I. 서론
정보사회가 고도화되면서 일상에서 보안사고를 경험한다. 정부의 웹사이트가 공격을 받아 개인정보가 유출되기도 하고, 내 컴퓨터가 좀비 PC가 되기도 한다. 이런 보안사고는 정부 뿐 아니라 금융기관이나 온라인서비스기업을 가리지 않고 나타난다. 정보화를 통해 얻는 새로운 세상이 자칫 공포의 대상이 될 수도 있는 것이다. 세계 각 국은 자국의 정보보안 능력을 신장하기 위하여 다양한 노력을 경주하고 있다. 국가 행정체계를 정비하는가 하면 전문가를 전사로 양성하기도 한다. 정보보안은 이제 국가적 역량을 결집하여야 할 정책분야로 떠오르고 있는 것이다.
우리나라의 경우 전 세계에서 정보화 능력이나 환경이 가장 앞선 나라로 평가받는다. 그럼에도 불구하고 정보유출이나 보안사고가 비교적 빈번하게 일어나는 국가 중에 하나라는 것도 부인하기 어렵다. 이제는 정보화의 순기능을 위해 각종 물적 기반구축과 진흥에 방점을 두던 시기와는 다르게, 지금의 정보화성과를 공고히 하고, 그 성과를 보호하는 것이 중요한 시기가 되었다.1) 그러나 정보보안 법제의 체계화와 정비 등 제도 패러다임의 전환 문제는 그 시급성에 비해 다소 우선순위에서 밀려나 있다는 인상을 지우기 어렵다. 거시적 차원의 법체계 정립과 개선보다는 이슈에 단기적으로 대응하기 위한 분야별 강력한 대응입법이 이루어진 결과, 보호하려는 대상과 방법에 따라서 각종 법령이 산재해있고,2) 일관된 원칙과 방향을 제시하고 있는 상위법의 부재도 아쉬운 실정이다.
이제는 이런 틀에서 벗어나서 변화의 중심에서 문제를 직시할 필요가 있다. 정보보안 법제의 체계를 바로 세우기 위하여 가장 먼저 필요한 일은 개념의 재검토와 체계의 재구성이다. 이를 위하여 차제에 관련법제의 의의와 연혁에 대하여 살펴보고 새로운 입법적 대응방안에 대한 생각을 정리해 보고자 한다.
II. 정보통신보안법제의 의의와 체계
2.1 보안법제의 개념적 토대와 범주
보안법제는 ‘보안’을 어떤 의미로 이해하는가에 따라3) 그 개념적 범주가 다양하게 설정될 수 있다. ‘보안’이라는 용어자체를 ‘무엇인가를 어떤 위험으로부터 안전하게 보호한다’는 의미로 이해하게 되면 그 ‘무엇인가’에 따라서, 또 ‘어떤 위험으로부터’에의 의미에 따라서 세부 범주가 결정될 것이다. 여기에 ‘어떻게’가 추가된다면 보안법제는 첫 번째로 그 대상으로서의 보호이익을 중심으로 구별 가능한 범주가 형성되고,4) 두 번째는 위험요소의 속성에 따라서 구별 가능한 범주가 형성되는 데 이어 보호행위의 태양에 따른 범주도 형성될 수 있는 것이다.5)
따라서 가장 넓은 개념적 범주에서의 보안법제는 그 대상과 방법을 가리지 않고 ‘무엇인가를 어떤 위험으로부터 안전하게 보호하는 인간활동에 관한 법규’로 설정할 수 있다. ‘OO보안법제’에서 ‘OO’를 확정하지 않게 되면 가장 포괄적인 보안법제의 범주가 설정된다. 실정법상의 사례를 볼 때 ‘국가보안법’과 ‘국가안전보장을 위한 일련의 보안법령’, ‘군사기밀의 보호 등과 같은 군사보안 관련 법령’, ‘산업기밀보안관련 법령’, ‘정보통신보안 관련 법령’, ‘영업비밀’, ‘의료·법무·세무 등 서비스 정보’, ‘수사 등 업무상 비밀’, ‘통신·금융 및 신용·위치·사생활비밀 등 개인정보’ 등 대상에 따른 보안법제는 대상의 내용에 따라 범주가 포괄 또는 구분될 수 있다.
대상 내용별 범주에 이어서 중요한 개념적 요소는 대상 내용의 존재형식이다. 보호대상이 어떤 존재형식을 띠고 있느냐에 따라 그 보안활동이 결정되기 때문이다. 이는 전통적 방식과 현대적 방식의 차이를 결정짓게 되는 계기이기도 하다. 예를 들어 보호대상을 ‘국가안보’라고 설정하게 되면 국가안보에 위협이 되는 모든 위험으로부터 국가를 안전하게 보호하기 위한 일련의 활동이 정립될 수 있는데, 이러한 활동은 국가형성의 기초가 되는 요소 전체와 국가운영의 정치 및 사회, 경제질서를 포괄하는 개념과 함께 확장된다. 이런 개념의 확장을 수용하지 못할 바는 아니지만, 보다 구체적인 보안법제의 범위 식별을 위하여 대상의 존재형식에 따라 이를 ‘정보’로 한정하는 방법의 채용이 유용하다.
