국가사이버테러방지법 제정의 필요성 _ 제성호 (중앙대 법학전문대학원 교수)

국가사이버테러방지법 제정의 필요성제성호 (중앙대 법학전문대학원 교수)

자유민주연구원·바른사회시민회의

▲ ⓒ 연합뉴스

1. 최근 북한의 사이버테러 실태

 

ㅇ2010년대에 들어와 농협전산망 마비(2011.4.), 서울메트로(2014.9), 한수원(2014.12) 해킹 등 북한에 의한 대남 사이버테러가 빈번하게 자행되고 있음.

 

ㅇ특히 금년 2월 북한의 해킹조직원들이 하루 18시간씩 한국과 미국ㆍ아시아 등 을 대상으로 10배 정도의 고강도 공격을 자행한 것으로 알려지고 있음.

- 현재 북한은 사이버 인력으로 6,000여명을 확보하고 있고, 이 중 1,700여명은 핵심 작전요원이라고 함.

 

ㅇ또한 북한의 4차 핵실험(2016.1.6) 및 장거리 미사일 광명성 발사(2016.2.7) 후 북한은 우리의 외교안보부처 고위급 인사들 간 의 스마트폰 통화, 이메일 등을 해킹하기 위해 다양한 형태의 사이버 공격을 하고 있음.

 

ㅇ이처럼 정권 차원에서 조직적으로 전개되는 북한의 사이버테러는 막대한 경제적 피해는 물론 사회 혼란 및 국가안보를 위협하는 심각한 상황을 초래하고 있는 상황임.

 

2. 사이버테러방지법 제정의 당위성

 

가. 국가 차원의 사이버테러 방지를 위한 통합법의 필요성

 

ㅇ북한의 사이버공격에 대한 정부의 대응활동이 「국가사이버안전관리규정」(대통령훈령)에 근거해 실시되고 있는 것이 현실임.

 

- 그런데 이 규정은 국가ㆍ공공기관(즉 공무원)에만 적용됨으로써 민간부문에 대해서는 구속력이 없음.

- 따라서 민간 부문과의 정보공유가 어려운 것은 말할 것도 없고, 민간분야에서 발생하는 사이버테러 징후를 사전 탐지ㆍ차단하거나 대책을 강구하는데 한계가 있음.

 

- 또한 민간기업은 보안 취약요소가 발견되더라도 비용부담ㆍ기술부족 등으로 신속한 보호조치를 하지 않아 피해가 반복적으로 발생하는 양상을 노정하고 있음.

 

ㅇ이러한 점에 비추어 공무원만 구속하는 행정명령이 아니라 정부, 기업, 국민 모두에게 적용되고 이들이 보유하고 있는 기반시설을 보호하는 명실공히 ‘국가’ 차원의 사이버테러방지법의 제정이 절실함.

 

- 그럴 때 정부와 민간이 함께 협력하여 국가차원에서 사이버테러 예방 및 사이버위기 대응업무를 체계적이고 일사분란하게 수행할 수 있을 것임.

 

나. 사이버테러 방지행정과 법치주의의 요구

 

ㅇ사이버테러의 심각성, 특히 국민경제 및 안보 등에 미치는 영향 등을 감안할때 사이버테러 방지 행정은 매우 중요한 국가행정작용임.

 

ㅇ이 같은 행정은 법률에 따라 이루어져야 한다는 것이 법치주의의 요구이자 법치행정의 원칙이라고 할수 있음.

 

ㅇ이런 시각에서 볼 때 국회가 사이버테러방지 활동을 대통령훈령으로 대처하라고 하고 입법을 해태(懈怠)하는 것은 직무유기라고 할 만함.

 

ㅇ국회는 법을 제정하고 관계기관에 대해 법에 근거한 권한을 행사토록 하고 그에 따른 응분의 책임을 묻는 구조를 만드는 것이 민주국가의 올바른 국회상이라고 할 것임.

 

ㅇ이와 관련, 미국ㆍ독일ㆍ일본 등 주요 선진국들도 사이버테러 위협의 심각성을 인식하고 사이버안보 관련 법률을 제정․실시하고 있음.

- 미국의 「사이버안보법」(2015.12)

- 독일의 「IT-보안법」(2015.6),

- 일본의 「사이버시큐리티기본법」(2014.11) 등

 

3. 사이버테러방지법 제정 시 기대효과

 

ㅇ우선, 민ㆍ관ㆍ군이 참여하는 국가 차원의 사이버위협 합동대응팀, 사고대책본부 및 위협정보공유체계를 구축ㆍ운영할 수 있음.

 

ㅇ사이버테러 탐지ㆍ대응 및 사고조사ㆍ복구 등에 백신업체, 정보보호시스템 제작자 등 민간기관의 지원ㆍ협조 등 참여가 가능함으로써 사이버테러에 대한 방지 활동의 실효성이 제고될 수 있음.

 

ㅇ나아가 그동안 사이버테러 예방의 사각지대였던 국회, 법원, 헌법재판소, 선거관리위원회 등 헌법기관에게 자체 사이버테러 예방 및 점검활동의 책임을 부과할 수 있음.

