사이버위기 극복을 위한 사이버안보 법제의 개선과제

A Study on the Improvement of Cyber Security Legislation for Overcoming Cyber Crisis

인공지능(AI), 클라우드, 사물인터넷(IoT) 등 신기술의 확산과 함께 사이버공간은 국가 핵심 기반활동의 중심으로 자리 잡았으며, 이에 따라 사이버 위협이 국가안보 차원의 중대한 문제로 대두되고 있다. 우리 정부･공공기관을 대상으로 북한 등 해킹조직의 사이버공격이 지속적으로 발생하면서 사이버안보의 중요성은 더욱 커지고 있다. 현행 법제 하에서 정보보호 체계는 공공부문, 민간부문, 국방부문으로 구분하고 각기 다른 부처와 기관에서 개별 법령으로 사이버안보 위협에 대응하고 있어 사이버공격이 발생했을 때 국가의 역량을 결집하여 신속히 대처하기에는 어려움이 있다. 또한 대통령실 내 국가안보실이 컨트롤타워를 담당하고 있으나 법적 구속력이 없는 등의 문제로 각 부처 및 기관의 대응을 조정하는 역할을 담당하는 사이버안보 컨트롤타워의 필요성에 대해 논의가 계속 있어 왔지만 어느 기관에서 담당할 것인지에 대해 합의에 이르지 못한 상태이다. 사이버공격은 행정부, 입법부, 사법부를 가리지 않고 발생하며 오롯이 공격 목표가 되기만 하면 공격･침해의 대상이 되는데 특히 입법부, 사법부, 중앙선거관리위원회는 독립기관이라는 이유로 보안의 사각지대에 놓여있다. 미국, 일본 등은 국가가 사이버안보를 직접 관리하고 있으며 통합 사이버안보법을 시행중에 있다. 반면 우리의 경우는 법률적 공백이 있음으로 인해 상기 언급한 문제점들이 여전히 해결되지 않고 있어 이와 같은 문제를 해결할 수 있는 법률을 마련해야 하는 필요성과 당위성이 제기된다. 제17대 국회부터 여러 차례 사이버안보법 제정이 추진되었으나 국가정보원 권한 집중에 대한 불신, 개인정보 침해 우려, 민간 참여 부족 등의 이유로 모두 입법이 되지 못하였다. 대법원의 사이버 공격 침해 사례를 통해서도 알 수 있듯이 국가를 배후로 한 해킹 조직의 사이버공격을 개별 국가기관의 역량으로 온전히 막아내기는 매우 어렵다. 따라서 국가안보를 위협하는 사이버 공격으로부터 국가정보통신망을 보호함을 목적으로 하고 있는 ｢국가사이버안전관리규정｣을 법령화하는 등 사이버안보에 관한 통합적인 단일법을 신속히 마련해야 한다. 또한 사이버안보에 관한 법률을 기반으로 사이버안보 대응을 위한 일원화된 체계를 담당할 정부기관을 구성하는 것도 중요하다. 다만 사이버안보 정책의 추진에 있어 개인정보보호나 인권 침해 여지가 발생하지 않도록 세심히 고려하여야 할 것이다. 사이버안보를 위한 통합적인 법제와 일원화된 체계를 담당할 단일기관의 구성은 지난(至難)한 작업이 될 것으로 예상되나 공공･민간･국방을 아우르는 국가적 역량을 결집한 신속하고 포괄적인 사이버위협 대응체계를 확립할 필요가 있다.

With the spread of new technologies such as artificial intelligence (AI), cloud, and the Internet of Things (IoT), cyberspace has become the center of national core infrastructure activities. As a result, cyber threats are emerging as a serious national security issue. Cyber security is becoming more important as cyber attacks by hacking organizations such as North Korea continue to occur in our government and public institutions. Under the current legislation, the information protection system is divided into public sector, private sector, and defense sector, and different ministries and agencies respond to cyber security threats with individual laws and regulations. Therefore, when a cyber attack occurs, it is difficult to mobilize the nation's capabilities and respond quickly. There is also a problem that the National Security Office in the Presidential Office is in charge of the control tower, but it is not binding. There has been a debate about the necessity of the cyber security control tower, which is responsible for coordinating the responses of ministries and agencies. However, there is no consensus on which agency will take charge. Cyberattacks are carried out regardless of administration, legislature, or judiciary; in particular, the legislature, judiciary, and the National Election Commission are placed in a blind spot in security because they are independent agencies. In the United States and Japan, the state directly manages cyber security and is implementing the Integrated Cyber Security Act. However, in our case, the problems mentioned are still not solved, and there is a need to establish a law to solve such problems. Since the 17th National Assembly, the enactment of the Cyber Security Act has been promoted several times, but it has not been legislated due to distrust of the National Intelligence Service's authority concentration, concerns about personal information infringement, and lack of private participation. It is very difficult to completely prevent cyber attacks by state-involved hacking organizations with the capabilities of individual state agencies. Therefore, it is necessary to quickly establish a single law on cyber security, such as legalizing the Directive On The National Cyber Security Management. In addition, based on the Act on Cyber Security, a government agency should be formed to take charge of a unified system for cyber security response. However, in the promotion of cyber security policy, care should be taken to prevent privacy or human rights violations. It will be a difficult task to form a single institution that will be responsible for integrated legislation and unified systems for cyber security. However, it is necessary to establish a rapid and comprehensive cyber threat response system by consolidating national capabilities including public, private, and defense.