보안법제가 ‘정보보안법제’의 개념적 범주로 특정되고 나면 이제 ‘정보’의 매체적 특성에 따라 하위범주가 형성된다. 위에서 본 다양한 분야의 보안법제는 사실상 정보의 수직적 구분과 귀속분야에 따라 형성된 것이다. 그렇지만 이는 아직 정보의 매체적 특성은 반영되고 있지 못하다. 해당 정보가 어떤 매체에 체화되어 있는가에 따라 위험과 보호의 수준 및 방법이 달라지기 때문에 정보의 매체적 특성은 중요한 인식 요소가 된다. 고전적 매체로서의 구전(口傳), 문자와 종이인 문서를 비롯하여 특정한 시설, 방송․통신체계 등과 같이 정보의 존재형식과 소통형식에 주목하는 일련의 보안규범 또한 이 매체적 특성에 따라 이루어진 것이라 볼 수 있다.
현대의 매체적 특성은 역시 정보의 ‘디지털화’와 ‘온라인화’라고 할 수 있다. ‘정보화’라고 하는 사회변혁은 자연스럽게 보안법제의 관심을 ‘디지털화’, ‘온라인화’로 이끌었고, 이에 따라 정보보안의 개념적 범주는 ‘디지털 정보’라고 하는 컴퓨팅 기술환경에서의 정보보안으로 특화되는 경향을 가져왔다. 컴퓨팅 기술환경에서의 정보보안은 급속한 온라인화와 더불어 더욱 기술적 영향을 많이 받게 되는데, 정보보안법의 관심도 이 정보통신기술환경에 따라 특화되고 진화하게 된다.
정리하자면, 보안법제는 그 보호대상 및 내용에 따라 수직적으로 구분되고, 또다시 그 존재형식에 따라 수평적으로 구분되는 개념적 범주를 설정할 수 있다. 매체적 특성에 주목하는 수평적 정보보안법제는 정보통신기술발달에 크게 영향을 받게 되지만, 다시 수직적 분화경향을 보이고 있다. 이러한 복잡한 개념적 틀과 환경이 정책경쟁과 보안법제의 체계적 정합성에 혼선을 가져오는 원인 중 하나가 될 수 있다.
2.2 보안법제의 연혁과 특성
2.2.1 전통적인 보안법제
우리나라가 독자적으로 현대적인 법체계를 수립하기 시작한 해방 이후, 우리나라의 보안법제는 국가안보적 측면에서 발달할 수밖에 없었고,6) 정부와 입법부의 주된 관심은 ‘국가적 정보의 보호’에 집중되어 있었던 것이 사실이다.7)
국가정보는 일종의 국가를 위한 지식이며 그러한 지식을 입수하는 행위(또는 상대방의 입수행위를 저지하는 것), 그리고 입수 또는 저지기능을 수행하는 조직 등을 포괄하는 개념으로[4], 정보와 매체의 통제가 특히 권력적 속성과 연결된다는 점을 고려할 때 국가적 관심은 해당 정치체제의 안정적인 보호와 권력의 유지·관리적 관점에서의 정보보안이 주된 관심사였다. 이어서 국가의 존립기반인 국토와 관련 시설의 보호, 사회·경제질서의 보호 등과 같은 공동체의 유지관리 역시 전통적 정보보안의 핵심 관심사가 아닐 수 없었다.
이런 전통적 의미에서의 보안법제는 국가안전보장, 국방, 공공질서의 보호 등과 같은 수직적 보호대상을 위해 정보보안활동과 법제가 수단적으로 중요시되어야 한다는 관념이 강하게 작용한다. 따라서 여기서의 정보활동은 정보의 수집과 분석 및 처리라고 하는 일련의 보호활동을 위하여 일반·추상적인 법규범을 마련하고, 이로부터 획득된 각종 정보를 체계적으로 보호하는 보안규범을 정립한다. 이에 따라 정보수집활동과 이에 수반하는 보안활동은 체계를 갖추게 되고, 정보의 수집활동에 관한 법제는 추상적 근거에따라, 보안활동에 관한 법제는 그 하위개념이지만 내부를 강하게 통제하는 구체적 규범으로 설정된다.8) 정보수집활동을 법리적 관점에서만 보면 대외적으로는 국제법적 문제를 갖게 되고 대내적으로는 개인의 자유권적 기본권의 제한이라고 하는 문제를 갖게 된다. 따라서 추상적 근거에 따른 정보활동은 그것이 수집활동이든 보호활동이든 법적 논쟁의 대상이 된다. 대표적 사례가 바로 국가보안법 폐지론과 존치론의 대립9)이다[5-7].
이와 같이 전통적 보안법제에서는 정보의 수집 및 처리가 중요한 가치로 인식되면서 보안활동은 비교적 하위의 수준으로 자리 잡게 되었고, 자연스럽게 이 시기 보안관련 법제는 공무원, 군인 등과 특정한 신분적 속성을 가지고 해당 정보를 처리하는 자가 법제의 주된 규율의 대상이 되는 특성을 보인다. 일반 법률적 근거보다는 특별권력적 행정권발동의 근거만 확보하면 그들에 대한 일반징계권 등을 통해 원하는 목적을 달성할 수 있었던 것이다. 일반인을 다루는 형태의 규범은 간첩행위와 같은 범죄행위를 처벌하는 수준이면 족했다고 할 수 있다.
