 통제 등 11개 섹션, 133개 항목에 한 심사과정을 거쳐

야 한다.

국의 사이버안전체계를 살펴보면, 네트워크 및 정보보호 정책은 내각

부산하의정보보증중앙지원국(CSIA ; Central Sponsor for Information

Assurance)에서 정보보호 관련 활동에 해 정부 전체를 조정하며 무역산

업부(DTI : Department of Trade and Industry), 외무부산하정부통신총

국(GCHQ : Government Communications Head Quarters)∙통신전자보

안단(CESG : Communications Electronics Security Group) 및 내무부

보안정보부(MI5) 산하 국가기반보호센터(CPNI : Center for the

Protection of National Infrastructure) 등이 국가 전반에 걸친 정보보호

기관으로서역할을수행하고있다.

정부통신총국(GCHQ)은 외무부 산하, 국의 통신정보기관으로서 전자

기파ㆍ음향ㆍ기타 설비물로 부터 나오는 방사물, 암호화된 물건 등과 같이

정보자료와 관계되거나 이로부터 생산되는 정보를 획득ㆍ처리하고 있다.

또한정보수집, 암호해독, 통∙번역, 전산망상의정보해독, 해독을위해수

집된정보를국방부소속국방정보요원(Defence Intelligence Officer) 등전

문가집단에게제공하는한편, 암호관련정책을수립하여지원하고있다.

통신전자보안단(CESG)은 GCHQ 산하 부서로서 정보보증(Information

assurance) 기능을담당하고 통신과전자데이터의보안을위한자문은물

론, 국의 중요한 비 들을 보호하는 것을 목적으로 정부와 중요한 주요

소비자들에게 정보보증정책 및 관련 서비스를 제공하는 등 국의 정보보

호 및 정보인증과 관련된 기술문제를 총괄하는 책임기구로서 국가 정보보

호관련정책및지침수립을지원하고각부처정보보호정책실행에필요한

기술자문및솔루션도제공한다.

CESG 산하 응용보안기술부(AST; Applied Security Technologies)는


2000년초에정부서비스분야에서새롭게부상하는IT기술에 처하고

국의 주요 국가기반자원을 보호하기 위한 목적으로 구성되어 새롭게 개발

되는기술들의특징과장점및제한성에 한지식과이를이해하는 역까

지 업무를 확장하 다. 이러한 방법을 통해 국정부는 진행 중인 각종 IT

사업에서 즉시적인 단기권고, 협의업무와 전자정부구현 및 안전한 인터넷

공간을유지하기위한활동을수행하고있다.

CESG의 초동 응팀(Incident Response Team (GovCertUK))은 국

정부의컴퓨터비상 응팀(the UK Government’s Computer Emergency

Response Team)을 말하며 CESG가 갖고 있는 책무중의 하나인 정부시스

템에 한 전자적 공격의 위험과 후속 여파를 최소화시키는 기능을 한다.

이를위해각종공격유형을파악하고사건관련정보를수집, 분석하여종합

적인 안전 책을 강구하고 있으며, 실제상황에서의 위협 수준에 따른 경계

를발령하고이와관련된각종권고와지침을지원한다.

국가기반보호센터(CPNI)는 국가보안국(MI5)산하의 국가보안권고센터

(National Security Advice Center)와 국가기반보안조정센터(NISCC :

National Infrastructure Security Co-ordination Center), 정보인증에

한국가기술을담당하던CESG 등이통합하여2007. 2월새로이창설된기

관으로국가보안국(MI5)부장이Security Service Act(1989)에근거하여지

휘하고 있다. CPNI는 국 국가기간망 관련 공공기관 및 기업체에 보안자

문등서비스를제공하며이러한활동을통해주요국가기반시설에 한테

러위협을 사전에 차단하기 위해 노력하는데, 여기에는 다수의 정부부처와

기관이 공동으로 참여하고 있으며 해당 시설과 관련된 민∙관 조직의 정

보∙인적∙물리적 보안에 한 종합적인 보안권고 활동을 수행한다. 기존

의 NISCC는 CPNI로 흡수되어 컴퓨터 네트워크 보안업무(정보보안)를 수

행하고있으며NSAC은인원및시설보안업무를담당하는등 국은새로

발족된 CPNI를 통하여 물리적보안과 사이버보안을 융합적으로 수행한다

는측면에서미국의국토안보부의설립취지와유사하다.


인력양성을 위해 국은 ITPC(Infosec Training Paths and

Competencies Scheme) 양성과정46)을 두고 있다. GCHQ 산하 CESG에서

는 2004. 6월부터 국가 정보시스템에 한 IT 침해에 해 인지수준을 고

양하기위해이과정을두고있는데, 이는인터넷침해사고에 한인지수준

이 부족하다고 판단, 국 정부가 ISO/IEC 17799의 기준에 부합되는 교육

과 훈련47)을 통한 인지능력을 향상시킬 수 있는 프로그램이 필요했기 때문

이다. 따라서 CESG에서는 국가기관이나 부처 및 경찰과 같은 공공부문에

서 특정 정보를 보호하는 정보보안전문가를 양성하기 위한 과정을 운 하

고ITPC사업을통하여 국의정보관련부문내부에서핵심보안업무담당

자에게‘정보보안 핵심 수행능력(Infosec Core Competency Profiles)’과

정48)을개발, 지원해준다. 또한 국은공공부문과민간 역을주도하고있

는 기관 또는 사업자들에게 질적으로나 양적으로 보증을 해주는 공식적인

보안요원제도도운 하고있다.

국의 정보보호 예산의 규모는 부분의 경우 IT 서비스를 외부 기업에

아웃소싱으로 처리하고 있기 때문에 명확히 파악되지 않고 있다. 부분적으

로 전자정부에 있어 ID 도용 책을 추진하는 경비, 즉 내각부 산하에 설치

된 ID도용 책위원회(Identity Fraud Steering Committee) 업무 관련 예

산과 테러 책 및 정보보호 관련 예산을 책정하고 있다고 알려져 있으나49)

정확한 규모는 알 수 없다. 다만 국가기반보호센터(CPNI)의 전신이라고 할

수 있는 국가기반정보조정센터(NISCC)의 2006년도 예산이 990만 파운드


46) 국정보보호중앙국, http://www.cabinetoffice.gov.uk/csia

47) ‘교육(education)’은 인터넷을 사용하는 일반 사용자들에게 보안에 한 인식을 높여

주는 활동을 말하며, ‘훈련(training)’은 ITSO (Information Technology Security

Officer)와같이IT업계종사자들에게특정인터넷공격에 응할수있는관련기술과

지식을개발하도록해주는것을말함.

48) http://www.cabinetoffice.gov.uk/infosec/certificates.aspx

49) 한국정보사회진흥원,『주요국정보보호동향조사-유비쿼터스 시 의 정보보호 정책을

중심으로』, 2006. 12.. pp.100-177.

로 2003년도의 예산 515만 파운드와 비교해 볼 때, 두 배로 증액되어 운용

된다는 점에서 국정부가 정보보호 및 그 인프라 구축에 진력하고 있음을

감지할수있다.

라. 독일

독일의사이버안전체계는「연방정보기술안정청설치법(BSI-Errichtungs

gesetz, BSIG)」에의해설립된‘연방정보기술안전청(BSI : Bundesamt fur

Sicherheit in der Informationstechnik)’과「정보통신법 (TKG :

Telekommunikationsgesetz)」및「연방통신망청법」상의‘연방통신망청

(BNetzA)’이 주로 담당하고 있다.50) 1991년 설립된 내무부 산하‘연방정보

기술안전청’은실질적인국가사이버안전업무를총괄하는기관으로서정보

기술을 적용했을 때 야기되는 보안 위험을 연구하고 보안조치, 정보기술보

안을 위한 기술적 방법과 장치는 물론, 정보기술 시스템 및 그 구성 요소에

한 검사∙평가를 위한 기준∙방법 및 도구를 개발하며 정보기술 시스템

및그구성요소의보안을검사∙평가하여보안인증서를부여하고있다. 한

편, 경찰및형사소추기관의법적임무수행을지원하며, 테러활동감시등

정보활동을 통하여 수집한 첩보를 활용, 평가하는 작업을 지원함과 동시,

정보기술보안문제발생시생산자와유통자및사용자에게자문등의임무

를수행하기도한다.51)

독일의 법률은 정보보안과 관련, 개인정보보호에 해서는「연방데이터

보호법(BDSG)」이 규율하고 일반적인 우편∙통신∙전화 등과 관련된 정보

보안의 경우에는「정보통신법」(TKG : Telekommuni-kationsgesetz)이

규율하고있다. 또한정보통신기술시스템의안전성에 한심사∙평가∙인


50) 한국정보보호진흥원, 『미국∙독일∙일본의 정보보호법 체계에 관한 연구』, 2006.12.,

pp.198-200.

51) 국가사이버안전센터, 『Monthly 사이버시큐리티』2007. 7월호.

