• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

‘국가사이버위기관리법안’ 심층분석 2008.12.12

국가적 위기 발생시 신속한 대응이 목적

공성진 한나라당 의원이 지난 10월 28일 국가사이버위기관리법 제정안을 국회에 제출했다. 공 의원은 “국가 차원의 사이버위기를 예방하고 위기발생시 일원화된 대응체계를 구축하기 위해 국가사이버위기관리법 제정안을 국회에 제출했다”고 밝혔다.

이 법안은 사이버공격 정보를 탐지·분석해 즉시 대응할 수 있는 보안관제센터 구축과 함께 사이버공격에 대비한 위기관리 훈련을 실시토록 하고 있다. 이와 더불어 사이버위기가 발생할 경우에 민관 합동대책본부를 운영토록 하는 등 국가차원의 사이버위기 대응체계를 구축하도록 하는 내용도 포함돼있다.


사이버공간은 정보통신기술의 비약적인 발전과 더불어 정보기기와 컴퓨터 그리고 인터넷 등의 네트워크로 연결된 가상의 공간으로 이미 국민 생활의 보편적인 영역으로 자리매김했고 국경을 초월하여 범지구적이면서 정부와 민간부분이 상호 밀접히 연계되어 있다.

이러한 특수성으로 말미암아 복잡·고도화되며 시공간의 제약을 벗어나 발생하는 모든 사이버공격을 정부와 민간 어느 하나도 단독으로 차단하기에는 분명한 한계가 있다. 게다가 사이버공격으로 초래되는 사이버위기는 현실세계의 물리적 질서혼란과 달리 특정개인에 대한 것일지라도 국가전체의 위기로 확대될 수 있다.

그리고 과거 1·25 인터넷 대란과 같은 전국적인 규모의 국가 주요 정보통신망 마비사태 발생과 해외로부터 조직적인 사이버공격으로 국가기밀 및 첨단기술의 유출 등 국가·사회 전반에 중대한 영향을 미칠 수 있는 사이버위기 발생 가능성이 날로 증대하고 있다.

그러나 우리나라는 아직 국가차원에서 사이버위기를 체계적으로 관리할 수 있는 제도와 구체적 방법·절차가 정립되어 있지 않아 사이버위기 발생시 국가안보와 국익에 중대한 위험과 막대한 손해를 끼칠 우려가 있다.

따라서 이 법에서는 정부와 민간이 참여한 국가차원의 종합적인 대응체계를 구축하도록 하고 이를 통하여 사이버공격을 사전에 탐지하여 사이버위기 발생 가능성을 조기에 차단하며 위기 발생시 국가의 역량을 결집하여 신속히 대응할 수 있도록 하고자 한다.


법 제정 왜 필요한가?

사이버공간상 국가안보의 중요성 증대됨에 따라 사이버공격에 대한 범국가 차원의 대응체계 구축이 필요하다.

1.25 인터넷 대란(2003.1.25. 약 9시간 동안 인터넷 전면 마비, 대란 초래되어 2,200여억원의 피해 발생)에서 보듯이 사이버공격이 전 국가·사회적 위험으로 급속히 대두되고 국가안보에도 직접적인 위협요소로 작용하고 있고 세계 각국은 사이버공간을 이용하여 상대국의 기밀을 절취하거나 국가기능을 마비시키기 위해 사이버정보전을 치열하게 전개(2004.6. 중국발 국가기관 해킹사건, 2007.5. 러시아발 에스토니아 정보통신망 마비시도)하고 있다.

또 사이버공격은 국가·사회적 파급력이 막대하여 이미 국가안보의 새로운 위협요인으로 대두되었고 민·관 분야별 구분 대처는 한계성에 직면했다. 우리는 사이버위기를 국가차원에서 체계적으로 관리할 수 있는 제도와 구체적 방법·절차가 정립되어 있지 않아 위기발생시 국가안보와 국익에 중대한 위험과 막대한 손해를 끼칠 우려가 다분하다.

따라서 사이버공격을 사전에 탐지하여 위기발생 가능성을 조기에 차단하며 위기발생시 국가의 역량을 결집하여 정부와 민간이 참여한 종합적인 국가대응체계를 구축하기 위해서는 법률 제정이 필요하다.