그러나 정보의 존재형태가 디지털화 및 온라인화 하면서 전통적 정보보안의 범주가 변모하기 시작하였다. 구전, 문서, 시설 등과 같이 전통적 매체만 관리 하면 되었던 보호대상이 정보통신매체로 전환되면서 보안 취약성도 그만큼 증가하였기 때문이다. 다양한 형태의 보안사고는 정보의 수집 및 처리에 못지않은 정책적 관심을 증폭시키기에 충분하였고, 위험의 진원지가 국제적으로 확대되면서 정보보안문제는 또다시 국가안전보장의 중요한 요소가 되었다. 전통적 첩보대응과는 다른 총체적 정보보안이 필요하게 되면서 정책적 틀을 재편하여야 할 상황에 이르게 된 것이다.
또한 인터넷을 활용한 전자상거래 등 산업적 측면의 정보화효과가 부각되면서,10) 정보화 초기 정보보안은 부인방지 및 해당정보의 위변조 방지 등 주로 전자서명 정책의 일환으로 추진되었다. 이후 온라인 정보활동의 일상화는 개인정보 및 사생활보호 정책에 대한 수요를 폭증시켰으며 특히 2000년 이후 전자정부, 전자금융 등 정보화정책효과가 전면적으로 구체화되면서 정보보안도 해당 분야별 상황에 따라 구체적으로 발전하기에 이르렀다. 법제적으로는 정보화촉진기본법, 전자서명법, 정보통신망법, 전자정부법, 전자금융거래법, 개인정보보호법11) 등 다양한 근거 법규에 대한 입법이 이루어졌다.
2.2.2 정보화와 정보통신보안법제
정보화 시기 정보통신보안법제는 매체적 특성에 따라 수직적이던 정보보안법제에 대한 관심을 수평적으로 확대하는 역할을 하였다. 물론 정보통신이라고 하는 분야적 속성이 수직적 특성이 없는 것은 아니지만 ‘정보화’라고 하는 환경의 제공은 수평적 관점의 확산에 실질적으로 기여한 것을 부인하기 어렵다.
정보화가 본격적으로 시작되면서 정보통신보안법제는 정보화와 위험의 증가 및 그 대응이라고 하는 일련의 과정을 경험적으로 겪어 오면서 발전하였다. 따라서 전통적 보안법제가 군인이나 공무원에 대한 특수관계를 통해 문제를 해결하려고 하였던 것에 비해 이제 사회 전반을 두루 포괄하지 않을 수 없었다. 특별한 위험을 새롭게 사회에 도입하는 경우에 이에 대한 책임을 강화하는 형태의 입법과 그 구체적 의무사항 등은 모두 일반 국민을 다루는 것으로 엄격한 헌법적 통제를 받을 수밖에 없었던 것이다. 결과적으로 법제의 내용이 비교적 구체적이며 상세하고 전문적이게 변모하였다. 해당 분야에 대한 경험적 결과를 입법에 수시로 반영하면서 정보통신보안법제는 다른 분야에도 영향을 끼치게 되었고, 실질적으로는 정보보안에 관한 사회전반의 일반법적 기능을 수행하는 성과를 얻었다. 특히 보안범죄에 대한 특별형법적 규정 등과 위험에 대한 탐지 및 분석능력을 행정권에 의하여 확보하는 등의 규정은 다른 법령의 제정 과정에서도 그 방향성을 제시하는 역할을 하였다.12)
정보통신보안법제는 초기 단계에서는 해킹․바이러스나 컴퓨터 이용사기 등에 대한 대응과 같은 형사 규제의 내용으로 출발하였지만, 이후 다양한 보안사고를 경험하면서 규정이 대폭 확대되고 구체화되었다. 특히, 미국의 2001년 9.11테러나 우리나라에서 발생한 2003년 1.25 인터넷 대란 등과 같은 미증유의 사건은 정보화를 통해 얻은 결실이 얼마나 소중한 보호의 대상인지를 일깨워주었다. 이후 ‘정보사회에서의 안전’이라고 하는 확대된 포괄적 의미의 정보보안이 정보통신보안법제의 중요한 이슈가 되고, 정보의 존재형태를 구체적으로 식별하고 그 중요성을 구분하는 한편, 위험을 탐지하고 취약성을 분석하는 등의 보안활동이 입법에 급속도로 반영되기 시작하였다. 위험책임을 강화하는 형태의 입법과 해당 서비스 등에 대한 국가개입의 근거가 확충되기도 하였다. 특히 국가 및 공동체를 유지·발전시키는 데 중요한 정보자원을 식별하고 그에 대한 대응은 특별하게 하는 노력이 경주되었다. 정보통신망법을 통해 운용되던 정보통신보안법제는 정보통신기반보호법을 통해 그 범위가 확장되고 다시 정보통신망법에 의하여 보다 구체화되는 과정을 거치면서 정보통신보안법제의 체계를 갖추었다.13)
이러한 정보통신보안법제의 발전은 필연적으로 수직적으로 분화되어 있던 전통적 보안법제의 범주에도 영향을 끼치게 되었다. 수평적으로 연계된 통신망에서의 정보보안이 다른 인접한 분야에 영향을 끼치지 않을 수 없게 된 것이다. 일반인에 대한 행정권 발동을 필요로 하는 분야에서의 공조체제는 물론 기술기반이나 추진체계상의 전문기관 활용 등도 정보통신보안법제의 영향을 받은 분야 중에 하나이다.14)
2.2.3 정보화 이후의 특별분야 보안법제
정보통신 분야의 약진으로 인해 정보화는 일반적 현상이 되었다. 모든 분야의 정보가 정보통신 기기와 매체에 의하여 처리되면서 수직적 정보보안 요소는 특화의 길로 나아가게 된 것이다. 이 과정에서 정보통신보안법제 및 전통적 보안법제와의 협력과 경쟁은 불가피한 일이 되었다.