증 등 정보화기술의 안전성과 관련된 업무수행 권한은「연방정보기술안전

청설치법」에 두고 있다.52) 또한 독일 토 내에서 국민에 하여 직접적인

구속력을 갖고 있는「정보통신법」을 포함한 각종 독일 정보통신 관련 법률

은 유럽연합의 지침(EU-Richtlinie)에 의해 일정한 기간 내에 국내 입법화

를 하여야 하는 의무를 부담하기 때문에 EU지침도 독일 정보통신 관련 법

제에포함된다고할수있다.53)

「정보통신법(TKG)」은 2004년 제정되어 2005. 3월 개정된 법으로서 정

부기관이기 누설방지, 데이터의안전성확보및네트워크침해사고방지

를 위해 인터넷통신사업자(ISP)와 정보통신 서비스를 제공하는 모든 책임

자에게고객정보에 한정부의접근요청시이를지원해주도록하고있으

며이러한데이터는정부의감시기관이직접접근할수있도록규정하고있

다. 54)

특히 제2조 제2항 제9조에는‘공적안전’의 이익이 보장되어야 함을 명백

히 하고 있는 바, 개개인의 권리에 한 침해가 발생하기도 하지만 다른 한

편으로는 국가이익도 보장해야만 하기 때문에 공적안전의 이익을 강조하

되, 가능한 한 개인에 한 규제를 최소화 하여 정보보호와 통신비 및 공

적안전에관한규정이이러한목적에기여하도록균형을유지하고있다. 따

라서 제7장의 비 , 정보보호 및 공공안전에 관한 규정에서 특히 공공안전

을위해사업자들이긴급전화가가능하도록할의무, 기술적보호 책과감

시가 가능한 방법을 마련할 의무 및 정보제공 의무를 지게 하여 국가 본연

의 기능을 수행할 수 있도록 사업자 등에 한 자료요구 권한, 사업자들의

관련 시설지원 의무 등을 구체화하고 있다.55) 한편, ‘안전담당관’을 임명하


52) 한국정보보호진흥원,.『미국∙독일∙일본의 정보보호법 체계에 관한 연구』, 2006.12.,

p.106.

53) 한국정보보호진흥원, 상게서. p.107.

54) 상게서. p.107.

55) 상게서. pp.117, 125-126.

고‘안전에 관한 계획’을 수립하며 안전계획의 내용과 유지는‘연방통신망

청’의통제를받도록제도화되어있다.

「연방정보기술안전청설치법」은 연방정보기술안전청(BSI)의 설립 근거법

으로서 독일 연방 내무부 산하의 국가기관으로서 실무상 정보통신의 안전

역에 한관할권을가진가장중요한기관으로활동하도록정하고있다.

특히이법에서는평가∙인증업무는물론, 정보통신기술시스템의연구와개

발, 그리고 정보통신시스템 및 내용의 심사를 통한 안전성 위험 조사 및 정

보통신시스템 안전성 검사, 평가와 인증서의 발급, 정보통신시스템의 허가

를비롯하여국가기관및민간기관에 한기술지원및자문을제공토록규

정하고있다.56)

관련 조직으로 연방정보기술안정청(BSI)은 전신인 1950년 에 설치된

‘중앙암호제도실’로서연방행정정보의안전성및고유직무와국외비 정

보의수집분석등업무를수행해왔다. 1987년에는컴퓨터안전성을그관

할범위에 포함시킨데 이어 업무범위 확 등 기관의 중요성을 고려하여

1989년에‘중앙정보기술안전실’로 명칭을 변경하고 업무 역도 종래의 협

소한국가적사무의범위를넘어정보기술의사법적적용및안전성에이르

기까지 업무 상에 포함시켜서 기구를 확 하 다. 이어 1991. 1. 1일 시행

된‘연방정보기술안전청설치법’에 의해 내무부장관 관할하의‘연방정보기

술안정청’은 연방 상급 관청으로 되었고 조직도 연방내무부의 직무 역에

편입되었다. 이렇듯독일은사이버안전기관의설립근거와조직의활동사항

을 법률(BSIG)로 규정하고 있는데 비해 우리나라는「국가사이버안전관리

규정( 통령 훈령)」으로 발령하고 있어서 위협정보 등의 정보공유와 유관

기관간 원활한 협조가 부족하고, 해킹 등 네트워크 침입자에 한 처벌 등

국가사이버안전활동을 위한 필수 활동과 규율에 한계가 있음을 감안, 독일


56) 한국정보보호진흥원, 『미국∙독일∙일본의 정보보호법 체계에 관한 연구』, 2006.12.,

p.131.

의법제도의예는우리에게관련규정을법률로제정해야하는당위성을제

공해주고있다.

마. 일본

일본은 1994년 내각총리 신을 본부장으로 하는‘고도정보통신사회추진

본부’를 설치, 2000. 7월에는‘IT전략본부’로 재편하 다. 또한 2000. 1월

에는‘정부기관과 민간 주요 기반시설의 안전 책’을 추진, 국제적인 연

를 주요내용으로 하는‘해커 책 등의 기반정비에 관한 행동계획’을 마련

하 는 바, 동(同) 계획에는 정부부문에 보안이 강화된 신뢰할 만한 정보통

신시스템을구축하고방위청∙경찰청및각성청에 하여감시ㆍ긴급 처

체계의 정비ㆍ강화를 요구하 다. 한편, 1996년부터 통산성∙우정성∙경

찰청 등에서는 개별적으로 사이버테러 방지를 위한 기술개발 및 정책연구

를 추진한데 이어 1999. 8월에는 통산성∙우정성∙경찰청이 공동 입안한

「부정접속행위의금지등에관한법률」을 제정함으로써 본격적으로 정보보안

활동이 개시되었다. 또한 2000. 3월에는 내각관방의 내각안전보장∙위기

관리실아래“정보보안 책추진실”을설치하여체계를확립하여왔다.

일본의정보보안정책추진현황을살펴보면, 2001년부터전자정부의실현

및 정보보안 확보를 위해「전자정부의정보보안확보를위한행동계획」을 마

련하고 2002. 4월에는 각 성청에서 정보보안 책의 입안에 필요한 조사∙

조언 등을 위해 정보보호 전문가로 구성된‘긴급 응지원팀(NIRT:

National Incident Response Team)’을 내각관방에 설치하 다. 이어「전

자정부의정보보안확보를위한행동계획」에 근거하여 2002. 11월 각 성청의

정보보안 정책 추진상황을 평가하고 각종 주요기반시설 분야별 상황에 따

른구체적 책을발표하기도하 다.

일본은 전체적으로는 내각관방을 중심으로 경찰청∙방위청∙총무성∙경

제산업성이각각정보보호정책을추진하는시스템을갖추고내각관방이각

부처를 총괄 조정하는 역할을 담당하며 각 부처와의 연 협력은 물론, ‘긴


급 응지원팀(NIRT)’으로 하여금 전자정부의 정보보호와 주요 인프라 사

이버테러 책을마련하고정보보호정책보좌관을민간전문가로임명하고

있다.

한편, 각부처별로보면, 일본경찰청은2001. 4월부터Cyber Force를창

설, 하이테크범죄 예방에 주력하고 있고 방위청은 2003. 10월「방위물자조

달에관한정보보호기본방침」을 수립, 조달업무에 관한 정보시스템ㆍDB 등

의 보안 책을 추진하고 있으며, 총무성은 2002. 7월 인터넷사업자(ISP)를

중심으로“인터넷침해사고 정보공유분석센터”를 설립, 인터넷 해킹 등에

비하고 있다. 특히 경제산업성은 2003. 10월‘정보보호종합전략’을 마

련, 주요 기반시설에 한 위협정보 수집ㆍ해석 기능의 정비, 사이버범죄

책수립, 정보보호관련국제협력업무등을추진하고있다.57)

사이버안전관련 주요 법률로서「전기통신사업법」은 1984. 12. 25일 법률

제86호로제정되어 2006. 6. 2일법률제50호로개정되었는바, 이법은전

기통신사업의 공공성에 비추어 적정하고 합리적인 운 을 꾀함과 동시에

그 공정한 경쟁을 촉진하고 전기통신서비스의 원활한 제공을 확보하여 이

용자의 이익을 보호하는 한편, 전기통신의 건전한 발달 및 국민 편의를 도

모하여공공복리를증진하는것을목적으로하고있다.

「고도 정보통신 네트워크 사회 형성 기본법(2001. 1월 시행)」은 일명「IT

기본법」이라고하며이법은사이버안전측면에서최근문제가되고있는정

보통신 네트워크 안전성 확보를 위하여 국민이 안심하고 네트워크를 이용

하기 위한 네트워크 안전성 및 신뢰성 확보 등에 관한 조치가 선행되어야

함을 규정(제21조)하고‘고도 정보통신네트워크 사회 추진전략 본부’로 하

여금정보통신네트워크의안전성및신뢰성확보시책에 한중점계획을

작성토록하는등우리나라의「정보화촉진기본법」과동일하다.


57) 한국정보보호진흥원, 상게서. pp.204-212 내용참고

「전자서명 및 인증 업무에 관한 법률」은 2000. 5월 법률안이 제정되어

2001. 4월부터발효되었다. 이법은제6장47개조문과부칙으로이루어져

있는바, ①전자상거래를비롯한네트워크를통한사회경제활동의안정성

확보, ②전자서명에관한기술적중립성의확보와인증기관의자유로운활

동 확보, ③ 사용자에 의한 자유로운 인증 서비스의 확보, ④ 개인 및 기업

등에 관한 정보보호의 확보, ⑤ 국제 정합성의 확보 등의 내용을 규정하고

있다.

일본의 최근 노력을 보면, 일본에서는 IT 전략본부 산하에‘정보보안 기

본문제 위원회’가 설치되어 정보보안 기본과제에 해서 전문가의 의견을

집약(2004.7)하 는바, 위원회 제1분과는「정보보안 정책 전반의 실행체제

재검토」및「정부 자체의 정보보안 책의 강화」를 논의하고, 제2분과는

「주요 인터넷의 정보보안 책의 강화」를 논의, 각각 결과를 작성, ‘IT 전략

본부’에 보고하 다. 그 결과 정부의 보안 책을 2004. 11월「제1차 제언」

을 마련, 상신한 결과‘IT 전략본부’가 이를 수용하여 2005. 4월 내각관방

‘정보보호 책추진실’을 발족∙강화하는 형태로“내각관방정보보안센터

(NISC)”를 신규 설치, 정보보안 문제에 관한 일본의 중핵기관으로서의 활

동을개시하게되었다. ‘내각관방정보보안센터’는①기본전략입안, ②정

부 종합 책 촉진, ③ 정부 사안 처 지원, ④ 주요 인프라의 정보보안 책

등의업무를수행한다. 한편, 제2분과는‘내각관방정보보안센터’를중심으

로 주요 인프라 소관 부처, 사업자 등과의 제휴를 통하여 새로운 주요 인프

라 방어체제를 구축하고 인프라의 수평적 기능강화, 정보공유ㆍ제공체제

강화, 종합적 연습 실시 등을 검토하도록 하는「제2차 제언」을 발표하는 등

지금까지 일본은‘내각관방정보보안센터’에 의한 주요기반시설보호와 정

부 역정보보안강화의2개의축으로정부측면의정보보안활동을추진해

오고있다.


