한국은 이미 고도 정보사회가 되었으며 행정, 교통, 의료, 교육 등 사회 인프라의 대부분이 정보통신기반시설에 절대적으로 의존하고 있다. 이에 따라 1990년대 후반부터 정보통신기반시설 보호에 노력해 왔으며 2001년 ‘정보통신기반 보호법’제정을 통해 국가적인 정보통신기반시설 보호체계를 구축했다. 2007년에는 ‘재난 및 안전관리 기본법’에서 국가기반시설 지정 및 관리 제도를 도입함에 따라 에너지, 통신, 교통, 금융, 의료, 수도 등 국가기반체계의 보호체제가 구체화되었다.

정보사회(Information Society)는 정보통신기반시설에 절대적으로 의존한다. 행정, 교통, 의료, 교육 등 사회 인프라의 대부분이 정보통신기반시설에 의하여 움직이고 있다. 만일 정보통신기반시설이 파괴 또는 기능이 마비되어 제 역할을 하지 못하게 되는 경우에는 행정, 교통, 의료, 교육 등 다른 사회 인프라도 제대로 작동하지 않게 된다. 따라서 정보통신기반시설은 ‘정보사회의 핵심 인프라’라고 할 수 있다.

한국은 이미 고도 정보사회가 되었으며 행정, 교통, 의료, 교육 등 사회 인프라의 대부분이 정보통신기반시설에 절대적으로 의존하고 있다. 이에 따라 1990년대 후반부터 정보통신기반시설 보호에 노력해 왔으며 2001년 ‘정보통신기반 보호법’제정을 통해 국가적인 정보통신기반시설 보호체계를 구축했다.

이후 한국의 정보통신기반시설 보호는 보호대상이 정보시스템이라는 것과 이에 대한 주된 위협이 해킹, 컴퓨터바이러스 등 전자적 침해라는 이유에서 재난관리와는 독립된 보호체계를 구축, 운영해 왔다. 그러나 2003년 1.25 인터넷 침해사고에서 나타났듯이 통신과 같은 해당 국가기반체계의 운영에 핵심적인 역할을 하는 정보통신기반시설의 파괴 혹은 마비는 해당 국가기반체계의 기능 마비를 초래한다는 사실이 밝혀졌다.

그리고 2007년 ‘재난 및 안전관리 기본법’에서 국가기반시설 지정 및 관리 제도를 도입함에 따라 에너지, 통신, 교통, 금융, 의료, 수도 등 국가기반체계의 보호체제가 구체화되었다. 따라서 주요정보통신기반시설의 보호와 그에 의존하는 국가기반체계의 보호체계를 조화시킬 필요가 제기되고 있다.

융합 시대와 정보통신기반시설 보호제도의 문제점

최근 몇 년 사이 융합(Convergence)이 화두(話頭)다. 융합은 다른 종류의 것이 녹아서 서로 구별이 없게 하나로 합하여지거나 그렇게 만드는 것이다. 방송과 통신의 융합, 정보기술(Information technology)과 전통산업의 융합, 사이버스페이스와 리얼스페이스의 융합 등 바야흐로 모든 게 융합되는 시대이다.

이러한 고도 정보사회 및 융합 시대에 현행 정보통신기반시설 보호제도는 다음과 같은 문제점이 있다. 첫째, 현행 정보통신기반시설 보호체계는 침해요인을 전자적 침해행위로 한정하고 있다. 그러나 정보통신기반시설의 안전을 위협하는 것은 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스방해 같은 전자적 침해행위에 그치지 않는다. 지진, 홍수와 같은 천재(天災)나 폭동, 파업과 같은 인재(人災)에 의해서도 위협받을 수 있다. 또한 정보통신기반시설이 절대적으로 의존하는 전력 인프라가 파괴 혹은 기능이 마비되는 경우에도 위협받을 수 있다.

즉 정보통신기반시설의 안전을 위협하는 요소는 단지 전자적 침해행위에 한정하지 않는다. 따라서 정보통신기반시설에 대한 위협을 단순히 전자적 침해행위로 국한하는 것은 타당하지 않으며 자연재해, 인적재해를 모두 포괄하는 것이 바람직하다. 다만 위협의 성격이 상이하므로 그에 대한 대응은 달라질 수밖에 없을 것이다.

둘째, 현행 정보통신기반시설시설 보호체계는 침해요인을 전자적 침해행위로 한정함으로써 보호수단의 측면에서도 정보보호 혹은 정보보안(information security)만을 강조하고 있는 면이 크다. 따라서 예컨대 통신 분야의 경우 ‘정보통신기반 보호법’에 따른 주요정보통신기반시설 보호와 ‘전기통신기본법’에 따른 통신재난관리로 보호체계가 분리되어 있다. 즉 주요정보통신기반시설보호계획에서는 전자적 침해행위에 대한 보호대책만을, 통신재난관리기본계획에서는 전자적 침해행위에 대한 보호대책을 제외한 재난ㆍ재해 그 밖에 물리적ㆍ기능적 결함 등에 대한 대책만을 내용으로 한다(전기통신기본법 제44조의3).