주요 내용

이 법안의 주요 내용은 국가차원의 사이버위기 관리체계 구축하고 평시 사이버위기관리 강화, 그리고 사이버위기 발생시 일원화된 대응체계 구축 등을 골자로 한다. 다음은 국가사이버위기관리법안의 주요 내용이다.

■ 사이버공격에 대한 국가차원의 종합적이고 체계적인 대응과 사이버위기관리를 위하여 국가정보원장 소속으로 국가사이버안전센터를 둠(안 제4조).

■ 국가정보원장은 사이버위기를 효율적으로 관리하고 사이버공격 관련정보를 상호 공유하기 위하여 민·관 협의체를 구성·운영할 수 있음(안 제5조).

■ 국가정보원장은 국가사이버위기관리종합계획을 수립하고 이에 따라 위기관리기본지침을 작성하여 책임기관의 장에게 배포하고 책임기관의 장은 세부지침을 수립·시행하여야 함(안 제6조).

■ 책임기관의 장은 사이버공격 정보를 탐지·분석하여 즉시 대응할 수 있는 보안관제센터를 구축·운영하거나 다른 기관이 구축·운영하는 보안관제센터에 그 업무를 위탁하여야 함(안 제8조).

■ 책임기관의 장은 사이버공격을 탐지하여 사이버위기 발생 가능성을 조기에 차단·예방하는 등 피해를 최소화하기 위하여 신속한 대응조치를 취하여야 함(안 제9조).

■ 책임기관의 장은 사이버공격으로 인해 피해가 발생한 경우에는 자체 사고조사를 실시하고 그 결과를 관계 중앙행정기관의 장 및 국가정보원장에게 통보하여야 하며 국가정보원장은 필요한 경우에 직접 사고조사를 실시할 수 있음(안 제10조).

■ 국가정보원장은 사이버공격에 대한 체계적인 대응 및 대비를 위하여 사이버위기경보를 발령할 수 있으며 책임기관의 장은 피해발생을 최소화하거나 피해복구 조치를 취해야 함(안 제12조).

■ 정부는 심각단계의 사이버위기경보가 발령된 경우 원인분석, 사고조사, 긴급대응, 피해복구 등을 위하여 관계 기관 및 전문인력이 참여하는 사이버위기대책본부를 구성·운영할 수 있음(안 제13조).

■ 관계 중앙행정기관의 장 및 국가정보원장은 사이버위기관리에 필요한 기술개발·국제협력 등 필요한 시책을 추진할 수 있음(안 제14조 및 제16조).

■ 정부는 사이버공격 기도에 관한 정보를 제공하거나 사이버공격을 가한 자를 신고한 자에 대하여 포상금을 지급할 수 있음(안 제18조).

■ 직무상 비밀을 누설한 경우에는 5년 이하의 징역 또는 3천만원 이하의 벌금에 처하고, 보안관제센터를 구축하지 아니한 경우에는 2천만원 이하의 과태료에 처할 수 있음(안 제19조 및 제20조).


법률안 특징

위기의 예방·대비·대응 및 복구 기능을 강화하기 위하여 사이버공격 탐지, 훈련, 조사 등 전반적인 활동이 가능토록 포괄적 위기관리 개념을 도입했다.

평시는 각급기관의 자율적 책임관리하에 소관분야별 위기관리활동을 수행하고 위기 도래시는 민관군 합동으로 구성된 대책본부 중심으로 대응·복구 등 위기관리체계를 가동한다.

사이버공격의 신속성을 고려하여 책임기관으로 하여금 1차적 보안관제센터를 운영토록 하고 관련 정보를 공유하며 공격 탐지시 즉각적인 대응체계 구축이 가능토록 업무수행체계 단순화했다.


주요 조항의 제정 취지

■ 위기관리 책임기관 및 지원기관 지정(안 제2조)

사이버위기를 예방하고 위기발생시 피해를 최소화하기 위해서는 국가·공공기관뿐만 아니라 안보와 국익과 관련된 최소한의 민간업체도 책임기관으로 지정할 필요가 있다. 평시 안전활동을 소홀히 하여 위기를 초래할 경우에는 그 피해가 다른 기관으로 급속히 확산되는 특징이 있으므로 책임기관이 소관분야에 대한 보호 노력을 기울이도록 의무를 부과하고 사이버공격에 대한 신속한 탐지 및 위기사태시 원활한 대응과 피해 복구를 위해서는 전문인력과 장비·기술을 보유하고 있는 기관이나 업체의 지원이 필요하므로 지원기관으로 지정해야 한다.