바. 중 국58)

중국은 전반적인 일당체제 하에서 강력한 사이버보안 체제를 유지하며

제한된 인터넷 이용의 모습을 보이고 있다.59) 1990년 부터 시작된 중국의

인터넷은 정부 주도로 상당히 강력한 보안정책의 상이 되어왔다. 주용밍

의 연구에 의하면 중국정부는 인터넷을 통제하기 보다는 적극적으로 이용

하는 모습을 보여 왔다고 하나 중국의 공산당 정부가 정치커뮤니케이션에

해철저한통제를해온것이사실이며특히일반국민들에게공개되는전

문내용의경우, 당의노선과반 되는내용을철저히감시한다.

중국의 인터넷에 한 법적 규제는 정부가 정보기술과 인터넷을 제10차

국가경제사회발전5개년계획으로통합하기로결정한2000. 10. 11일 제15

차 중국 공산당 중앙위원회 제5차 전체회의부터 엄격해 졌다. 전체 국제광

역의80%를점유하는상위2 네트워크인ChinaNet과China169를정

부가 운 하고 있기 때문에 중국의 인터넷은 거 한 국가 인트라넷

(national intranet)의모습을띤다.60) 중국의인터넷은Chinanet을통한일

괄접속이므로 문제는 내용으로서 중국 정부는 반정부적 내용에 해서 엄

격히 통제를 하고 있으며 한편으로는 Red websites를 통해 정부의 정책을

활발히홍보하는데도주력하고있어내부통제와함께홍보를통한결속력


58) 국가보안기술연구소, 『각국의정보보안관련법제』, 2006.

59) Zhou, Yongming.『Historicizing Online Politics: Telegraphy, the Internet, and

Political Participation in China』(Stanford: Stanford University Press, 2006) ; 고

경민, “인터넷 발전과 권위주의 체제는 양립 가능한가? - 중국 인터넷 발전의 정치적

외부효과와 정부의 역할,”『국제정치논총』47-2(2007); 이민자, “중국 온라인 공간의

주도권쟁탈전: 국가-사회의경쟁,”『한국과국제정치』, 20집4호, pp.199-227, 2004;

“중국의 정보화정책과 추진체계의 특징 및 변화,”한국정치학회 연말학술 회 발표논

문, pp. 101-118, 2002; “중국 인터넷: 정보공개와 통제의 딜레마,”『계간 사상』2003

가을, pp.160-182; 정재호, “파룬궁, 인터넷과 중국 내부통제의 정치,”『한국정치학회

보』, 35집3호, pp 297-316), 2001 등참조.

60) 고경민, “인터넷 발전과 권위주의체제는 양립 가능한가? - 중국 인터넷발전의 정치적

외부효과와정부의역할,”『국제정치논총』47-2(2007), p.35.

을다지는등이중용도로인터넷을활용하고있다.

사이버안전관련기관으로는 국가안전부와 공안부, 국가보 국, 그리고 인

터넷경찰과 중국 침해사고 응센터 등이 있다. 국가안전부에서는 기술정

찰국이 국가암호 및 컴퓨터 보안정책을 수립하는 등 사이버안전업무를 총

괄하고있으며국무원의국가보 국에서는정보보안을제외한국가공공기

관의 국가보안업무를 책임지고 보안감사, 보안정책수립 시달 및 통제감독

을 담당하고 있다. 또한 공안부에서는 중국 국가기관, 공산당과 인민 회,

국가기관 산하 국 기업 등의 중국 국가 공공기관에 납품하려는 보안제품

에 해 제품검사를 실시하고 중국의 컴퓨터 및 네트워크 보안정책과 보안

제품 개발에 관여하며 암호화 절차를 결정하는 등 국가기 을 보호하는데

있어 핵심적 역할을 수행하고 있다. 한편, 1998년 이후 중국 전역에 걸쳐

20개 이상(2004년 기준)의 지방정부가 인터넷 범죄를 다루기 위해 자체적

으로 인터넷경찰 설립을 추진하여 왔는바, 인터넷 경찰은 인터넷상의 사기

나 횡령, 그리고 포르노그라피 등과 같은 온라인 범죄를 다루면서 인터넷

사용자들에게 바이러스와 네트워크 취약성을 경고하는 한편, 금지된 파륜

궁 종교단체의 단원이 인터넷으로의 파륜궁 운동을 전파하는 것을 차단하

는 활동도 겸하고 있다.61) 그리고 신식산업부 산하의 비 리기관인‘중국침

해사고 응센터’(CN-CERT)는 민간분야의 사이버침해사고 조사∙ 응활

동을 비롯, 2004년에는‘국제침해사고 응팀협의회’(FIRST)회원으로 가

입, 활동하고있다.

특히 인민해방군에서는 산하기관인 군사과학협회에서 1991년부터 해커

를 양성하기 시작한 이래, 1997. 4월 중앙군사위원회 직속 컴퓨터바이러스

(해커)부 와, 2000. 2월 사이버전 부 Net-Force를 창설하여 세계 각국

을 상으로 사이버전을 수행하고 있다.62) 2007. 4�8월 기간에는 만∙


61) 국가사이버안전센터,『Monthly 사이버시큐리티』2004. 8월호, pp.54-56.

62) 고경민, 상게서, p.35.

국∙독일∙호주등외국정부기관에 해집중적인해킹공격을시도하여

외교문제로 두된바있으며2007. 6월에는우리나라를 상으로해킹메

일을 집중 발송하여 국회∙산업자원부 등의 중요자료를 절취한 바 있다고

당시국내외언론에 적으로보도된적이있다.

주요 법률로는「중화인민공화국 인민경찰법」, 「전국인민 회 상무위원회

의인터넷보안유지에관한결정」등이있고1997년수정된「형법」에는국가

보안 침해죄, 공공보안 침해죄, 사회주의 시장경제질서 파괴죄, 공민권리

침해죄, 민주권리침해죄, 재산침해죄, 사회질서교란죄를포함하여컴퓨터

정보시스템 불법 침입죄, 컴퓨터정보시스템 파괴죄를 특별히 규정하고 있

다. 또한 주요 행정법규로는「중화인민공화국 컴퓨터정보시스템 보안보호

조례」, 「중화인민공화국 컴퓨터정보통신망 월드와이드웹 관리 임시규정」,

「컴퓨터정보통신망 월드와이드웹 보안보호 관리조치」, 「상용 비 번호 관

리조례」, 「인터넷정보서비스 관리방법」, 「컴퓨터 소프트웨어 보호 조례」등

이있다.

사. 러시아

러시아는 주로 전략목표시설과 국가운 정보통신기반시설의 보호문제

에 지 한 관심을 갖고 연방보안부(FSB), 연방기술∙수출통제국(FSTEK),

정보보안센터(ISC) 등 관련기관과 법률에 기반, 활동하고 있다. FSB는 국

가비 에 해당하는 주요 정보의 보호에 한 통제는 물론, 외국 정보기관,

단체, 범죄집단 및 개인이 FSB에 의해 보존된 첩보에 기술적 수단을 이용

하여 침투하는 행위들에 한 예방 조치활동과 함께 업비 보호 책을

수립하려는 기업이나 기관, 단체들에게 협조를 제공하고 있으며 일부 특수

부서에서는 보안자재의 설계와 생산, 기술서비스 및 암호자재의 보급 등에

도 관여하고 있다. 또한 연방 행정기관인‘연방 기술∙수출 통제국’에서는

국가정책 시행, 부처간 조정 및 협조, 정보보호문제에 한 통제 기능을 수

행하고 정보분야에서 국가안보에 핵심 기능을 제공하는 정보 및 정보통신


기반시설시스템에 한보호업무를수행한다.

FSB 산하‘정보보안센터’는통신보안업무와정보보호시스템평가∙인증

을 총괄 조정하고‘침해사고 응팀(RU-CERT)’을 운 , 사이버위협∙취

약점 분석, 사이버보안기술 연구개발, 정보보호제품 평가∙인증업무를 수

행하며비 리에사이버전전담부 를설치, 공격기술개발및정보수집업

무를담당하고있다. 그리고정부차원에서사이버테러및컴퓨터범죄와관

련문제를독립국가연합(CIS) 구성원들과협력하에관련법령정비및제정

을하고있는데, 1996. 2. 17일제7차CIS 연합의회전체회의에서는기본형

법을 채택하는 과정에서 컴퓨터 범죄에 한 형사상의 책임을 적시, 2001.

