[보안뉴스 김경애] 올 상반기 각종 보안사고 속출로 사이버위협이 고조되고 있다. 사이버위협은 경제적 이득을 취득하기 위한 목적뿐만 아니라 정치·사회적 목적의 사이버테러, 군사기밀 습득과 국가기반 시스템 파괴 등을 위한 사이버전 등 다양한 형태로 진행되고 있다.

공격대상은 개인부터 불특정 다수, 그리고 타깃 공격까지 범위는 확대되고 있으며, 공격수단은 인터넷, 이메일, USB, 공유폴더 등을 통해 다양하게 이뤄진다. 공격방법은 △잠복기를 통한 공격코드 삽입 △정상을 가장한 조간된 파일 유입·공격,△취약점을 이용한 악성코드 유포 △소셜댓글 서비스에 이용되는 링크를 통해 악성코드를 유포하는 등 지능화·고도화된 방법으로 이루어져 사이버위협은 갈수록 커지고 있다.

이에 따라 사이버 위기관리는 더욱 중요해지고 있으며, 사이버안보 법률의 필요성이 제기되고 있다. 이와 관련 국회정보위원회 남원희 입법심의관은 “미국과 영국, 중국 등 주요국에서는 국가 차원의 사이버 위기관리 등과 같은 관련된 법적·제도적 시스템을 도입하고 있다”고 밝혔다. 이에 본지는 사이버 위기관리와 관련해 각국의 입법동향 및 제도 등을 살펴보고자 한다.

먼저 미국은 사이버 위기관리와 관련해 국토안보법(HSA)과 연방정보보안관리법(FISMA)이 있으며, 관리예산처(OMB)가 연방정보자원에 대한 보안정책을 집행하는 등 각급기관의 역할을 규정해 정부전산망과 주요 기반시설을 보호하고 있다.

국토안보부(DHS)는 ‘사이버공간 보호를 위한 국가전략(NSSC)’에 따라 △국가사이버보안 대응시스템 구축 △사이버위협 감소프로그램 운영 △위기대응훈련 △국제협력 등 위기관리활동을 총괄한다. 또한 2009년 4월 오바마 정부는 대통령실에 사이버안보 보좌관제를 신설했으며, 사이버안보법(Cybersecurity Act of 2009)을 제정했다.

일본은 사이버 위기관리와 관련해 고도정보통신네트워크사회형성기본법(IT기본법)이 있으며, IT전략본부 산하의 국가정보보안센터(NISC)가 사이버공격정보 수집·위험평가·관련기관에 위기관리대책 수립 지시 등의 업무를 수행한다.

중국은 국가안전법과 인터넷 안전보호관리법이 있으며, 국가안전부와 국가보밀국에서 사이버보안 및 범죄대응 업무를 수행한다. 또한 공업정보화부 산하의 침해사고대응센터(CNCERT)에서는 국가기관 네트워크에 대한 안전 모니터링, 경보 및 기술을 지원한다.

독일은 사이버 위기관리를 위해 연방정보기술보안청설립법(BSI설립법)을 두고 있으며, 연방정보기술보안청이 ‘IT인프라 보호를 위한 국가계획(NPSI)’에 따라 중요인프라의 기능유지 및 위기대응을 담당한다. 또한 기밀누설 방지와 데이터의 안전성 확보 및 네트워크 침해사고를 차단하고 있다. 뿐만 아니라 국가 기간산업체와 정보통신 공급업체를 대상으로 안전사고 발생시 BSI(연방정보기술보안청)에 대한 신고 등을 법률상 의무화하는 정보통신법을 추진하고 있다.

캐나다는 사이버 위기관리와 관련해 캐나다보안정보부법(CSIS법)이 있으며, 캐나다보안정보부(CSIS)가 국가안보에 미치는 사이버위협에 관한 조사·분석, 위협·위험평가 등 업무를 수행한다. 또한 공공안전부(PSM) 산하의 사이버사건대응센터(CCIRC)가 사이버위협을 실시간 감시하고, 국가주요기간시설을 보호하고 있으며, 사이버 보안사건에 대한 국가적 대응활동을 조정한다.

노르웨이는 국가보안법에서 정보보안기관인 국가보안국(NSA)의 임무·권한으로 △비밀보호 △암호정책 △정보시스템 보안인증 및 모니터링을 규정하고 있다.

프랑스는 민간기업, 국가 기간산업 분야의 사이버공격 대응 및 사이버보안 강화조치를 위해 사이버보안법 제정을 추진 중에 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>