■ 국가사이버안전센터의 설치(안 제4조)

국정원(국가사이버안전센터)이 국가사이버위기관리 업무를 수행하는 이유

  • 사이버위기는 태풍 등과 같은 자연재해로부터 오는 재난이 아니라 국가혼란 등의 목적을 가진 특정인이나 집단에 의해 이루어지기 때문에 국가안보 차원에서 접근하여야 하므로 정부조직법상으로도 국정원의 직무에 해당한다.
    * 정부조직법 제15조제1항 : 국가안전보장에 관련되는 정보·보안 및 범죄수사에 관한 사무를 담당하기 위하여 대통령 소속으로 국가정보원을 둔다.
  • 전자정부의 기능이 전산망에 의존하고 국가기밀이 전산망을 통해 유통되고 보관되기 때문에 국가전산망의 안정성 확보가 국정원 고유임무인 국가기밀과 핵심기능 보호의 중요 부분을 차지한다.
  • 사이버공격은 국경을 초월하여 발생하기 때문에 국제적 협력이 필수적인데 국정원은 해외 정보·보안기관과 협력채널을 보유하고 있다.
  • 미국은 국토안보부(DHS), 영국은 국내보안부(MI5), 독일은 연방정보보안기술청(BSI), 러시아는 연방보안부(FSB) 등 정보·보안기관이 담당한다.

부처별 대응조치의 한계를 넘어 국가차원의 정보를 종합하고 분석하며 실무적 집행능력을 갖춘 국가정보원을 국가사이버위기관리의 컨트롤타워로서의 역할을 수행토록 규정하고 평시 사이버공격 정보의 수집·분석·전파 등의 임무와 책임기관으로부터 오는 공격관련 정보를 종합하여 사이버위기 상황에 관한 조기경보를 발령하여 피해의 최소화와 사태의 확산을 방지한다.

한편, 사이버안전센터는 국가사이버안전관리규정에 의거 04.2 설립되어 이미 운영되고 있는 조직으로 법률이 제정되더라도 근본적으로 조직을 확대한다든지 새로운 권한을 부여한 것은 아니므로 위상과 기능에 차이가 없으며 대책본부를 운영하더라도 현재의 조직과 인원이 그대로 승계되어 위기관리 업무를 수행하므로 조직확대·권한강화 등의 우려는 기우이다. 

■ 종합계획 수립, 점검·평가 및 국회 보고(안 제6조, 제7조)

새롭게 대두되는 사이버위협에 능동적으로 대처하기 위해서는 국가차원의 중장기 종합계획을 수립하여 사전에 위협을 예측하고 대응체계를 정비하는 등 종합적인 대책 강구가 필요하다.

위기관리지침에는 사이버위기관리에 대한 체계적이고 전반적인 내용, 즉 예방→대비→대응→복구 등에 필요한 방법과 절차를 모두 규정한 위기관리의 종합적 지침이다. 평시 국가사이버위기관리 및 사이버위기 발생시 대책본부를 구성하여 운영하는 국정원이 기본지침을 작성하여 배포하면 각 책임기관은 기본지침에 따라 기관별 또는 분야별로 적합한 세부지침을 마련하여 시행함으로써 국가적으로 통일된 대응체계 확립이 가능하다.

위기관리의 예방기능을 강화하기 위해서는 위기관리지침의 이행여부를 확인할 수 있어야 정책·제도의 집행력을 담보할 수 있다.

■ 보안관제센터의 설치(안 제8조)

사이버공격은 눈에 보이지 않는 사이버공간에서 고도로 지능화된 기술을 사용하여 이루어지기 때문에 공격에 대한 탐지가 매우 어려워 체계적으로 탐지·분석·전파할 수 있는 시스템을 구축하지 않는다면 공격 사실조차 알 수 없는 특성을 갖는다.

따라서 일정수준 이상의 전문인력과 장비를 갖춘 보안관제센터를 설립·운영하는 것이 필요하며 기관 여건상 자체 설립이 여의치 않을 경우에는 관계 중앙행정기관 등이 운영하는 다른 보안관제센터에 그 업무를 위탁 수행한다. 또한 의도적이고 조직적으로 자행되는 사이버공격은 고도의 기술을 다양하게 혼합하여 사용함으로써 공격자나 공격사실을 은폐하는 경향을 가지므로 실시간 탐지된 수많은 공격 정보를 종합·분석하지 않으면 공격 사실조차 탐지하기 힘든 특성을 갖는다.