6. 1일 컴퓨터 정보 역에서의 범죄에 관한 CIS 국가들의 협력협정을 벨라

루스의수도민스크에서체결했다. 이는사이버테러및컴퓨터범죄에 항

하기 위해서 러시아, 우크라이나, 벨라루스, 카자흐스탄 등의 관련법령을

통합, 사이버범죄및테러에 한새로운법적규범을채택했다는데의미가

있다.63) 특히 정보 및 보안기관 중에서 예산을 가장 많이 사용하는‘연방정

부통신정보부’(FAPSI : Federalnoye Agentstvo Pravitelstvennoy

Svyazy)를운 하고있는데, 임무는신호정보(SIGINT), 전자정보(ELINT),

비통신(Non-Communication) 신호정보 수집업무와 정부 통신암호 보안

업무를담당하고있다.64)

관련 법률로 2006. 7. 27일부터 발효된 러시아연방법인「정보, 정보기술

및정보보호법(149-f3호)」은주로정보시스템구축시러시아연방의보안시

스템 내부에 저장되어 있는 정보의 보호를 위해 불법 접근, 삭제, 수정, 차

단, 복제, 배포에 한보안 책은물론, 여타접근이제한된정보의비 성

준수와 정보 접근권 실현을 위한 법률적, 조직적, 기술적 조치를 취하는 것


63) 국가보안기술연구소,『舊 동구권 국가들의 사이버위협 식별 및 응체계 분석에 관한

연구보고서』, 2007, p.38.

64) 국가사이버안전센터, Monthly 사이버시큐리티. 2004.11월호. p.65

이다.65) 또한「형법」에서는컴퓨터정보관련불법접근등에 한컴퓨터범

죄에 한형사처벌을규정하고있는바이법에는컴퓨터정보에관한불법

접근, 유해 컴퓨터 프로그램 제작, 사용 및 유포, 컴퓨터 시스템 및 컴퓨터

네트워크운용규정위반등에 한처벌및계도규정을두고있다.66)

한편, 러시아에서 정보보안 보장은 정보기술의 독자적 발전방향으로 정

립되었고 정보통신시스템 업무 및 기능유지 비용의 10�20%를 차지하고

있다. 특히 최근 몇 년간 정보보안 제품과 용역 시장의 성장은 전문가들에

의해 45%로 증가한 것으로 평가되어 IT시장의 통상적인 성장 속도를 추월

하 을 뿐만 아니라 정보보안 시스템에 한 지출만 보더라도 러시아는 많

은 유럽 국가들 보다 5�6배 앞서고 있으며 정보보호 문제에 한 주요 관

심도응용프로그램에집중되고있다.67)

4. 시사점

지금까지 미∙ ∙EU∙독일∙일∙중∙러시아 등 주요 국가들의 정보보

호법제와주요정책을살펴본바에의하면다음의6가지로구분하여시사점

을도출해볼수있다. 우선, 사이버안전조직및임무의법적근거확보측면

에서 미국의「국토안보법」∙「연방정보보안관리법」과 독일의「연방정보기

술안전청의 설치법(BISG」등에서 사이버안전조직 및 임무와 업무 총괄을

명시하고 있는데 비해, 우리나라는「사이버안전관리규정」( 통령훈령)으로

규정됨으로서 법적 효력을 갖지 못하여 비인가자의 불법 침투행위에 한


65) 국가안보전략연구소주관“동북아에서의사이버테러위험가능성과 응방안”주제국

제학술회의(‘07.11.22 서울프라자호텔 다이아몬드홀), 인포름엑스페르티자사, 방위사

업협회부회장“루바노프V. A.”발표내용참고.

66) http://russianlaw.net/english/ae07.htm 및

http://www.garweb.ru/project/law/doc/10008000/10008000-038htm

67) 상게서, 러시아방위사업협회부회장루바노프V. A. 발표내용참고

처벌이 곤란할 뿐만 아니라 위협정보 수집을 위한 보안관제(모니터링)시,

통신비 보호법과 충돌 소지는 물론, 유관기관간 정보공유를 위한 협조 및

정책업무 총괄을 위한 활동 등에 많은 제약이 되고 있어 우리나라의 관련

법률 정비의 필요성을 지적하고 있다 하겠다. 사이버공격은 공격의도를 가

진 자가 상 방 IT 시스템의 취약점을 찾아내 마비시키거나 기 정보를 탈

취하는 것으로 이를 방어하기 위해서는 IT 정보자산에 한 끊임없는 유지

보수와긴급상황발생시이를확인하여차단할수있는적극적인보안활동

이 필요하다. 그러나 현재 사이버안전관리규정에는 사이버 공격에 한 공

격자 정보차단 및 이를 추적하여 응할 수 있는 법적인 규정이 미비하다.

그러므로 국가주도로 사이버 위기에 처하기 위한 법률 마련을 통해 국가

기관망에 한 종합적인 보안관리를 의무화해 국가 차원에서 종합 응체

계를구축할필요가있다. 둘째, 기존의보안업무와사이버보안업무의융합

측면에서 미국의 국토안보부나 국의 통합된 국가기반시설보호센터

(CPNI)와같이우리나라도2008. 2월정보통신부폐지로인해분산된정보

보호관련 업무와 기관을 통합, 일원화하고 기존의 물리적 보안과 사이버보

안업무는물론, 관련산업을융합발전시킴으로서국가경쟁력강화에매우

필요할 것으로 사료된다는 점이다. 셋째, 미국이 연방정보보안법(FISMA)

에따라국가차원의사이버안전전략을수립하고국가공공기관은물론, 주

요기반시설에 한 관리감독 및 기관간 정보공유체계 구축 등 사이버안전

체계확립을통한사이버안전수준향상을도모하고있음을감안, 우리도법

률로 전략수립 및 정보공유, 관리감독 등 사이버안전업무를 명시적으로 규

정하여 유관기관간 망 연동을 통한 정보공유 등 실질적인 협조 네트워크가

구축되도록 보완할 필요가 있다. 넷째, 미국이 Cyber Storm이나 Cyber

Tempest 등 국가차원의 사이버공격 응 훈련을 정기적으로 실시하고 있

듯이 우리나라도 을지연습 차원에서 극히 미미하게 수행되고 있는 사이버

훈련을이제는별도로범정부차원에서민ㆍ관ㆍ군을망라하여 규모로확

실시해야만한다. 다섯째, 미국과독일은우리나라의지침수준에서다루


고 있는 세부 사이버안전 업무수행 내용을 법률에 명시하고 있는데, 이는

우리나라도조속히사이버안전업무가 통령훈령이아닌법률적근거에의

해 수행되어야 하는 당위성측면에서 시사하는 바가 크다. 마지막으로 최근

빈발하는 국가간의 사이버전 사례에서 보듯이 몇몇 국가의 경우, 사이버전

을 전담하는 군부 를 공공연히 출범시켜 운 하는 등 국가차원에서 조직

적으로 이에 응하는 움직임이 활발해 지고 있다. 이러한 시 적 조류에

맞춰 이제 우리도 국가 방위차원에서 미래 사이버전쟁에 비한 인력양성

은물론, 기술개발에주력할필요가있음을시사해주고있다하겠다.

IV. 국내외 사이버안전 법체계 비교

1. 국내외사이버안전유사법률비교

미국은기반시설보호등사이버안전과관련된법률을국토안보및국가안

전보장차원에서 총괄법(혹은기본법)으로규정하고있고개인정보보호와관

련된 프라이버시관련법을 특별법으로 제정, 역별 역할을 다하고 있다. 그

러나우리나라의경우는국가안전보장을위한총괄법의부재는물론, 전자정

부∙사이버안전∙주요기반보호∙개인정보보호 등이 분야별, 기관별로 나뉘

어개별법률로제정하고있고책임과임무도기관위주로분산되어있다.

[표5] 미국과의 사이버안전관련 법체계 비교와 같이 미국과 우리나라의

유사법 체계를 살펴보면, 우리나라의「정보통신기반보호법」과 미국의「국

토안보법」은 국가안보차원의 국가기반시설의 보호를 명문화한 법률이지만

「정보통신기반보호법」의 경우에는 안보차원의 기반시설 보호기관이 민ㆍ

관으로분산되어있고총괄기관도정해져있지않는등법률의성격과내용

에서 차이점이 있다. 또한 국가안보에 한 위해자들의 통신내용 감청 및


통신비 을보호하기위해서우리나라의「통신비 보호법」과미국의「애국

법」, 「해외정보감시법」등이마련되어있는데, 미국은해외정보수집을법률

로 규정하고 있으나 우리의 경우에는 유사한 규정이 없다. 그 밖에 감청업

무 수행을 위한 통신사업자 지원에 해서 미국에서는「법집행기관을 위한

통신지원법」이, 우리나라에서는「통신비 보호법」과「전기통신사업자법」

으로 분산시켜 개별법으로 규정하고 있으며 사이버안전관련 업무총괄은

「국가사이버안전관리규정」으로되어있는데비해, 미국은「연방정보보안관

리법」이마련되어있어규정과법률의 조를이루고있다.

한편 국내 법률을 비교해 보면, 현재 우리나라의 사이버안전분야를 표

하는 법으로는「정보통신기반보호법」과「정보통신망법」및「국가사이버안

전관리규정」등이 있으나 각기 적용 상과 목적이 상이하여 응업무에 한

계가 있다. 즉, 「정보통신기반보호법」의 경우에는 전자적 침해행위에 한

주요정보통신기반시설의 보호를 법의 목적에서 규정하고 있는데 비해, 「국

가사이버안전관리규정」의 경우에는 사이버공격에 한 국가정보통신망을

보호한다는 구체적인 내용을 담고 있어 서로 상이한 보호 상 및 적용범위


한 국 미 국 비 교 내 용

[표5] 미국과의사이버안전관련법체계비교

○정보통신기반보호법

○통신비 보호법


○전기통신사업자법

○정보화촉진기본법

○국가사이버안전관리규정


○공공기관의개인정보

보호에관한법률

국토안보법(총괄법)

애국법

해외정보감시법

법집행기관을위한

통신지원법

연방정보보안관리법

국토안보법(총괄법)

전자통신프라이버시법

국가안보차원국가기반시설보호

국내외감청및통신비 보호

감청업무수행을위한

통신사업자지원

사이버안전업무총괄및

보안제품인증

개인프라이버시보호

1

2

3

4

5

를규정하고있다.