우선적으로 이루어진 분야는 전자정부분야이다. 전자정부분야는 행정정보화를 중심으로 발전하여 온 것으로, 공공분야의 모든 정보의 수집 및 처리가 디지털·온라인으로 처리되도록 하는 정책이다. 행정정보는 일반행정법적 관점과 근거를 가지고 수집 및 처리되지만, 그와는 별도로 일반적 규정으로서 전자정부법을 따로 두고 있는 것이 특징이다.
전자정부는 공공기관의 정보처리에 관한 사항을 다루고 있으므로 전통적 보안법제의 특성과 유사하게 일반국민에게 보다는 공공부문에 종사하는 공무원 등에 대해 특수하고 강력한 정보보안조치와 활동을 요구하게 된다. 그러나 전자정부는 일반 국민이 이용하는 통신서비스를 통해 제공되고 일반 국민의 참여도 중요한 몫이 되기 때문에, 일반국민에 대한 정보보안을 필요로 하는 요소도 존재한다. 전자정부분야에서의 정보보안은 이처럼 다면적 속성을 갖고 있기 때문에 정책경쟁이 불가피하다. 전자정부법상의 정보보안 규정과 전통적 정보보안의 문제가 서로 일반규정과 특별규정의 관계에서 얽혀서 경쟁을 하게 된다.15) 나아가 정보통신 보안의 기술과 능력이 그대로 전자정부분야에 적용되면서 정보통신 정보보안과 전자정부 정보보안은 현장에서의 정책경쟁이 일어나고 있다. 특히 전문기술의 지원기관이 양 정책경쟁기관을 동시에 지원하는 과정에서 이런 일은 더욱 가중되게 마련이다. 모든 분야에 동일한 요소는 정보보안의 대상 및 관리주체 등에서는 구분이 가능하지만 위험의 요소와 대응이라고 하는 정책수단에서는 동일하거나 유사한 데에서 경쟁과 협력을 필요로 한다. 그러나 행정권의 발동과 정책수단의 활용이라고 하는 측면에서는 보다 근본적이면서도 효율적․효과적인 방법을 찾지 않을 수 없다.
이와 같은 특별분야의 정보보안문제는 아이러니컬하게도 정보화를 추진하면서 체계적으로 자원을 동원하고 배분하는 과정에 연유하여 발생한다. 우리나라는 정보화를 추진하면서 국가기간 전산망을 5대 분야로 구분하여 특화된 방식으로 추진하였는데 이에 해당하는 망이 국방·행정·교육·금융·공안 등의 분야이다. 결과적으로 해당 분야가 모두 특별 정보보안분야라고 해도 무방하다.16)
국방 정보보안법제에 있어서는 최근에 괄목한 변화가 발생하였다. 국방정보화법을 필두로 사이버사령부 등 정보보안 관련 법규의 정비가 구체적으로 시행되었기 때문이다. 이는 전통적 정보보안법제가 정보통신과 연계되면서 하위개념으로부터 독자개념으로 진화하는 모델을 보여준다. 보다 적극적인 정보보안 활동의 하나로서 사이버전쟁에 대비하려는 관계기관의 노력은 정보보안의 개념이 국가안전보장이라고 하는 근본적 개념과 부합하는 수준으로 확대된다는 점을 의미한다.
다양한 보안사고를 통해 일반 국민의 관심을 증폭시켰던 금융분야는 정보보안 분야가 앞으로 더욱 발전하여야 할 분야로 꼽힌다. 금융기관은 공공성도 존재하지만 본질적으로 사익을 추구하는 기업이기 때문에 발생하는 특성이 존재한다. 개별 금융기관의 정보화는 해당 금융기관의 이윤극대화에 초점이 맞추어져 있기 때문에 효율성을 가장 우위에 두고 정보화를 추진하게 된다. 금융망은 모든 금융기관을 연동하여 일반 금융소비자에게 제공되기 때문에 정보보안에 대한 대응은 연합하여 이루어질 필요가 있다. 그러나 시장의 대응을 일의적으로 강제하거나 유도하기는 어려우므로, 현재로서는 결과적으로 금융감독 기능의 강화를 통해 보안수준을 격상하는 방법에 의존할 수밖에 없을 것이다. 결국 금융소비자 보호와 국가 정보통신 기반으로서의 금융정보망의 안전한 보호라고 하는 관념에 입각한 정보보안 입법과, 정책체계의 협력과 효과적 집행을 위하여 근거를 구체화하는 노력이 요구되는 분야이다.
