Compare of the Korean & Singapore Cybersecurity Law

Compare of the Korean Cybersecurity Law and Singapore Cybersecurity Bill

1. 서론

전 세계의 수 많은 사람들이 정보통신 기술에 의존한 삶을 살아가고 있다. 발전한 정보통신 기술에 따라 “초연결사회”가 되어가고 있으며 생활의 많은 부분에서 정보통신 기술들이 응용됨으로써 삶의 질이 향상되고 있음을 볼 수 있다. 그러나 이러한 정보통신 기술들이 가져다 준 삶의 윤택함 뒤에는 어두운 면이 존재한다. 익명성이 높은 사이버 세상에서 금전적, 정치적, 군사적인 목적을 지닌 다양한 사이버 테러가 행해지고 있으며 이는 사이버 공간의 신뢰성을 위협하고 있다. 최근의 사이버 위협은 악성코드/APT, 분산 서비스 거부 (DDOS)와 같은 공격들이 이용되며 군사 시관, 방송 언론사 등 우리의 삶과 밀접하게 연결되어 있는 다양한 사회 주요 기반 시설들을 공격 대상으로 삼고 있다. 이를 통해 다수의 불특정한 사람들이 공격 목표가 되고 있는 사이버 테러가 현실이 되었으며, 적절한 대응 없이는 많은 피해를 초래 할 것이다.

대한민국의 경우에는 조선민주주의인민공화국(이하 북한)와 대립 중인 분단 국가이며 자체적인 정찰총국에 의해 많은 사이버 테러 위협을 받고 있다. 실제로 3.20 사태, 1.25 대란, 7.7 사이버 테러, 한국수력원자력 사태 등 다양한 방식의 사이버 테러가 감행 되었으며 관련된 유출 정보를 이용한 심리전에 의해 많은 국민들이 위협을 받기도 하였다. 현재와 같은 사이버 공격 기승을 부리고 있는 원인은 국내 정보통신 환경이 사이버 공격에 취약한 구조를 갖고 있는 부분도 존재하지만 국내의 대응 활동이 효율적이지 못하다는 지적이 존재하였다. 이를 보완하기 위해 재정된 것이 국가 사이버 안보 기본법이며 해당 글에서는 국가 사이버 안보 기본법과 싱가포르의 Cybersecurity Bill을 비교하게 될 것이다.

2.1 국가 사이버 안보 기본법 - 제정 이유

앞서 서론에서 설명하였듯이 대한민국을 대상으로 수행된 북한의 사이버 공격 및 테러는 막대한 경제적 피해, 사회적 혼란을 유발 하고 있다. 하지만 대한민국의 국가적 대응 활동은 공공/ 민간의 영역이 제각각 분리, 독립적으로 운영되고 있다. 이러한 점 때문에 민간과 공공 영역을 구분하지 않는 광범위한 사이버 공격 및 테러의 위협에는 효율적인 테러가 불가능한 것이 현실이다. 공공 부문은 자체적인 법률(국가 사이버 안전관리 규정)이 재정되어 있고 이에 근거하여 사이버 공격에 대한 대응을 진행한다. 하지만 입법부나 사법부의 경우 해당 법률의 적용범위에서 제외되어 있고 민간 부문의 경우 사이버 공격 대응에 대한 법률이 미흡하고 주관 기관마다 절차나 방법이 달라 광범위한 대규모 공격이 발생할 시 신속하고 일관된 대응이 곤란하다. 이러한 실정에 따라 정부와 민간이 협력하여 국가차원에서 체계적이고, 하나된 사이버 테러에 대한 대응 업무를 수행하기 위해 국가 사이버 안보 기본법을 제정하게 되었다.

http://www.moleg.go.kr/lawinfo/lawNotice?ogLmPpSeq=36305&mappingLbicId=2000000176607&announceType=TYPE5&pageIndex=&rowIdx=1

2.2 국가 사이버 안보 기본법 – 주요 내용

가. 책임기관 (안 제2조, 제9조)