또한, 「정보통신기반보호법」및「국가사이버안전관리규정」어디에도사이

버테러에 한 구체적인 정의나 테러 발생 시 사이버안전에 한 통합적인

업무를수행하는전담기관이지정되어있지않다. 과거1.25 인터넷 란시

국가 주요기반시설이 8시간이나 마비되었음에도 이를 책임지는 정부 기관

이 없는 것도 명백히 법률상 책임기관을 정하지 않은 것이 큰 이유로 볼 수

있다. 따라서 국가안보에 직접적인 위협이 초래되거나 또는 우려되는 사태

가 발생될 경우, 책임지고 실질적으로 업무를 총괄 조정할 수 있는 기관을

지정하여필요시각기관별로운 하는사이버안전 책기구를통합운 하

고 조정할 수 있는 권한을 부여하고 정보공유, 사고조사 및 긴급 복구방안

을 수립, 이행여부 확인 등 각급기관별 담당 임무를 구체적으로 법률에 명

시하여책임과권한을동시에갖도록할필요가있다.

2. 국내외사이버안전관련양형비교

현행 사이버안전관련 법률에서의 불법침해 행위에 한 처벌형량은 각

법률마다 다르게 규정되어 있어서 어느 법을 적용해야 할지 곤란한 경우가

많으며 이러한 형벌의 불균형은 법의 보편성의 원칙에도 어긋나는 것으로

서시급히보완되어야할문제이다.

정보내용의 위∙변조 등 정보침해에 한 처벌 시「전자정부법」에서는

“행정정보의 처리업무를 방해할 목적으로 행정정보를 변경하거나 말소한

자에게는 10년 이하 징역”, 「정보통신기반보호법」은 접근권한이 없는 자가

주요 정보통신기반시설에 접근하거나 권한이 있다 하더라도 그 권한을 초

과하여 저장된 데이터를 조작∙파괴∙은닉 또는 유출하는 행위 등을 할 경

우, 10년 이하 징역 또는 1억원 이하 벌금에 처한다고 규정하고 있다. 또한

「공공기관의개인정보보호에관한법률」은“공공기관의 개인정보처리업무를

방해할 목적으로 개인정보의 변경 또는 말소한 자는 3년 이하 징역 또는 1


천만원 이하의 벌금”, 「형법」은“공전자 기록을 위∙변조한자”는 5년 이하

징역 또는 1천만원이하의 벌금, “위∙변조 등의 공문서를 행사한 자”는 10

년이하징역, “사전자기록의위∙변조한자”는5년이하징역또는1천만원

이하벌금에처하도록규정하는등유사범죄라하더라도처벌형량이법률

마다차이가있다.

비 누설 등 정보침해에 한 처벌도「전자정부법」에서는 행정기관에서

처리하고 행정정보를 누설하는 행위를 한 자는“3년 이하 징역 또는 1천만

원이하벌금”, 「정보통신기반보호법」에서는“정보보호관계기관, 금융∙통

신등분야별기반보호업무를수행하는정보공유∙분석센터등에서비 을

누설한자는5년이하징역, 10년이하자격정지또는5천만원이하벌금에

처한다.”라고규정하고있다.

「전기통신사업법」은“전기통신사업자가 취급 중에 있는 통신의 비 을

침해, 누설한자”는3년이하의징역또는1억5천만원이하의벌금, 「정보통

신망이용촉진및정보보호등에관한법률」에서는“타인의 정보를 훼손, 비

을 침해, 도용 또는 누설한자”는 5년 이하 징역 또는 5천만원 이하의 벌금,

‘형법’제316조에서는3년 이하 징역 또는500만원 이하 벌금등 법률마다

형량이다르다.

정보통신망침해행위(해킹등)에 해서는「정보통신망이용촉진및정보보

호등에관한법률」에는 해킹∙악성코드유포 등에 의해 무단으로 정보통신망

에 침투하는 경우, 최고 5년 이하 징역 또는 5천만원 이하 벌금, 「정보통신

기반보호법」은 데이터를 조작∙파괴∙은닉∙유출할 경우 10년 이하 징역

또는 1억원 이하의 벌금을 부과한다고 규정하고 있다. 또한「형법」은 컴퓨

터에 허위정보∙부정한 내용을 입력, 재산상 이득을 취하거나 취득하게 한

경우 10년 이하 징역, 2천만원 이하 벌금, 컴퓨터장치∙전자기록 매체훼손

및 장애를 유발하여 업무를 방해할 경우, 5년 징역, 1천만원 이하 벌금으로

규정하고있다.

한편, 컴퓨터범죄에관한처벌의경우, 미국은고의로프로그램, 정보, 명령


을전송하여컴퓨터에손해를야기한행위에 해초범은5년이하징역, 상습

범에게는10년이하징역이최고형이었으나, 9∙11테러이후「애국법」을제정,

초범에게10년이하, 상습범에게는20년이하로강화하 다.

특히「사이버보안 강화법」에는 공격자가 고의 또는 부주의로 법률을 위

반, 심각한 신체적 상해를 유발하거나 시도하는 경우, 본 Title에서 정한 벌

금이나 20년 이하의 징역 또는 이를 병과하고 공격자가 고의 또는 과실로

사망을 유발하거나 유발하고자 시도하는 경우에 유기 또는 무기징역에 벌

금을 부과할 수 있다고 규정하여, 신체의 상해나 생명의 위험과 관련된 컴

퓨터 범죄의 처벌을 폭 강화하 는 바 우리나라에는 이러한 유사한 규정

을 찾아볼 수가 없다. 또한 미국의「애국법」은 보호되는 컴퓨터에 손해를

가한해커에 한최고형량을이전에는초범에게5년이하의징역, 상습범

에게10년이하의징역이최고형이었던것을현재는초범에게는10년, 상습

범에게는 최고 20년형으로 상향∙조정하는 등 처벌형량을 9.11 사태 이후

폭 강화하고 있는 것을 볼 때, 우리나라의 양형과는 비교할 수 없을 정도

로훨씬강화된형태를보이고있다.

3. 국가사이버안전관리유사기관비교

국가사이버안전업무를 수행하는 우리나라 행정기관으로서 민간분야는

한국정보보호진흥원의「인터넷침해 응센터」, 군 분야는 국방부 국군기무

사의「국방정보전 응센터」, 국가∙공공분야는 국가정보원의「국가사이버

안전센터」가각각분야별로임무를분담, 담당하고있다. 그러나다음[표6]

외국 사이버안전센터 유사기관의 현황 및 비교와 같이 미국은‘국토안보부

법’에 의거 설립된 국토안보부에‘국가사이버안보센터(NCSC)’, ‘국가사이

버보안처(NSCD)’와‘국가기반보호센터(NIPC)’등에서 사이버위협정보를

수집∙분석, 위험상황 발생시 경보를 발령하고, 국은 2007. 2월 새로이

통합 창설된 국가기반보호센터(CPNI)와 연방침해사고 응기구(UNIRAS)


에서정보보호를위한보안권고를발령하며사이버위협 응활동을수행하

고 있다. 또한 독일은「연방정보기술보안국설치법(BSIG)」을 근거로 설립된

내무부 산하 연방정보기술보안국(BSI)에서 실질적인 국가사이버안전업무

를 총괄하고 있다. 그리고 러시아는 연방보안부(FSB)의 정보보안센터(ISC)

에서 통신보안업무와 정보보호시스템 평가∙인증업무를 총괄 조정하고 있

으며, 중국은 국가안전부 산하 기술정찰국이 국가암호 및 컴퓨터 보안정책

수립 등 국가사이버 안전업무를 총괄하고 있다. 일본의 경우에는 2005. 4

월 내각관방의‘정보보안 책추진실’을 개편, ‘내각관방정보보안센터’를

설치, 사이버테러 정보수집∙위험평가 및 관련 성∙청에 위기관리 책 수

립지시등전반적인사이버안전업무를수행하고있다.

이와 같이 미국∙ 국∙독일∙일본 등 각국들에서는 우리나라의‘국가사

이버안전센터’, ‘인터넷침해사고 응지원센터’등과 유사한 기관을 설립∙

운 68)하고 있지만 우리나라처럼 민∙관∙군을 구별하여 기관별로 임무를

분담하지 않고 통합적으로 운 하고 있다. 특히 미국과 독일의 경우에는 이

를 법률로 정하여 기관을 설립 운 하고 있는데다 유관기관간의 협력 및 총

괄조정임무를법률에명시하여국가주요기반시설에 한보호업무를국가

안보차원에서 수행할 수 있도록 체계를 갖추고 있다. 또한 국에서는 보안

관련유관기관이합동근무를통하여물리적보안과사이버보안을융합하여

시설보안, 사이버보안등이통합수행되고있음을알수있다. 또한임무기능

역시도각종사이버위협으로부터의자국의안보는물론, 국익보호에치중하

는 등 미래 사이버전에 비한 방어조직과 함께 공격 위주의 전담군 조직

을신설하는등공공연히사이버안전정책을확 하고있어서우리나라도이

에걸맞게IT기술을기반으로하는조직정비가시급하다하겠다.