공안망은 전통적 정보보안 체계에 의하여 운용되는 데 문제점이 없을 것으로 전망된다. 교육망의 경우에는 전국단위의 교육행정정보시스템의 운영상 문제를 다루고 있기 때문에 관련 법규에서 일관되게 정책을 집행할 수 있는 체계만 갖추면 된다. 물론 일반 국민인 학생과 학부모의 이용관계에서 발생하는 보안 의무규정 등은 구체적으로 입법에 반영하는 것이 필요할 것이다.
III. 현행 보안법제의 한계와 과제
3.1 개념적 혼동과 정책의 충돌
현행 보안법제는 위에서 본 바와 같이 다양한 개념이 중첩적으로 산재하여 경쟁하고 있는 상황이다. 발전과정에서 생긴 불가피한 측면도 없지 않지만, 공론이 부족한 상태에서 경험적 대응에 따라 입법이 이루어진 탓으로 볼 수도 있다. 하지만 근본적으로는 전통적 보안법제와 정보통신 및 분야별 보안법제 간의 역할구분이 불명한 것이 가장 큰 원인이라고 생각 된다. 나아가 ‘보안’의 개념을 수직·수평적으로 분명하게 정립하고 역할분담을 하지 못함으로써 불필요한 정책경쟁을 유발한 것도 중요한 원인 중 하나이다.
이렇듯 국가안보적 정보보안의 개념과 범위가 불분명하게 획정되고, 정보통신분야의 일반법적 정보보안활동과 능력이 혼용되면서 수직 및 수평 관계가 논리적으로는 틀어지게 되었다. 즉, 정보통신 분야는 정보통신사업자를 규율하는 수직적 체계를 가장 큰 기반으로 하면서도, 정보통신망에서의 정보보안이라고 하는 수평적 체계 대부분을 모두 수용하는 일반법적 내용을 갖게 된 것이다.17) 이러한 상태에서 개별 분야별 정보보안과 개념적 혼동을 가져오는 것이 불가피함은 물론, 전문기술이나 추진체계의 확보 등에서 어떤 특정 분야나 기관이 우위를 점하고 있는 상황에서는 정책 간 경쟁이나 혼선이 발생하기에 용이한 구조이다.
이런 문제를 해결하기 위해서는 정보보안의 요소를 구체적으로 식별하고, 같은 것과 다른 것을 구분해 내는 개념적 접근이 선행되어야 한다. 예를 들어 정보보안은 수평적으로 모든 분야에 해당하는 내용으로 정하되, 개별법에서 정하고자 하는 수직적 정보보안을 구별해 내고 역할 분담을 시도하는 것이다. 이런 접근 방법은 정책의 틀을 짜는 것과 정책 수단의 동원과 집행에서의 일반관계와 특수관계를 분별하는데 도움이 된다.
3.2 보호이익의 체계적 보호
개념적으로 구분된 수평적 정보보안과 수직적 정보보안은 분야별 정보보안이 보호이익에 집중할 수 있도록 해주는 효과가 있다. 정보보안에 관한 일반적 원칙을 천명하고 특별분야를 따로 정하여 분리하되, 해당 특별분야의 입법사항과 규제의 과학적 근거를 강화한다면 분야별로 건전한 경쟁도 촉진할 수 있다. 여기서 건전한 경쟁이라 함은 특별한 보안입법을 위하여 개별 정책기관이 신규제도를 도입하는 경우 일반적 보안입법 체계에서 그 효과성을 검증하거나 혹은 반대적 논의를 촉발하는 것을 말한다. 현재로서는 분야별로 지나치게 규제경쟁이 강하게 나타나면서 규제과잉 또는 공백분야가 발생할 수 있다고 생각한다.
3.3 사전위험예방행정의 근거
정보보안은 위험입법의 한 분야라 할 수 있다. 최근 들어 정보보안 사고는 위험의 전면성, 사고피해의 광범위성, 완전한 복구나 구제의 불가능성 등을 보여 주고 있다. 위험책임을 개별 당사자에게 맡겨둘 수만은 없는 분야 특성이 존재한다.18) 이런 문제점에 대응하기 위하여 가장 좋은 방법은 사전적으로 위험을 방지하기 위한 노력을 강화하는 것이다.
그러나 현재로서는 이런 종합적 대응을 추구하려는 능력과 노력은 여러모로 부족해 보인다. 공공과 민간부문을 막론하고 보안활동을 수행하여야 하는 당사자와 책임자에 대한 규제법규가 체계적이고 현실적이지 못할 경우 당사자는 규범적 수용능력을 갖추지 못할 가능성이 높다. 이렇게 되면 실제로 사고책임자가 운이 안 좋은 경우로 인식하게 되는 경우가 자연스러울 것이다. “하필 그 사고가 우리 회사에서 일어나거나 내가 재임하는 동안에 일어날 게 뭐람”이라고 하는 형태의 인식이 일반화되고, 사고 이후에 발생하는 손해배상이 기업의 현존가치를 넘어서는 경우, 또는 징계나 처벌과정에서 ‘사정을 참작한 판결’을 법률적으로나 사회적·정치적으로 용인하는 일이 반복되면 규범은 사실상 사문화되는 것이다.