따라서 국가사이버안전센터를 운영하고 있는 국가정보원은 각 보안관제센터로부터 각종 공격 정보를 종합·분석하여 다양한 공격패턴을 추출하고 이에 대한 보안대책을 수립하여 다시 보안관제센터로 통보함으로써 고도의 사이버 공격에도 효율적으로 대응할 수 있도록 한다.

■ 사고조사(안 제10조)

피해기관이 자체적으로 사고조사·대응토록 함으로써 자율적인 사이버위기관리 역량제고 및 체계를 정착하되, 다만 동일한 사이버공격으로 인한 피해가 다른 기관에도 발생할 가능성이 크므로 조사결과를 관계 중앙행정기관의 장 및 국정원장에게 통보토록 하여 국정원장은 국가적인 피해 현황을 신속히 파악하고 필요시 재발방지대책을 마련하여 다른 기관에 제공함으로써 피해 확산을 방지한다.

국가기밀이나 전력·가스 등 국가핵심 정보통신시설을 대상으로 한 북한·중국 등의 조직적인 해킹 공격 등 국가안전보장과 관련된 사항은 해당기관만의 문제가 아니라 국가 전체의 위기로 확산될 가능성이 크므로 국가안보 및 이익에 중대한 영향을 미치는 사항에 한해 국정원장이 직접 조사하여 원인을 규명하고 대책을 마련한다.

일부 기관은 피해 사실을 숨기거나 축소하기 위해 고의로 관련 자료를 삭제·변조하는 경우가 있으며, 이는 피해원인 분석 및 대응책 마련을 불가능하게 하여 추가 피해 발생을 막고자 하는 정부의 노력을 헛되게 하므로 이를 방지하기 위한 규정을 마련한다.

 

 

■ 위기경보의 발령 및 대책본부의 구성(안 제12조, 제13조)

책임기관이 사이버공격에 대한 체계적인 대비 및 대응을 사전에 준비할 수 있도록 수준별 경보발령이 필요하다. 관계 중앙행정기관의 장에게 위기경보 발령권한을 부여하면 사이버위기에 대한 오경보를 발령할 우려가 있고 한편으로는 경보 자체를 발령하지 않을 수도 있어 사이버위협 정보를 종합·분석하는 국정원이 발령할 수 있도록 규정한다

 * 국정원(국가사이버안전센터)은 2004년 2월 이후 긴급대응이 필요한 중국발 국가 주요기관 해킹사건 등 사이버공격에 대해서 총 8건(관심4, 주의3, 경계1)의  경보를 발령하여 신속히 조치한 바 있으나 타기관은 발령사례가 전무하다.

사이버위기시 사이버공격에 대한 정확한 분석과 신속한 대응 및 복구를 위해서는 관계부처·연구기관·전문업체 등의 전문인력으로 구성된 대책본부 구성·운영이 필요하다.

대책본부장을 국정원장으로 한 이유는 평시 국가사이버위기관리 업무를 총괄하면서 사이버위기 발생 이후에도 사고대응에 대한 연속성을 보장하는 한편 중앙행정기관 및 지원기관을 포괄하여 범정부 차원에서 사이버위기에 신속히 대응토록 하기 위함이다.

대책본부장은 대책본부의 효율적 운영과 위기의 신속한 해결을 위해 책임기관 및 지원기관의 장에게 필요한 인력과 장비의 지원을 요청할 수 있도록 규정한다.


기대 효과

평시 사이버위기 예방을 위한 각급기관의 역할과 위기발생시 범국가 차원의 대책기구 구성 등 효율적이고 체계적인 위기관리체계 구축이 가능하다. 또 민간과 공공의 구분이 없이 발생하는 사이버위기에 민간기관의 참여와 지원을 보장할 수 있는 법적 근거를 확보함으로써 공동대응이 가능하다.

사이버위협정보를 체계적으로 수집·분석·대응하는 체계를 구축함으로써 위기발생을 사전에 탐지·예측 및 피해확산 차단 가능하고 정부 합동 사이버위기 대응훈련을 주기적으로 실시함으로써 체계적이고 효율적인 사이버위기 대응능력 배양이 가능하다.

<글 : 정보보호21c 편집팀(info@boannews.com)>


[월간 정보보호21c 통권 제100호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>