68) 『서울신문』, 2008.4.24

(출처: http://www.seoul.co.kr/news/newsView.php?id=20080424016001)


국가 기 관 명

[표6] 외국사이버안전센터유사기관의현황및비교

○국가사이버안전센터(NCSC)

○국정원, 국방부, 행안부, 방송통신원회 등 정부기관이민∙관∙군으로 분담, 소관분야정보수집및공유

○연방정부의 통신망 보호업무수행

○국가안정보장국(NSA)과연방수사국(FBI), 국방부(DoD)의 전 통신시스템의정보를수집, 공유하며모니터링

국토안보부국가사이버안보센터(NCSC : 2008)

○국가사이버안전센터(공공)○한국정보보호진흥원(민간)○국정원, 행안부, 방통위,

국방부등

○사이버테러 응조치, 총괄조정

○취약점 확인∙분석∙경보발령

○민∙관 협력 및 훈련, 교육홍보

국토안보부국가사이버보안처(NCSD : 2003)

○한국정보보호진흥원 (KISA)및통신∙은행∙증권CERT 등

○민간해킹사고조사, 모니터링(관제)

○사이버위협 경향 분석 및배포

FBI국가기반보호센터(NIPC : 1998)

○국정원국가사이버안전센터○유관기관 파견관(5명)합동

근무 물리적∙사이버보안개별수행

○경보, 정부침해사고 응기구관할

○NISCC, NSAC, CESG 등합동근무, 물리적∙사이버보안융합수행

내무부국가기반보호센터(CPNI : 2007)

○한국정보보호진흥원(KISA) 인터넷침해사고 응지원센터

○전자공격위협에 한경보○침해사고및취약점수집∙

분석

내무부연방침해사고 응기구(UNIRAS : 1992)

○국가사이버안전센터(NCSC)및한국정보보호진흥원등

○보호제품평가∙인증, 보안관제등국가사이버안전업무총괄

내무부연방정보기술보안청

(BSI : 1991)

○ 국가사이버안전센터(NCSC)

○사이버테러 정보수집∙위험평가 및 성∙청에 위기관리 책수립, 지시

내각관방부내각관방정보보안센터

(NISC : 2005)

○정부기관 사이버안전업무총괄

○사이버테러복구및 응지원

내각관방부정보보호 책추진실

(2001)

우리나라 유사기관 및 임무주요 임무 및 기능

국

독일

일본

미국

V. 사이버안전업무 발전방안

정보통신환경의급속한발달로국가ㆍ공공기관의보안업무환경도전통적

인보안업무 상은점차줄어드는반면에사이버공간에서이루어지는보

안업무 역은점차확 되고있다. 그러나현재 부분의국가∙공공기관

에서는이러한보안업무환경변화에능동적ㆍ적극적으로 처하지못하고

전통적인보안업무수행의기본틀안에서사이버안전업무가부실하게수행

되고있다. 그원인을살펴보면먼저사이버보안업무의 역은급속히확

되고있지만우리나라보안업무수행의기본법규라고할수있는「보안업무

규정」및「보안업무규정시행규칙」등관계법규는아직도정보화이전의전

통적보안업무틀속에서제도와현실이괴리되어있다. 또한사이버보안

업무에 한전문지식이부족하여보안사각지 가자주발생하고있다. 이

러한이유로인해그동안국가정보원에서는「보안업무규정」을정보화시

에맞게수차개정하려고시도하 으나정부부처간이견으로인해아직까

지실현되지못한것으로알려지고있다. 하루빨리새로운환경에맞는관

련법과규정이제ㆍ개정되고보안업무도투명성을제고하기위해법률로

규율하는문제를검토해야한다. 현재는군사기 에 해서만「군사기 보


국가 기 관 명

○국가사이버안전센터(NCSC)

○국가암호, 컴퓨터보안정책수립, 사이버안전업무총괄

국가안전부기술정찰국( - )

○국가사이버안전센터(NCSC) 및한국정보보호진흥원(KISA)

○공공기관 납품 제품평가∙인증등

공안부

○통신보안업무와 정보보호시스템 평가∙인증업무를총괄조정

연방보안부(FSB)정보보안센터(ISC:- )

우리나라 유사기관 및 임무주요 임무 및 기능

중국

러시아

호법」을적용하고있으나이제는국방∙외교등전통적안보관련사항만이

아니라산업기 , 사이버보안등새로부각된국가이익에관한사항도기

의범위에포함시켜법률에반 하여야할때가온것이다.

우선, ‘보안업무규정’및‘정보및보안업무기획조정규정’을개정해야한다.

「국가정보원법」제3조는 국가기 에 속하는 문서∙지역∙시설 등의 보안

업무와보안업무의기획∙조정업무를위해「보안업무규정」과「정보및보안

업무기획조정규정」을 하위 규정으로 두고 있다. 「보안업무규정」은 비 보

호∙보안측정∙보안사고조사등기 과보안목표시설등의보호에관한사

항을 규정하고「정보및보안업무기획조정규정」을 통해 보안방책을 수립, 각

급기관의 보안업무를 조정토록 한다. 그러나 동(同)법은 ’70년 문서∙시

설(전신∙전화∙전파시설)보안위주로 제정되어 해킹∙컴퓨터바이러스 등

최신위협요소보다‘암호자재제작공급’등비 유출방지를위한통신보안

업무위주로되어비현실적이며비 문서유출위주로보안사고를규정, 해

킹∙컴퓨터바이러스 등에 의한 침해사고를‘보안사고’로 규정하기가 용이

하지 않을 뿐만 아니라‘보안측정’ 상인‘국가보안목표시설’의 지정단위

도건물등시설위주로되어있어광범위하게연결, 운 되는정보통신망과

시스템 등을 상으로 하는 업무수행이 곤란하다. 또한「정보및보안업무기

획조정규정」의 조정 상 업무도 전신∙전화를 통한 비 유출방지를 위한

‘통신보안’69) 업무로정의하고있어사이버테러에 한징후탐지등범국가

차원의체계적인절차∙방법등을기획∙조정하기가어렵다.

따라서「보안업무규정」제2조(정의)를 수정, 해킹∙컴퓨터바이러스 및 전


69) 정보및보안업무기획조정규정제2조제5호“통신보안”이라함은통신수단에의하여비

이직접또는간접으로누설되는것을 미리방지하거나지연시키기위한방책을말

한다.

자무기 등으로부터 정보통신시설에 한 보호활동을‘정보통신보안’및

‘사이버안전’등으로 정의하고 제5조의‘암호자재’제작공급으로 국한된

기술개발∙지원업무를암호시스템을포함, 정보통신망보호에필요한보안

기술및보안시스템으로확 해야한다. 또한제36조의보안측정 상을전

신∙전화∙전파시설에서 정보통신시설로 현실화하고 디지털위성도청기술

등 첨단기술에 의한 도청을 차단하기 위한 도청측정업무를 포함시키며

제38조를해킹∙컴퓨터바이러스및전자무기등에의한국가안보관련정보

통신기반시설 침해사고도 보안사고로 규정할 수 있게 수정해야 한다. 또한

「정보및보안업무기획조정규정」의 기획∙조정업무 상을‘통신보안’에서

전자문서유출방지와해킹∙컴퓨터바이러스∙전자무기에 한보안업무를

포괄할 수 있게‘사이버안전’으로 개정, 사이버안전관련 업무기획 및 조정

권한과책임도함께부여해야한다.

둘째, 국가사이버안전센터설립근거를법률로명문화하여야한다.

「국가사이버안전센터」는2004년설립, 지금까지범국가적차원에서국가

사이버안전 정책총괄 업무를 수행해 왔는바, 이는「국가사이버안전관리규

정」( 통령훈령 제141호, 2005년 제정)에 근거하고 있다. 특히 국가정보원

은 정무직을 제외한 조직구성원에 해 비공개(국정원법 제6조) 원칙에도

불구하고 그 소속기관인「국가사이버안전센터」만은 민∙관∙군의 정책을

총괄하고 국내외 위협정보 공유 및 범정부차원에서의 유관기관 협력을 강

화하기 위해서 이례적으로 공개적으로 운 중이다. 그러나 국가정보원의

직무를국외정보및국내보안정보의수집업무와국가기 에속하는보안업

무로명시하고있어서해킹∙바이러스등사이버공격이국가안보위협요소

로 상존하고 있는 실정임에도 기존의「국가정보원법」을 통한 국가기 과

산업기 , 그리고 주요 국가정보기반시설을 보호하기 위한 포괄적인 사이

버안전업무를 수행하기란 법적 근거가 부실하다. 또한 모든 국가ㆍ공공기


관의 경우, 「헌법」이나「정부조직법」등 법규에 의거 기관의 설립근거를 갖

고있는데비해서「국가사이버안전센터」는 통령훈령인「사이버안전관리

규정」에의해설립근거를두고있어법률로지정된기관과업무 역에서일

부 오해와 충돌을 빚기도 하 다. 앞서 살펴본 바에 의하면 미국은「국토안

보부법」을 통해 사이버안전업무의 총괄기관으로 운 되고 있고 독일 역시

「연방정보기술보안청설치법」을근거로별도의기관설립및총괄임무기능

을부여받고있다. 이렇듯선진국들의예를참고한다면우리나라도「국가정

보원법」에「국가사이버안전센터」의 설립 근거를 마련하는 것이 당연하며

이로 인한 유관기관간의 업무시비 요인을 근원적으로 해소해야 할 것으로

본다. 따라서「국가정보원법」제3조에‘사이버안전업무’를추가하고구체적

업무절차 등을 규정한 현행「국가사이버안전관리규정」을 통령령으로 제

정, 법률에 의해 위임을 받아 업무를 수행할 수 있도록 법체계가 정비되어

야할것이다.

셋째, 현행 개별법을 통합하여 단일법인 가칭「정보보안기본법」을 제정해야

한다.