우리 사회에서 정보보안에 관한 인식상의 문제는 예방을 위한 투자비 규모라는 지적이 많다. 정부부문의 정보보안 투자활성화를 비롯하여 위험예방을 위한 사전 점검, 감독 등 정보보안에 적합한 새로운 행정 수단을 광범위하게 도입하는 것이 필요하다. 정보보안사고 예방 투자활동이나 노력에 대해 다양한 형태의 인센티브를 도입하는 것도 고려해 볼 수 있다. 규제조치를 수반하는 긴급한 대응체계를 정립하는 것이 예방행정의 중요한 내용임은 물론이다.
3.4 통합적 대응
정보보안 사고가 발생하였을 경우 단일 부처에서 개별적으로 대응하기도 하고 다양한 부처가 연계하여 통합적으로 대응하기도 한다. 그렇지만 법적 대응체계가 조직법적으로 잘 정비되어 있지 못한 점은 아쉬운 일이다.19) 정보보안은 대상이 다양하고 개별적이라는 점을 앞에서 보았다. 그러나 위험요소나 대응방안이 유사하다는 점도 간과해서는 안된다. 고도 정보 사회에서의 정보보안은 우리가 사회를 구성하면서 잘 구분한 개념의 융통적 통합을 요구한다. 공공과 민간, 수직과 수평, 국내와 국외, 수직 개별분야, 공급자와 이용자 등의 구분은 대응에 효율적인가를 기준으로 통합과 협력체계로 운영하여야 한다.
이런 통합적 대응은 국가자원의 효율적 동원과 배분이라고 하는 전통적 정치 및 행정체계의 관념이 정보보안에 대해서도 잘 작동하여야 한다는 것을 의미한다. 국가권력의 구성요소와 조직체계를 정한 헌법과 정부조직법에 의하는 전통적 체계에 덧붙여 정보보안에 관계되는 각종 조직법과 작용법을 운용하기 위한 입법적 조치가 있어야 한다. 이때에는 정부뿐 아니라 민간의 전문가 등도 함께 대응하는 민관군 총합대응체계에 관한 근거가 포함되어야 한다. 경우에 따라서는 국제적 자원동원이나 협력도 긴요하다.
3.5 입법원칙의 준수
입법원칙은 정보보안법제에서도 준수되어야 한다. 법률유보의 원칙, 명확성의 원칙, 비례 및 과잉금지의 원칙이 대표적 원칙이라 생각된다.
법률유보의 원칙은 대통령령이나 훈령 등에 의하여 관리되고 있는 정보보안활동에 대해, 보다 근본적인 법규범으로 이의 근거를 명확히 하는 노력이 요구된다. 특히, 과거 전통적인 보안법제에 있어서 군인이나 공무원 등에 요구되었던 특수하고 강력한 정보보안규제행위에 있어서도 이에 대한 구체적 근거를 확보하여야 할 것이다. 아울러 정보보안기술이나 산업이 간접적으로 영향을 받는 분야에 대해 보다 구체적 근거와 민간 참여를 보장하는 형태의 발전이 이루어진다면 좋겠다.
명확성의 원칙도 근거의 법률화 못지않게 중요하다. 전통적 정보보안법제에서의 추상성은 지속적으로 문제가 될 수 있다. 어떤 행위가 어떤 형태에 규제의 대상이 되는지를 명확히 하는 노력이 필요하다. ‘안전보장에 관한 정보’ 등과 같은 불확정 개념을 보다 구체화하는 것부터 ‘공공질서’ 등과 같이 헌법재판소가 이미 정하여 둔 불명확한 법규 기준 등을 우선 참고할 수 있을 것이다.20)
규제과잉의 문제와 처벌위주의 실효성 확보수단도 차제에 재고되어야 한다. 과학적으로 정보보안에 기여하는 규제가 어떤 것인지 식별해 내고, 이를 평가 하여 규제의 실효성을 검증하는 제도를 도입하는 것도 고려해 볼 수 있다. 일반법적 규정을 통해 이런 과잉규제에 대한 심사권한을 갖는 추진체계를 정립하는 것도 방법이다.
IV. 가칭 정보보호정책기본법의 구상21)
4.1 필요성과 의의
정보보안에 관한 행정 및 정책관할은 연혁적으로나 내용적으로 특수한 분야로 인식되어 왔다. 특히, 정보보안에 관한 개념적 접근의 다양성과 정책환경의 특수성에 기인한 인식의 차이가 상존하여 왔다. 대체로 1990년대 중반 이후 정보화정책의 집중적 추진은 개념의 분화와 인식의 격차를 가중하는 결과를 초래하였다고 할 수 있다.
IT를 중심으로 하는 정보화정책을 추진하는 과정에서 전통적 정보보안의 관념과 정보화환경에서의 정보보안을 효과적으로 접목하는 데 어려움을 겪으면서 국가적 차원의 통합적․유기적 정보보안정책을 요구하는 의견은 점증하고 있다. 따라서 현 상황을 효과적으로 극복하기 위한 제도적 대응방안을 모색하는 것은 정보보안 정책환경의 개선은 물론 다가올 고도 정보사회에서 국가 정책의 효율적 집행을 위하여 바람직한 일이 될 것이다.