- 국가적으로 중요한 사이버공간을 운영하고 있는 아래 기관들을 책임기관으로 지정하여 이 법의 규정에 따라 보호함

해당 내용은 국가의 중요 시설 및 기관에 대해 명시함으로써 기존의 법에 대한 보완을 진행하였다. 기존의 국가 사이버 안전관리 규정에 명시되어 있는 행정부를 넘어 행정 업무를 진행하는 입법부, 사법부, 헌법 재판소 등 다양한 기관을 명시하였으며 국방부 직할 부대, 지방 기관, 주요 정보통신 기반 시설, 국가 핵심 기술 기업체, 방위 산업체, 책임 기관 등 국가 운영에 필수적인 기관 및 시설들을 포괄적으로 명시 하였다.

나. 지원기관 (안 제2조, 제16조 및 제17조)

- 책임기관이 이 법에 따라 소관 사이버공간을 보호하는 데 필요한 기술적 지원을 위해 아래 기관들을 지원기관으로 지정함

이러한 책임 기관의 사이버 테러 대응을 위해 각 기관의 성격에 맞게 다양한 기관들을 지원 기관으로 지정함으로써 좀 더 전문적인 사이버 테러 대응이 이루어질 수 있도록 명시 하였다. 대표적으로 한국인터넷진흥원, 한국지역정보개발원, 한국교육학술정보원 등이 존재하며 사이버 안보 전문업체도 명시하며 심의를 통과한다면 민간 업체도 충분히 지원 기관의 자격으로써 특수한 공공 분야를 다루는 사이버 테러 대응에 지원 기관의 자격으로 참여가 가능해졌다.

다. 국가사이버안보위원회 (안 제5조 및 제6조)

- 사이버안보와 관련한 주요 전략ᆞ정책을 심의하기 위해 대통령 소속 하에 ‘국가사이버안보위원회’를 둠 위원회의 위원장은 국가안보실장이 위원회의 운영을 지원하기 위해 국가안보실장과 국가정보원장이 공동으로 운영하는 ‘국가사이버안보실무위원회’를 둠 (이하 마. 까지 생략)

또한 사이버 테러 대응을 위해 주요 전략 및 정책을 심의하고 효율적인 추진을 위해 조직을 구성하였고 국가정보원장을 지정하여 계획 수립, 책임 기관에 대한 합동 평가단 구성 및 운영에 대한 권한을 부여하였다.

바. 사이버공격의 탐지 및 대응 (안 제10조)

- 책임기관은 자체 보안관제센터를 구축하거나 다른 기관의 보안 관제센터에 위탁하는 등 사이버공격을 탐지ᆞ분석ᆞ대응할 수 있는 체계를 구축하여야 함

사. 사이버위협정보의 공유 (안 제11조)

- 책임기관 간의 사이버위협정보 공유를 위하여 국무조정실장 소속으로 사이버위협정보공유 센터를 둠 필요하다고 인정하는 경우 소관 사이버위협정보를 공유센터에게 제공할 수 있으며, 공유센터는 책임기관으로부터 제공받은 사이버위협정보를 다른 책임기관에게 제공하여야 함

아. 사이버공격 사고의 신고 및 조사 (안 제12조)

- 책임기관은 사이버공격으로 인한 사고 발생시 상급 책임기관에 신고하여야 하고 국가안보를 위협하는 중대한 사고의 경우에는 국가정보원에도 신고하여 조사토록 하여야 함

국가 안보에 대해 위협이 된다고 판단했을 때는 국가정보원에서 조사가 가능하며 요청 할 시 해당 악성 프로그램의 사건과 관련한 자료를 제공해여야 하며 국가정보원에서 제공하는 백신 및 대응 프로그램을 통해 복구를 진행 할 수도 있음을 명시하였다.