이는 2010년 9월 시행을 앞두고 있는 ‘방송통신발전 기본법’ 하에서도 동일하다(동법 제35조 참조). 그러나 앞서 살펴보았듯이 주요정보통신기반시설은 통신 분야에서도 다수가 존재하며 이는 통신의 핵심 시설이다. 따라서 통신 분야의 주요정보통신기반시설이 파괴 혹은 기능이 마비되는 경우 이는 바로 통신의 마비로 이어지며 바로 통신재난이라고 할 수 있다. 2003년 1.25 인터넷침해사고가 바로 그러한 예이다.

셋째, 정보통신기반시설은 유선 혹은 무선 여부에 관계없이 기본적으로 전력에 의존하고 있다. 따라서 전력 인프라가 파괴 혹은 기능이 마비되는 경우 정보통신기반시설은 치명적인 피해를 입게 된다. 또한 댐 혹은 배수지와 같은 수자원 인프라가 파괴 혹은 기능이 마비되어 홍수가 발생한 경우 정보통신기반시설은 치명적인 침수 피해를 입을 수 있다. 또한 금융, 의료 등 다른 사회 인프라가 그 기능을 정보통신기반시설에 절대적으로 의존하고 있는 상황에서 관계 정보통신기반시설의 파괴 혹은 기능 마비는 해당 사회 인프라의 기능 마비를 초래할 수 있다. 따라서 정보통신기반시설과 다른 사회 인프라 간에는 침해 위협의 측면에서 뿐만 아니라 침해로 인한 영향의 측면에서도 상호 의존하고 있다고 볼 수 있다.

융합 시대의 정보통신기반시설 보호

따라서 융합 시대에 맞게 현행 정보통신기반시설 보호체계를 재난관리체계와 연계, 통일시키는 것이 필요하다. ‘재난 및 안전관리 기본법’은 재난을 국민의 생명ㆍ신체 및 재산과 국가에 피해를 주거나 줄 수 있는 ①자연현상(태풍ㆍ홍수ㆍ호우(호우)ㆍ강풍ㆍ풍랑ㆍ해일(해일)ㆍ대설ㆍ낙뢰ㆍ가뭄ㆍ지진ㆍ황사(황사)ㆍ적조 등)으로 인하여 발생하는 재해 ②화재ㆍ붕괴ㆍ폭발ㆍ교통사고ㆍ화생방사고ㆍ환경오염사고 등으로 인한 피해 ③국가기반체계(에너지ㆍ통신ㆍ교통ㆍ금융ㆍ의료ㆍ수도 등)의 마비로 인한 피해 ④전염병 확산 등으로 인한 피해로 규정한다(제3조제1호).

특히 국가기반체계는 에너지, 정보ㆍ통신, 교통ㆍ수송, 금융, 보건ㆍ의료, 원자력, 환경, 식용수 등 그 기능이 마비될 경우 국민의 생명과 재산 및 국가경제에 심각한 영향을 미칠 수 있는 물적ㆍ인적ㆍ서비스ㆍ환경 체계이다. 따라서 이러한 사회 인프라의 마비로 인한 피해를 재난으로 보고 관리한다면 해당 사회 인프라의 기능 수행에 중요한 역할을 하는 정보통신기반시설도 재난관리의 내용에 포함하여야 한다. 다만 사회 인프라 별로 또 사회 인프라의 구성요소 마다 위협이 상이하므로 그에 대한 대응은 달라질 수밖에 없을 것이다. 이때 정보통신기반시설의 경우 전자적 침해행위가 중요한 위협요소가 될 수 있다.

정보통신기반시설 보호와 재난관리체계의 주요 연계방안은 다음과 같다. 첫째, 기본계획을 연계하여야 한다. ‘재난 및 안전관리 기본법’은 관리대상인 재난의 하나로 에너지ㆍ통신ㆍ교통ㆍ금융ㆍ의료ㆍ수도 등 국가기반체계의 마비를 들고 있으며 전자적 침해행위로 인한 주요정보통신기반시설의 파괴 혹은 기능 마비는 통신 등 특정한 국가기반체계 즉 사회 인프라의 기능 마비를 초래하거나 더 나아가 금융 등 다른 사회 인프라의 기능 마비를 가져올 수도 있다.