앞서 살펴본 바와 같이 전통적 보안법제와 정책의 특색은 국가안보에 방점을 둔 견지로 대표되는 바, 냉전체제에서 출발하여 군사정부 등 권위주의 행정체제를 이어받은 한국의 경우 이 특수성이 행정전반에 유효한 상황이다. 법제적으로도 국가보안법, 국가정보원법, 군사기밀보호법 등 다양한 전통적 정보보안 정책 근거 법규가 존재하며 각기 실효적 수단을 보유한 것으로 평가할 수 있다.
2001년 9.11 테러사건 이후 정보자원 전반에 대한 보안정책은 전통적 국가안보적 관점에서 재구성되고 있으며 특히 국가 및 사회기반시설에 대한 보호가 중요한 정책이슈로 부상하였다[7,10]. 법제적으로는 정보통신기반보호법22)을 비롯한 다양한 하위법규 등의 입법이 존재한다. 분야별 특성과 발전상황에 따라 정보보안에 관한 정책도 구체적으로 변모하고 있으며 이를 국가적 차원에서 유기적으로 운영하는 것이 숙제라 할 수 있다.
2010년 전후로는 정보화정책의 전면화와 스마트 환경이 전개되면서 정보보안은 분야별로 더욱 구체적으로 진화하는 단계에 와 있다. 지능형전력망(스마트 그리드), 국방정보화, 행정정보 공유 및 보호 등 개별 분야의 보안정책은 기존 정보화정책과 더욱 밀접한 관계를 맺으며 전개되고 있으며, 이에 따라 분야별 사이버안전센터의 확충 등 침해대응 정책도 구체화되고 있다.
우리나라의 경우 다양한 형태의 수직적 내용에 대한 정책구체화와 입법적 대응은 활발한 것으로 평가 된다. 특히, 정보통신망, 전자정부, 국가안보, 국방, 전력망, 금융 등 개별 분야가 편차는 있으나 해당 분야의 정책관할부처에서 경쟁적으로 법제를 구비하고 이를 지속적으로 보완·발전시키고 있다. 그러나 이러한 모든 분야의 입법·정책의 수준과 대응능력 등에서는 편차가 점증할 가능성이 있어 국가적 차원에서의 대응이 필요한 것도 사실이다. 수평적 내용으로서의 정보보안 정책이 경쟁적으로 추진되면서 추진체계, 연구개발지원, 정책수단 혼동 등이 우려되고 국가적 차원에서의 종합․조정을 통한 통합적 보안정책의 추진을 기대하는 데에는 아쉬움이 있다. 이제는 보안법제와 정책의 수평적․수직적 특성을 충분히 이해하고 이에 대한 개선방안을 제도적으로 도출하는 것이 향후 고도 정보사회의 구현을 위하여 바람직한 일이다.23)24)
이런 차원에서 정보보호정책기본법은 보안정책의 수평적․수직적 특성을 기반으로 하여 이를 구체적으로 실현하기 위한 정책입법적인 성격이 크다. 다양한 분야에 걸쳐 존재하는 수직적 정보보안의 개념과 정책의 내용을 인정하면서도, 정보보안의 개념적 범위를 설정·구체화하고 이에 대응하기 위한 범정부수준의 통합적 정책체계를 확립함은 물론 국가적 차원에서 정보보안을 위한 자원동원의 효율성과 효과성을 보장하는 근거 입법으로서의 위상도 가진다.
또한 개별분야의 특수한 규율을 위한 입법 내용은 개별법에 두고 정책체계 효율화를 위하여 필요한 공통사항은 기본법에 두는 법제 간 역할분담을 가능하게 하는 입법으로서의 의의도 가진다. 이렇게 되면 장기적으로 해당 정책이 경쟁과 협력을 지속하면서 일반법과 특별법의 관계 또는 기본법과 개별법의 관계를 발전시키는 정책환경을 제공할 수 있을 것이다.
4.2 정보보호정책기본법의 주요 내용
정보보호정책기본법은 기본법적 내용을 제공하기 위하여 정책의 대상을 명확히 확정할 필요가 있다. 이를 위하여 목적과 정의 및 적용범위를 총칙에 규정하되 ① 온라인과 오프라인 정보보안을 모두 포괄, ② 국가안보와 정보화분야를 포괄, ③ 적용우선순위와 규범경쟁의 해결방안 등에 관한 사항을 포함하는 것이 필요하다.
정책의 집행체계로서의 추진체계를 구체적으로 규정하되 ① 국가전체적 차원에서 집행체계의 협의·조정 기능을 확보, ② 모든 정보보안정책을 총괄하는 기구의 설치 또는 전임 행정기관(주무관청)의 지정, ③ 정보보호기술·집행관리·사업관리 등의 전문기관 및 전문가 집단의 효율적 관리방안, ④ 개별 정책의 추진기관과의 역할분담 방안 등을 규정하여야 한다. 또한 기본법의 구체적 정책수단으로서 ① 정보보호 기본계획 및 시행계획, ② 연구개발·인력개발·민관협력·국제협력 등 다양한 조성행정기능, ③ 조성행정을 위한 기금 등 재원의 확보방안, ④ 정보보호정책을 위한 고권적 행정수단으로서 긴급대응·조사·위험예방활동·신고대응 등 다양한 규정과 그에 상응하는 보상제도의 도입, ⑤ 실효적 수단으로서의 금지행위와 형벌규정25) 등의 규정을 둘 수 있을 것이다.26)
나아가 일반민사적 상황에서 적용 가능한 환경조성을 위한 사항으로써 ① 정보보호산업, ② 정보보호 서비스 및 기관인증, ③ 전문자격제도의 도입, ④ 공제·부조 및 보험제도 등에 대한 규정도 주된 입법의 내용이 될 것이다.