우선, 기반시설에 한 위기관리와 사이버안전에 한 국가기반시설은

물론국가정보의유출방지에 한사이버안전분야의위기관리체계가이원

화 되어있다. 즉, 국가안보관련 기관 협의체인‘국가사이버안전전략회의’

와 정부차원의 국무총리를 위원장으로 하는‘정보통신기반보호위원회’가

개별적으로운 되고해킹등침해사고에 한위기형태는같지만이를사

이버안전으로 보느냐 기반보호로 보느냐에 따라 법률과 규정간의 적용

상이 다를 뿐만 아니라 정부가 국가기관간의 업무기능에 따라 민간분야와

공공분야를 인위적으로 구분하여 책을 마련하다보니 사이버안전에 한

국민들의 인식에 혼란만을 초래하고 있다. 또한 현행 유관 법령은 중복 적

용되는사례가많아관련기관에서업무를수행하는데효율성이떨어진다는


비판도제기되고있다. 이에최근「전자정부법」과「정보통신기반보호법」및

「정보통신망이용촉진및정보보호에관한법률」을 개정, 기본법 제정 및 개별

법정비등다양한의견이제시되고있으나사이버보안업무와관련법령의

개별법 정비로 접근할 경우에는 법령 중복 적용에 따른 관련기관의 업무혼

란을해소하기에는무리가따를것으로예상된다. 그러므로현재여러정부

부처에 산재해 있는 정보보호 관련 법률을 통∙폐합하여 가칭「정보보안기

본법」을 제정하되, 범국가적 사이버안전체계 구축을 위해 각급기관의 역할

과 응절차를명시적으로부여, 업무한계를명확히해주어야한다.

넷째, 사이버범죄에 한재범자가중처벌등처벌을강화해야한다.

앞서컴퓨터범죄에관한처벌의비교에서언급했듯이, 미국은「컴퓨터사

기 및 남용에관한법」에서 고의로 프로그램 및 정보를 변경, 전송하여 손해

가 발생할 경우 초범자는 10년 이하의 징역, 상습범에게는 20년 이하의 징

역으로 재범자에 해서 가중처벌을 하고 있는바, 우리나라도 재범자에게

는형량을 폭으로강화하여야한다. 또한, 미국은「사이버보안강화법」에

의해 네트워크 침해 행위로 인해 인명의 상해나 사망사고가 발생하 을 경

우, 벌칙으로 20년 이하의 징역과 벌금을 부과하던 것을 보다 강화하여 무

기징역으로 가중처벌하고 있는데 비해, 우리나라의 경우에는 이와 관련된

처벌조항이 없다. 따라서 사이버범죄로 인해 사망 사고 나 상해를 유발할

경우가중처벌하는규정을신설함은물론, 이와같이사이버범죄에 해서

는 재범자 가중처벌 및 사이버 범죄로 인한 사망 등 인적∙물리적 피해 유

발자에게는 미국과 같이 2�3배로 형량을 강화하고 일정기간 컴퓨터 운용

권한을 말소시키는 등 사이버범죄자 처벌에 한 경각심을 갖도록 함으로

써사전예방적효과를얻도록해야한다.


다섯째, 상시비상사이버안전전문인력을양성해야한다.

육, 해, 공군 등 전통적인 국방체계와 더불어 최근에는 인터넷 등 사이버

국방에 한관심이고조되고있는가운데, 이제우리도사이버안보목적에

부합되는 군인을 비롯한 전문인력 확보를 서두를 필요가 있다. 최근 들어

美∙中 등 주요국은 유사시 사이버戰을 수행하기 위해 사이버공격 부 및

해커조직을운 중인것으로알려져있는바, 중국의인민해방군5만명, 미

국의 공군 2만5천명, 일본 방위청의 5천명정도가 사이버전 인력으로 파악

되고 있다. 한국의 경우, 와우해커∙시큐리티프루프 등 5�6개 해커그룹이

활동하는 등 미약하나마 사이버공격에 비한 인력이 일부 운 되고 있으

나, 유사시 방어는 물론, 공세적 응을 위한 조직∙인력은 전무하다. 따라

서「한국정보보호진흥원」등 정보보호기관∙단체를 지원, 해킹방어경진

회등을통해우수자를선발하고 학동아리나언더그라운드해커그룹, 정

보보호제품 개발자 등에 한 인력 DB를 구축, 유사시 지원인력으로 활용

함은 물론, 국방부와 협조, 해커 등 전문 인력이 군 입 시 관련기술을 유

지∙향상시킬 수 있도록 국방정보전 응센터∙각 군CERT 등 관련 보직에

집중배치하는한편, 사이버전사로병역의무를 체할수있는제도도마련

되어야한다.

마지막으로, 사이버안전관련예산을 폭현실화해야한다.

앞서 지적하 듯이, 우리나라 정보보호 예산은 그동안 정보화 예산 비

2%를초과하지못했다. 하지만최근에들어서는외국으로부터의국내주요

기관에 한조직적인사이버공격이증가되고개인정보유출로인한국민들

의 피해가 증가하면서 정보보호에 한 인식이 높아지게 되자 각급기관의

정보보호 예산은 정보화예산 비 3�4% 에 이르고 있는 것으로 나타나

고 있다. 그러나 앞서 미국의 정보보안 예산에서 볼 수 있듯이 미국을 비롯


한선진국들의정보보안예산은정보화예산 비8%를상회하는것으로알

려져 있다. 그러므로 21세기 유비쿼터스 시 를 준비하는 IT강국에 걸맞게

우리나라도 선진국 수준으로 정보보호 예산을 8%이상 증액하여 정보보호

강국으로국가이미지를쇄신해야한다. 또한이렇게증액된예산은외교통

상부∙국방부등국가안보와직결된기관에는8%이상을배정하고그외국

가안보와 직결되지 않은 기타 기관에 해서는 그 이하로 하여 차별화함과

동시에 국가안보나 국익위주로 정보보호예산을 집중 투입하고 신축적으로

사용하는등국가예산의효율적사용을도모해야한다.

VI. 결 론

그동안 우리나라 정보통신기술은 정부의 성장 일변도 정책으로 인해 급

속한 발전을 이루어 만족할만한 성과를 이루어 왔으나 동시에 컴퓨터와 인

터넷 등 정보통신망으로 이루어지는 사이버공간에서 각종 범죄와, 국가기

능 장애 등 역기능 또한 만연되어 왔다. 특히 유비쿼터스 사회를 지향해 가

는 우리에게 해킹ㆍ바이러스 등 사이버위협으로부터 국가정보기반시설을

안전하게 보호 유지하기 위한 국가사이버안전활동은 국민 생활은 물론, 국

가안보를수호하기위한중요한 역으로자리매김해나가고있다.

하지만유독법제도면에서는시 환경변화에적응하지못하고있는바,

각급 행정기관은 물론 산하기관까지도 정부조직법 등 각종 법률에 의거하

여기관의설립근거를갖고있는데도국가사이버안전업무를총괄하고있는

국가정보원 산하 사이버안전센터는「국가사이버안전관리규정」에 의거 설

립되어 법률이 아닌 통령훈령으로 설립기반을 갖는 유일한 기관이 되고

있다. 뿐만아니라업무 역역시도동(同) 훈령에의해규정하고있을뿐국

가정보원직무규정에는명문화되어있지않아일부행정기관과업무 역에


한 논란의 빌미로 제기되고 있어「국가정보원법」을 개정, 사이버안전센

터의설립및직무규정을두는것은당연하고도시급한과제이다.

또한 1∙25 인터넷 란과 같은 전국적인 규모의 국가 주요정보통신망의

마비사태를 초래하거나 첨단 기술 유출 등 국가와 사회전반에 중 한 향

을미칠수있는각종사이버위기에 비하여 응업무를효율적으로수행

하기위한 법제정역시매우필요하다. 특히공공ㆍ민간ㆍ군으로구별, 기

관별로각개 응하고있는일부구조적문제점도개선, 국가차원에서체계

적으로 응할수있도록구체적인방법과절차가정립되어야하며이를위

해서는 우선 각급기관별 임무와 기능을 재정비하되, 장기적으로는 분산되

어 있는 정부 내 유사 조직들을 통합하여 범정부차원에서 국가사이버안전

기관을 독립기관으로 운 하는 방안도 검토되어야 한다. 이렇게 함으로서

21세기 새로운 안보요소로 두되고 있는 사이버위협을 국가안보차원에서

보다 확고히 비하여 총체적으로 국가안보를 담보할 수 있을 뿐만 아니라

그동안국제사회로부터해킹천국이라는오명을벗고우리나라가진정한IT

선진국으로서의자존심을회복할수있을것이다.


참고문헌

김윤덕. 『국가정보학』박 사, 2001.

국가보안기술연구소. 『舊 동구권 국가들의 사이버위협 식별 및 응체계

분석에관한연구보고서』, 2007.

국가보안기술연구소. 『각국의정보보안관련법제』, 2006.

국가사이버안전센터. 『Monthly 사이버시큐리티』2007. 7월호

국가사이버안전센터. 『Monthly 사이버시큐리티』2004. 8월호

국가정보원∙방송통신위원회.『2008 국가정보보호백서』, 2008.4.

국가정보원∙정보통신부.『2007 국가정보보호백서』, 2007.4.



국가정보포럼. 『국가정보학』, 서울:박 사, 2006

미국국립표준기술연구소(NIST),.컴퓨터 보안사고처리 가이드 초안

(DRAFT Computer Security Incident Handling Guide)

알렌쉬크. 『미국연방예산론』한울아카데미, 2005

한국법제연구원.『정보보안정책과입법동향』,2007.4.6.

한국정보사회진흥원.『주요국정보보호동향조사-유비쿼터스 시 의 정보

보호정책을중심으로』, 2006. 12.

한국정보보호진흥원,.『미국∙독일∙일본의 정보보호법 체계에 관한 연

구』, 2006. 12.

행정자치부, 『행정자치백서』, 2006.