따라서 재난관리계획의 수립에서 주요정보통신기반시설 보호를 포함하거나 또는 주요정보통신기반시설보호계획과 연계하는 것이 바람직하다. 국가안전관리기본계획은 각종 재난 및 사고로부터 국민의 생명ㆍ신체ㆍ재산을 보호하기 위하여 국가의 재난 및 안전관리의 기본방향을 설정하는 ‘최상위 계획’이다. 따라서 국가안전관리기본계획에 주요정보통신기반시설보호계획을 반영 혹은 연계시키는 것은 당연한 논리라고 할 수 있다. ‘재난 및 안전관리 기본법’은 국가기반체계의 보호를 위해 2007년부터 국가기반시설을 지정, 관리하도록 규정하고 있으므로 주요정보통신기반시설보호계획을 국가기반시설 지정, 관리와 통합 혹은 연계할 수 있다.

둘째, 추진체계와 관련하여서는 주요정보통신기반시설 보호체계를 ‘재난 및 안전관리 기본법’에 따른 국가기반시설 보호체계와 연계하는 것이 바람직하다. 앞에서 살펴보았듯이 주요정보통신기반시설은 독립한 사회 인프라가 아니며 사회 인프라의 기능 수행에 핵심적인 역할을 하는 전자적 제어겙桓?첵뵀?및 정보통신망이다. 또한 주요정보통신기반시설을 포함하는 사회 인프라는 대개 국가기반시설에 해당한다고 볼 수 있다.

주요정보통신기반시설이 관계되는 업무로 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등을, 국가기반시설이 관계되는 국가기반체계로 에너지ㆍ통신ㆍ교통ㆍ금융ㆍ의료ㆍ수도 등을 드는 데서 공통점을 찾을 수 있다. 그리고 전자적 침해를 ‘정보재난’으로 이해할 수 있으며 ‘재난 및 안전관리 기본법’의 국가기반체계의 마비는 그 주요정보통신기반시설에 대한 의존 때문에 전자적 침해를 포함하지 않으면 완전하게 이해할 수 없다. 따라서 주요정보통신기반시설 보호체계도 재난 및 안전관리체계 내에서 국가기반시설 보호의 일환으로 운영되는 것이 타당하다.

이러한 맥락에서 국가기반시설의 지정, 재난관리 교육ㆍ훈련, 위기관리 매뉴얼 정비 등 국가기반시설의 관리가 해당 시설의 주요정보통신기반시설 보호와 연계되도록 하여야 한다. 이러한 점에서 우선 ‘정보통신기반보호법’에 따른 정보통신기반보호위원회를 ‘재난 및 안전관리 기본법’에 따른 중앙안전관리위원회의 분과위원회 중 하나인 국가기반체계보호대책위원회에 통합하는 것이 바람직하다.

다만 주요정보통신기반시설의 경우 해킹ㆍ컴퓨터바이러스 등 전자적 침해행위가 주요한 위협이므로 자연재해, 화재, 전염병 등에 대한 대응체계와 같이 전자적 침해에 맞는 예방, 대응 및 복구 등의 조치가 이루어질 수 있도록 체계와 제도가 정비되어야 할 것이다.

셋째, 대응 및 복구대책을 연계하여야 한다. 전자적 침해와 다른 재해ㆍ재난은 그 위협의 성격이 다르므로 그 예방, 대응 및 복구 수단도 다를 수밖에 없다. 따라서 전자적 침해에 대해서는 어느 정도 독립한 조직과 체계를 필요로 한다. 그러나 전자적 침해라 할지라도 그로 인한 주요정보통신기반시설의 마비가 해당 국가기반시설 혹은 더 나아가 다른 국가기반시설의 마비를 초래할 수 있다. 따라서 대응 및 복구 차원에서는 주요정보통신기반시설의 마비로 인한 해당 국가기반시설 및 다른 국가기반시설에의 영향을 고려하여야 한다.

요컨대 고도 정보사회 및 융합 시대에는 사회 인프라의 대부분이 정보통신 인프라에 절대적으로 의존한다. 따라서 전통적인 재난·재해뿐만 아니라 전자적 침해행위에 의해 해당 정보통신 인프라의 파괴 혹은 기능 마비를 가져올 수 있고 이는 궁극적으로 정보통신 인프라에 의존하는 사회 인프라의 파괴 혹은 기능 마비를 초래할 수 있다.

따라서 현재와 같이 사회 인프라에 대한 재난관리체계를 전통적인 재난ㆍ재해와 전자적인 침해로 분리하여 운영하는 것은 바람직하지 않으며 양자를 통합하여 통일된 재난관리체계를 구축하는 것이 필요하다.

<글 : 박영우 한국인터넷진흥원 전문위원(ywpark@kisa.or.kr)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>