4.3 정보보호정책기본법의 입법 전략
정보보호정책기본법에는 다양한 규정의 도입이 가능하겠으나, 정책기본법은 정책의 추진체계와 자원동원의 효율적 관리라고 하는 근본 목적에 충실하게 입법을 추진하는 것이 바람직하다. 복잡하지 않은 내용을 설정하는 것은 조기 입법의 완료에 도움이 된다. 또한 필요한 제도이나 기본법에 반영하지 못한 경우에는 개별 분야별 입법을 통해 구체화하면 된다.
기본법과 더불어 제․개정하여야 할 개별 법률안의 로드맵을 동시에 마련하여 입법을 추진하여야 한다. 결국 이 로드맵이 정보보안법제가 전체적으로 체계성 있게 발전할 수 있는 모델이기 때문이다. 정보보호정책기본법의 제정은 우선적으로 기존의 법률인 정보통신망법, 정보통신기반보호법, 전자정부법, 지능형전력망법, 국방정보화법, 전자금융관계법 등의 개정소요를 수반하게 될 것이다. 현재 법률이 없는 다양한 행정분야에서 특별입법의 소요를 발굴하여 제정안을 마련하여야 하며 암호관리 등 수평적 행정분야에 관한 개선소요도 추가로 검토할 수 있을 것이다.
V. 맺음말
우리는 역사적·상황적 특성에 따라 보안법제의 체계적 발전을 도모하지 못하고 있다. 다행히 최근 들어 정보보안 대한 인식이 개선되고 중요성이 부각됨에 따라 법제적 노력을 기울여야 한다는 논의가 정부내외부로부터 확산되고 있다. 이에 우선 정책의 체계를 개선하기 위하여 필요한 조치가 무엇인지, 그리고 왜 그런 조치가 필요한지에 대한 생각을 정리하여 보았다.
아직 정보통신보안법제에 대한 체계적 연구가 부족한 상황에서 시론적 논의를 보태는 것도 무척 조심스러운 것이 사실이다. 더구나 수년 동안 부처 간 정책경쟁이 있어 왔던 분야에서 생각을 내어 놓는 것이 새로운 분란의 씨앗이 될 수도 있다고 생각하니 더욱 우려스럽다. 그럼에도 불구하고 우리가 입법적 노력을 기울이고 정책을 체계적으로 운용하지 않으면 애써 마련한 정보통신 강국이 사상누각이 될 수도 있다고 생각하니 어떤 모양으로든지 논의를 촉발하는 것이 이 분야 연구자로서의 사명이란 생각도 갖게 된다. 모쪼록 정부와 의회가 국민적 뜻을 결집하고 기존의 정책을 반성하면서 새로운 차원의 정보사회를 구현하는 데 도움이 되길 바라면서 글을 맺고자 한다.
References
- Gil-Hyun Nam, "E-Government Implementation and necessity of information protection", Korea National Defense University, 2000.
- Banks.S., "Security Policy", Computer & Security, Vol. 9., 1990.
- B. Von Solms., "Information Security-The Fourth Wave", Computer & Society, Vol.25., 2006.
- Abram N. Shulsky, Silent Wafare: Understanding the World of Intelligence, Virginia: Brassey's, Inc, pp.1-3, 2002.
- Intelligence Committee, "Presentation source book of Public hearing for enactment of national cyber crisis management act", Republic of Korea National Assembly, 2013.
- Intelligence Committee Senior Professional Advisor, "Bill of national cyber terrorism prevention, Bill Review Report of national cyber safety administration", Republic of Korea National Assembly, 2013.
- So-Young Yook, "The Necessity of Enacting Cyber Security Act", Journal of Korean Comparative Public Law Association, 11(2), 2010.
- Peter Baumeister, "Staatshaftungsrechtliche Fragen in der Risikogesellschaft ", Korea Public Land Law Association Public Land Law Review, 32(2), Trans. Seung-Pil Choi, Korean Public land law Association, 2006.
- Gi-Jin Kim, "The Study on the Theory of Risk Liability", Korea Public Land Law Association Public Land Law Review, 43(2), 2009.
- Do-Seung Kim, "Legal Challenge for Cyber Crisis Response", Journal of Korea Information Society Development Institute, 21(17), Korea Information Society Development Institute, pp.38, 2009.
- Kyung-Keun Kang, "Legal Perspectives and Prospects of Information Security", Journal of Korean Comparative Public Law Association, 6(2), pp.204, 2005.
- Jong-Sung Hwang and others, A Theoretical Study on the Policies for Information Legislations Reform, National Information Society Agency, pp.9-11, 2007.
- Pil-woon Jung, "A Critical Analysis on the Concept of 'Cyber Security'", Yonsei Journal of Mediccal and Science Technology Law, 2(2), 2011.
Cited by
- Legislative Reform of Smart Grid Privacy Act vol.26, pp.2, 2016, https://doi.org/10.13089/JKIISC.2016.26.2.415