Abram N. Shulsky,『Silent Warfare : Understanding the World of

Intelligence』(Virginia:Brassey’s, Inc, 1991), pp.1-3.

ISO/IEC 17799.『Information Security Management - Code of

Practice for Information Security Management』, 2000.


US White House.『National Strategy to Cyber Terrorism』, 2003,

February.

Zhou,Yongming.『Historicizing Online Politics: Telegraphy, the

Internet, and Political Participation in China』(Stanford:

Stanford University Press, 2006)

김경섭. “사이버 테러리즘의 응체계에 관한 연구,”『한남 사회문화

학원석사학위논문』, 2006.8.

김귀남. “국가 사이버전 비방안 연구,”『한국사이버테러정보전학회논

문지』, 2006, 6(4), pp.141-151.

김태봉. 최운호, “역추적 기술의 동향 및 적용 사례 분석,”『한국정보보호

학회지』, 2005, 15(1), pp.98-103.

김환국. “사이버 정보전 웜.바이러스 공격 기술 연구,”『한국해양정보통신

학회04 춘계종합학술 회』, 2004., pp.776-779

고경민. “인터넷 발전과 권위주의 체제는 양립 가능한가? -중국 인터넷

발전의 정치적 외부효과와 정부의 역할,”『국제정치논총』제47

집2호(2007)

남길현. “사이버테러와국가안보,”『國防大學校安保問題硏究所』, 2002.

— . “정보전(사이버전) 비를 위한 제언,”『한국정보보호학회지』,

2002, 12(6), pp.54-57.

민병설. “산업보안체계의 정립에 관한 연구,”『경희 학교 학원, 박사학

위논문』, 2002.

박지형. “국가 사이버안전체계 개선에 관한 연구,”『경기 학교 학원 정

보보호기술공학과석사학위논문』, 2005.

신동화. “국가정보통신망 구축에 따른 정보보안에 한 연구 : 국방 정보

통신망 사례를 중심으로,”『연세 학원, 석사학위논문』,

2000.


서원경. “우리나라의 비 기록 관리현황에 관한 연구,”『한국기록관리학

회지』, 2006.

안창훈. “사이버테러의 현황과 책에 관한 연구,”『경호경비연구』,

2002(5), pp.211-241

양준철. “사이버테러가 국가안보에 미치는 향과 응방안 연구,”『국방

학교, proceedings』, 2004.1

염돈재. “각국 정보수사기관의 산업기술 보호활동에 관한 비교 연구,”『한

국국가정보학회∙국가정보 학원 주최, 2008년도 국가정보학

술회의“ 로벌 정보환경 변화와 국가정보의 새로운 모색”논문

집』, 2008년8월, p.37.

이민자, “중국 온라인 공간의 주도권 쟁탈전: 국가-사회의 경쟁,”『한국

과국제정치』, 20집4호, pp. 199-227, 2004.

— , “중국의 정보화정책과 추진체계의 특징 및 변화,”『한국정치학회

연말학술 회발표논문』, pp. 101-118, 2002.

— , “중국 인터넷: 정보공개와 통제의 딜레마,”『계간 사상』2003 가

을, pp.160-182.

이연수, 임종인. “국가사이버안전체계 현황과 과제,”『정보보호와 암호에

관한학술 회(WISC)』, 2007, pp.263-278

이철원, 장병화, 이철수. “주요국 정보전 응체계와 동향,”『한국정보보

호학회지』, 2002.12(6), pp.21-30.

오일석, 김소정, 고재 . “미국과 프랑스 정부의 사이버조기 경보 체계,”

『한국정보보호학회지』, 2005, 15(1), pp.1-8

전 웅. “국가정보와안보정책,”『한국국제정치학회』, 1997.

정재호, “파룬궁, 인터넷과 중국 내부통제의 정치,”『한국정치학회보』, 35

집3호, pp. 297-316), 2001.

조재인. “지식정보자원 보존 체계에 관한 연구,”『한국도서관∙정보학회

지(제35권제4호)』, 2004.


「국가전산망사수작전」서울신문, 2008.4.24.

「국경없는 사이버범죄-유럽연합, 초국가적 응체계 구축」세계일보,

2008.7.22.

「국정원, 구 에국가전략지도주려했다」, 오마이뉴스, 2007.11.21.

「주요국가기록이없다」세계일보, 2004. 5. 31.

「미백악관, 실리콘밸리 CEO를 사이버 안보 수장에 발탁」전자신문,

2008. 3. 24자14면

「美, 사이버전‘선제공격’선언」전자신문, 2008. 4. 7자

「3차주요정보통신기반시설 지정 내년 상반기로 연기된다」, 디지털타임

스2003.12.23.

「Bush Order Expands Network Monitoring-Intelligence Agencies

to Track Intrusions」Washington Post Staff Writer Saturday,

January 26, 2008; Page A03

국가정보원국가사이버안전센터, www.ncsc.go.kr

국가정보원IT보안인증사무국, www.kecs.go.kr

국가기록원, www.archives.go.kr

국방정보전 응센터, www.dsc.mil.kr

교육사이버안전센터, www.ecsc.go.kr

금융정보공유분석센터, www.kfisac.or.kr

두산백과사전(엔싸이버),

http://www.encyber.com/search_w/ctdetail.php?masterno=777570

&contentno=777570 (검색일:2008.11.17)

미국국토안보부조직도,

http://www.dhs.gov/xlibrary/assets/DHS_OrgChart.pdf

(검색일:2008.11.8)


국국립첨단범죄수사단, www.nhtcu.org

국정보보호중앙국, http://www.cabinetoffice.gov.uk/csia

(검색일:2008.10.28)

국컴퓨터침해사고 응팀, www.uniras.gov.uk

인터넷침해사고 응지원센터, www.krcert.or.kr

제2정부통합전산센터 이전 착수, 정보통신부 미래정보전략본부 기획총

괄팀2007.6.

(http://epic.kdi.re.kr/epic_attach/2007/R0706096.hwp)

(검색일:2008.11.4)

지식경제사이버안전센터, csc.mke.go.kr

증권정보공유분석센터, www.koscomisac.co.kr

ISO27001 인증체계, http://www.27000.org/ismsprocess.htm

(검색일:2008.11.14)

루바노프V.A.. “동북아에서의사이버테러위험가능성과 응방안”, 「국

가안보전략연구소 주관 국제학술회의, 서울 프라자호텔 다이아몬

드홀, 2007. 11. 22」

Paul, o’sullivan. “국제안보환경의변화동향과이에따른호주정보부역

할확 ”, 「호주-이스라엘상공회의소초청연설, 2008. 5」


관련법률

한민국헌법

형사소송법

전자정부법

정보통신기반보호법

공공기관의개인정보보호에관한법률

공업및에너지기술기반조성에관한법률

신용정보의이용및보호에관한법률

전기통신사업법

전산망보급확장과이용촉진에관한법률

물류정책기본법

비 기록물의보존관리지침(2002. 5)

보안업무규정

국가사이버안전관리규정,

국가사이버안전매뉴얼

법원2003.06.24 선고2000도5442 판결


Yun-Soo Lee (Korea University)

Su-Yeon Lee (Korea University)

Seok-Koo Yoon (Korea University)

Chae-Sung Chun (Seoul National University)

As international security surroundings are changing due to

collapse of Cold War System, changes between North Korea and

South Korea, rapid development of informationization and severe

technology competition between countries together with rapid

development of science and technology, the possibility of cyber

warfare is increasing. To this trend the traditional security concept is

shifted and expanded to the new level of security.

Korea is recognized as a leading IT country throughout the world.

A number of international organizations, including the OECD and

ITU, rank Korea as having the world’s highest IT infrastructure, e-

government service, etc. On the other hand, the side effects of the IT


A Research on the Korean NationalCyber Security’s development plan and

comparative studies for policy andlegislation of the United State America,United Kingdom, EU, German, Japan,

China and Russia

revolution have quickly spread through the powerful internet

network. Recently, the hacking techniques are sophisticated and

more malicious, so that cause the serious damages in the internet.

Hacking national government institutions from unknown hacker

organizations is increasing consistently like the case of paralysis of

national computer network in Georgia and Estonia. Despite the fact

that circulation of bad code and cyber attack into national computer

network from foreign hacking organization, we don’t have any legal

device and laws which protect our country from these kinds of

threatening factors to our nation.

In this paper, we have checked the situation of cyber security by

categorizing establishment of concept for the national security from

cyber attack. Since the 1∙25 worm incident, it is considered activities

that the protected cyber security Policies of the National Cyber

Security Center(NCSC) and the Korea information Security

Agency(KISA), the Republic of Korea Defense Security

Command(DSC) in all their aspects. Especially, we are considered

activities that the protected cyber security Policies of the National

Cyber Security Center(NCSC), Korea Information Security

Agency(KISA) and the Republic of Korea Defense Security

Command(DSC) into three main areas, which are area of protective

activity for National Computer Network from cyber attack, area of

detective activity for finding out all the threatening factors, and area

of responding to breakage of computer network and recovering from

it quickly.

Furthermore, by comparing the related laws of USA, UK, EU and


seven countries and mentioning the problems, we have proposed

solutions to those problems as follows. Firstly, Reestablishment of

law is required. Secondly, The ground for establishment of NCSC

should be stipulated in the law. Thirdly, Individual laws should be

integrated into unitary law. Fourthly, More powerful reinforcement

for cyber criminals. Fifthly, Cyber warrior and special personnel for

cyber security should be trained to be utilized any time they are

needed. Sixthly, We have to raise the amount of budget up to those

of advanced countries for the era of Ubiquitous Networks.


National Cyber Security policy, Information protection legislations,Cyber security’s development plan

Key Words

주요국의사이버안전관련법...

Documents