차. 사이버안보 기반 조성 (안 제18조부터 제21조)

- 정부는 사이버안보 기반 조성을 위하여 연구개발, 산업육성, 인력양성, 교육홍보 및 국제협력 등의 시책을 적극 추진함

카. 포상금의 지급 및 벌칙ᆞ과태료의 부과 (안 제23조부터 제26조)

- 정부는 다음 각 호에 대하여 예산의 범위 내에서 포상금을 지급할 수 있음

사이버 테러 예방을 위해 정보보안과 관련한 여러 연구, 인재 및 산업 육성 등 다양한 정책의 추진을 명시하였고 사이버 테러에 대한 시도나 탐지 및 대응에 있어 특정한 경우 포상금을 지급함으로써 정보보안 전문가들에 대한 장려에 대해 명시하였다.

2.3 국가 사이버 안보 기본법 – 의의 및 영향

해당 법안은 기존에 제시한 범위와 달리 다양한 기관에 대해 포괄적으로 명시함으로써 국가 중요 기관 및 시설에 대한 책임감을 부여하였고 민간 기업이 지원기관으로 참여할 수 있게 함으로써 국가 및 공공 기관의 침해사고 대응 업무에 대한 정확성과 효율성을 높였다. 또한 국가정보원을 필두로 사이버 안보와 관련된 조직을 구성하고 계획 수립 및 책임 기관에 대한 평가단을 구성함으로써 체계적인 테러 대응을 할 수 있게 하였으며 국가 안보와 직결된 중대한 사건일 시 국가정보원이 직접 조사가 가능하도록 하였다. 또한 사이버 안보에 대한 환경을 조성하고 사이버 테러에 관한 기술 및 인력에 대한 장려를 통해 참여율을 높이도록 법안이 제시되어 있다.

이러한 법안을 통해 기존의 사이버 테러 대응과 달리 체계적이고 획일화 된 사고 대응을 진행 할 수 있을 것이며 민간 영역의 사이버 보안에 대해서도 함께 대응하면서 국가의 사이버 보안 능력에 향상을 가져다 줄 수 있을 것이라 기대한다. 이렇듯이 민간과 공공의 영역에 대한 조율과 지원에 대해 체계적인 법률을 통해 진행하는 것은 매우 좋은 생각이다.

그러나 국가정보원이 사이버 테러 대응에 대한 컨트롤 타워로 자리함으로써 국가정보원에 대한 권한이 증강되었다. 국가정보원은 사이버 테러 조사를 명분으로 공공 기관과 민간 업체의 정보에 대해 접근이 가능해지며 사법부나 입법부에 대한 감독 체제가 무력화 되면서 국가정보원의 민간인 사찰을 유리하게 만들 수 있을 것이라 예상한다. 이러한 영향과 더불어 이미 기존의 권한이 막강하고 비밀리에 운영되는 국가정보원보다는 사이버 보안과 관련한 민간, 공공기관의 조율, 지원을 담당하는 기관은 보다 투명하게 감독 할 수 있는 별도의 정부부처를 개설하여 운영하는 것이 올바를 것이라고 생각한다.

3.1 Singapore Cybersecurity Bill – 제정 이유

싱가포르 정부는 사이버 보안과 관련하여 국내외의 민간 및 공공 분야에 영향을 미치는 사건이 증가함에 따라 사이버 보안에 대해 중점을 두었다. 결과적으로 싱가포르 정부는 2015년에 CSA(Cyber Security Agency) 를 설립하였다. CSA는 사이버 보안 전략, 교육 및 홍보 및 산업 발전을 감독하는 국가 기관으로 정보 통신 관련 기관에 의해 관리 되고 있다. 해당 기관을 관리하는 Yaacob Ibrahim 장관은 2016년 싱가포르에서 개최된 Financial Times Cyber Security Summit Asia Pacific에서 정부가 내년 의회에서 표결될 사이버 보안법을 계획하였다고 발표하였다.