 

ㅇ또한 책임기관 및 지휘ㆍ감독기관에게 사이버안전관리 책임을 부여하고 자체 보안대책 마련 등을 의무화함으로써, 각 기관들이 자체적인 보안관리 체계를 구축ㆍ운영토록 할 수 있음.

 

- 뿐만 아니라 신속한 사이버테러 대응이 가능하도록 책임기관에게 보안관제센터를 운영하거나 다른 기관 또는 보안관제업체에 위탁하도록 의무화할 수도 있음.

 

4 국정원 권한 강화 등 법제정 반대론 비판

 

ㅇ북한 등의 사이버테러를 예방ㆍ대응하는 업무는 국가안보와 직결된 사항으로,「정부조직법」(국가안보 관련 정보ㆍ보안 업무)과 「국가정보원법」(국내외 보안정보 수집, 기밀 문서ㆍ시설 보호)에 따른 국정원의 고유 임무기능임

 

ㅇ이러한 국정원의 사이버안보 관련 임무ㆍ기능은 국가정보원법, 전자정부법, 정보통신기반보호법 등에서 이미 구체적으로 명시하고 있음.

- 국정원법상 국외 정보 및 국내 보안정보의 수집ㆍ작성ㆍ배포(법 제3조 제1항제1호), 국가기밀에 속하는 문서ㆍ자재ㆍ시설 및 지역에 대한 보안업무(제2호)

- 전자정부법상 행정기관 정보통신망 보안대책 수립ㆍ지원 및 이행여부 확인(제56조)

- 정보통신기반보호법상 공공분야 기반시설 보호정책 수립, 보호대책 이행여부 확인, 신규지정 권고 및 보호기술 지원 등 실시(제5조의2, 제7조 등)

 

ㅇ따라서 동법에 규정된 사이버테러 정보의 수집ㆍ분석이나 사이버테러 예방ㆍ대응에 관한 사항들은 국정원의 기존 직무범위를 초과하는 것이 아니며 또한 국정원에게 새로운 권한을 부여하는 것이 아님.

- 이미 노무현 정부 때인 2006년부터 국가사이버테러 방지업무를 수행하여 왔으며,

- 기존부터 국정원법 등에 따라 행사해 오던 권한을 통합법률 에 의해 제도화 하는 것이라고 볼 수 있음.

 

ㅇ한편 정부는 사이버위기 경보 발령시, 관계중앙행정기관은 사고대책본부장 임명시 사이버안보 컨트롤타워인 국가안보실과 협의하여 정하도록 하고 있음.

- 전술한 바와 같이 국가사이버테러방지법은 국정원이 정보통신기반보호법, 전자정부법등 각종 법령에 따라 이미 수행중인 업무를 반영하고 있고, 민간부문의 경우에는 대책수립, 이행여부 확인, 위협정보 수집, 사고조사 등 업무대부분을 미래부ㆍ금융위와 관계 중앙행정기관이 수행토록 규정하고 있음.

 

ㅇ요컨대 국가사이버테러방지법의 제정으로 국정원의 권한이 강화되는 것이라기 보다는 오히려 법률 주관기관으로서의 ‘책임’이 강화되는 것으로 이해함이 타당 하다고 할 것임.

- 국정원은 법률 주관기관일 뿐 관계 중앙행정기관에 대해 일방적으로 명령․지시하는 컨트롤타워가 아님.

 

ㅇ이 밖에도 정보통신망법(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」) 과 기반보호법(「정보통신기반보호법」)으로 충분하며 국가사이버테러방지법이 불필요하다는 견해가 있지만, 여기에 동의하기 어려움.

- 정보통신망법과 기반보호법은 각각 민간 분야 사업자와 기반시설로 지정된 시설에 한정 적용되며, 규율하는 내용과 방법, 절차가 모두 상이함.

- 또한 정보통신망법은 정보통신서비스 제공자나 집적정보통신시설 사업자 등 민간의 정보통신 관련 업체와 이들 서비스 이용자의 정보보호에 관한 사항만 을 규율하고 있음.

- 기반보호법(「정보통신기반보호법」)은 주요정보통신기반시설로 지정된 시설(현재 385개)에 대해서만 제한 적용되고 있음.

 

ㅇ또한 상기 법률 이외에도 공공분야에는 국정원법, 전자정부법 및 국가사이버안 전관리규정이, 국방분야에는 국방정보화법이, 그리고 금융 분야에는 전자금융거래법이 각각 적용됨함으로써, 상이한 방법과 절차를 통해 사이버테러 위협에 대응하고 있음.

- 이들 법률들은 소관 영역의 특수성을 고려하여 각기 보호대책을 마련하고 있으나 개별 영역을 뛰어넘어 국가 차원의 사이버위협 정보를 공유하고 사이버공격을 탐지ㆍ대응할 수 있는 체계를 규정하고 있지 않음.

- 그러므로 안보와 국익을 위협하는 사이버위협에 국가 차원에서 효과적이고 종합적으로 대응하기 위해서는 사이버테러방지법 제정이 절실하다고 할 것임.

-출처 http://www.bluetoday.net/news/articleView.html?idxno=11548