3.2 Singapore Cybersecurity Bill – 의의 및 영향

사이버 보안 법안의 초안은 배포 되지 않았지만 장관의 말에 의하면 새롭게 제정될 Cybersecurity Bill은 다음과 같다. CII (에너지, 수도, 교통, 미디어, 응급 서비스) 운영자가 사이버 보안을 유지하기 위해 적극적이여야 함을 권고하고 보안 침해에 대해 필수적으로 보고해야 할 충족 사항, CSA가 사이버 보안 사고를 관리 할 수 있는 폭 넓은 권한, 사이버 보안 제공 업체에 대한 표준에 대해 명시하고 제공한다. 이러한 법안을 통해 싱가포르의 정부가 민간, 공공분야의 사이버 보안에 대한 표준을 제시함으로써 사이버 테러에 대한 예방이나 대응에 있어 효율적일 수 있게 하였다. 해당 법안은 주로 CII 운영자를 대상으로 할 것이라 예상 되지만 CII운영자를 상대하는 비즈니스는 침해 사고가 발생할 시 CII 운영자와 협력해야 할 필요가 있으므로 해당 법안과 관련하여 영향을 받을 수 있다. 싱가포르 정부에서 사이버 보안과 관련하여 이와 같은 체계적인 법안을 제시 중요한것은 기존의 컴퓨터 사용 및 사이버 보안과 관련된 법을 보완 해줄 것이며, 이를 통해 컴퓨터 범죄 에 대한 정부 차원의 수사를 계속 이어 나갈 것이라고 전망하고 있다. 또한 해당 법률을 제정하며 기업이나 기관의 전산화가 증가함에 따라 사이버 보안에 더 많은 예산을 투자할 필요가 있음을 국가에서 확인하였고 현재 싱가포르는 정보 통신 기술 예산의 8 %까지 추가로 사이버 보안과 관련한 예산으로 늘릴 계획을 가지고 있다.

4. 결론

최근 증가하는 공격으로 인해 많은 국가들이 사이버 보안과 관련한 법을 제정하고 있다. 앞서 본 대한민국의 국가 사이버 안보 기본법과 싱가포르에 새로 도입되는 사이버보안 법은 공통적으로 민간과 공공의 분야에 대한 종합적인 관리, 기관과 권한에 대한 상세한 명시를 통해 체계적이고 효율적인 사고 예방과 대응을 목표로 하고 있다. 두 국가 모두 체계적인 법안을 제시함으로써 해당 목표를 이룰 수 있기를 희망하지만 싱가포르와의 대한민국의 차이는 존재한다. 대표적으로 해당 법안의 중심이 되는 기관이다. 싱가포르의 경우 사이버 보안을 자체적으로 전담하는 기관이 설립되어 많은 지원 하에 업무가 진행되고 있지만, 국내의 사이버 보안과 관련한 기관은 상당히 퍼져 있으며 국가정보원이라는 기관도 투명함을 보장할 수는 없는 기관이다. 이러한 점에서 대한민국의 사이버 보안을 전담하는 통합된 기관을 설립하고 그에 대한 법안을 제정할필요가 있다고 생각된다. 또한 싱가포르의 경우에 정부가 사이버 보안에 대한 관심을가지고 시장이나 인재 양성에 대한 지속적인 투자를 하고 있다. 그러나 국내는 예산이삭감되는 경우가 허다하다. 시간이 지나면서 사이버 보안에 대한 국내의 인식이 점점향상되고 있는 것은 사실이지만 고도화 되어가는 공격자의 발전 속도 보다는 턱없이더디다고 생각 된다. 이러한 점을 들어 국내에서는 체계적인 법안 제정도 물론 중요하지만 사이버 보안에 대한 지속적인 관심과 투자, 교육에 대한 법을 보다 먼저 제정한다면 사이버 보안 사고를 보다 효과적으로 미연에 방지 할 수 있을 것이라 기대한다.

5. 참조

[1] Singapore Parliament to Bring Up Cybersecurity Bill in 2017 – SIDELY

[2] New Cyber Security law in offing for Singapore - Zafar Anjum

[3] 국가 사이버안보 기본법 제정(안) 입법예고 – 대한민국 법제처

[4] 북한의 사이버 위협과 우리의 대응 – 순천향대학교 염흥열 교수

[5] 국가 사이버 안보 기본법 제정(안) 반대 의견서 – 인권 네트워크 센터

[6] Singapore`s Cybersecurity Strategy - Lee Hsien Loong