현행 정보통신망법은 법의 효력이 미치지 못하는 사각지대가 많고 일관성과 정체성을 상실했다는 비판을 받고 있다. 또한 일반인들이 이해하기에 법의 내용이 복잡하고 어려우며 법규범으로서의 예측성과 명확성이 부족하다는 비판도 받고 있다.

정보보호에 관한 기본법 역할을 해온 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’이 제정·시행된지 20년이 지났다. 이 법은 1986년 제정된 이후 두 차례의 전문개정과 20회에 걸친 부분 개정으로 법의 명칭에서부터 내용에 이르기까지 많은 변화가 있었다.

제정 당시 전산망의 보급확장과 이용촉진이 주요 목적이었지만, 정보통신 이용환경의 급속한 변화에 따라 점차 개인정보보호, 정보통신망보호, 광고성정보(스팸메일) 전송제한, 청소년보호, 불법정보 유통금지 등 정보화 역기능 예방과 이용자보호 측면이 강조됐다. 다른 한편으로 정보화촉진기본법, 정보통신기반보호법, 전자서명법, 전자정부법, 공공기관의 개인정보보호에 관한 법률 등이 제정되어 정보통신망법의 부족한 부분을 보충하기도 한다.

  

그러나 새로운 침해기술과 침해수법이 나타날 대마다 임기응변식으로 법이 개정되다보니 현행 정보통신망법은 법의 효력이 미치지 못하는 사각지대가 많고 일관성과 정체성을 상실했다는 비판을 받고 있다. 또한 일반인들이 이해하기에 법의 내용이 복잡하고 어려우며 법규범으로서의 예측성과 명확성이 부족하다는 비판도 받고 있다.

합리적인 규제의 범위를 넘어서거나 지나친 시장개입으로 비춰지는 부분도 없지 않다. 사실 정보통신망법을 비롯해 현행 정보보호법제는 초고속 인터넷에 적합하도록 설계돼 있어서 유비쿼터스, USN, BcN, 웹2.0, 유·무선 융합 등과 같은 새로운 정보통신기술의 발견과 발전을 예상하지 못한 측면이 있다. 구체적으로 현행 정보보호법제가 안고 있는 문제점을 살펴보면 다음과 같다.

  

첫째, 정보보호 정책·의무 관련 규정이 여러 법령에 분산돼 있어 체계적이고 통합적인 정보보호 정책 수립과 법 집행이 어렵다. 정보통신망법, 정보화촉진기본법, 전자정부법, 국가사이버안전규정 등 여러 법령에 정보보호시책수립, 침해사고대응체계, 정보보호 평가·인증제도 등이 분산·규정되어 있고 이들 제도의 운영도 각각 공공부문과 민간부문으로 나뉘어 있다 보니 정보보호체계가 유기적으로 통합되어 있지 못하다.

둘째, 현행 정보통신망법은 개인정보보호, 정보통신망보호, 침해사고대응, 인증·평가제도 등 규제정책에 초점이 맞추어져 있어 정보보호 교육·홍보, 산업육성, 인력양성, 기술 개발 및 보급, 자율규제촉진, 정보보호 지수개발 등 정보보호를 촉진하기 위한 법·제도적 장치는 부족하다. 일부 촉진제도가 마련되어 있기는 하지만 정보보호보다 정보통신망 이용촉진제도에 머물고 있다.

  

셋째, 현행 정보보호법제는 개방·참여·공유로 대변되는 웹2.0, 유비쿼터스, 소셜미디어(Social Media) 등 고도정보사회에 대한 대응능력이 부족하다. 정보통신망법은 이미 개발되거나 운영되고 있는 정보기술제품 또는 정보시스템의 취약점 분석과 침해사고 발생시 원인 분석 및 대응 중심으로 발전되어 왔다. 그러나 현대의 고도정보기술환경에서는 시스템 구축 및 서비스 개발 단계에서부터 정보보호의 고려, 시스템 개발업무 위탁시 사전 보안능력 평가, 주요 IT서비스 개시 전(前) 사전 보안성 검토 제도화, 애플리케이션 보안의무, 중요정보 암호화 등과 같이 침해사고를 사전에 방지·차단할 수 있는 수단과 정책이 강화되어야 한다.

  

넷째, 정보보호를 위한 구체적이고 실효성 있는 강제수단 부족으로 법 집행력이 미흡하다. 1·25 인터넷 대란으로 사이버침해 대응체계는 갖추어졌으나 피해확산 방지 및 신속한 대응을 위한 실효성 있는 이행수단은 부족하다. ISP, ISAC, 침해사고대응센터 사이에 적절한 책임과 의무 분담과 함께 상호 협력의무를 부담해야 한다.

  

다섯째, 정보보호법상 안전진단, 취약점 분석, ISMS, CC평가, 보안성 검토 등 다양한 정보보호 평가·인증제도가 도입되어 있으나 이들 평가·인증의 품질을 관리할 수 있는 사후 관리·감독 제도가 미흡하다. 각종 평가·인증 제도의 부실화·형식화를 막고 평가·인증 제도의 활용을 활성화하기 위해서는 평가·인증에 대한 관리를 강화하고 체계화하여야 한다.

  

마지막으로 현행 정보보호법제에서는 정보보호를 위한 정부, 사업자, 이용자의 역할이 분명하지 않다. 프로슈머, 프로추어 등 이용자 참여 기반의 정보통신서비스시대의 도래에 따라 각 정보보호 주체들의 역할을 정립하고 각 주체들 간에 책임과 의무를 분담해야 한다. 지금까지는 이용자들이 일방적으로 보호의 대상이었지만 이제부터는 이용자들도 정보사회의 참여자(프로슈머·프로추어)로서 일정한 의무를 분담하는 방향으로 나아가야 한다.

  

정보보호 없이 IT산업의 지속적인 발전은 기대하기 어렵다. 우리나라가 세계인으로부터 진정한 IT강국, 모범적인 전자정부국가로 인정받기 위해서는 정보보호에 대한 투자와 노력을 게을리해서는 안 된다. 정보보호는 이용자들의 이익보호를 위해서뿐만 아니라, 우리나라 IT산업에 새로운 세계시장 개척의 기회를 제공하기 위해서도 필요하다. 이와 같은 투자와 노력을 촉진하기 위해서는 법·제도적인 뒷받침이 있어야 하며, 정보보호법제 전반에 대한 전면적인 재검토가 요구된다.

 

News Clipping

공공기관 악의적 정보비공개 ‘처벌’

앞으로 공공기관이 시민 등이 청구한 정보를 악의적인 이유로 공개하지 않으면 처벌받게 된다.

행정자치부가 국민의 알권리를 확대하고 행정의 투명성을 높이기 위해 운영하고 있는 ‘정보공개강화 태스크포스(TF)’는 9월 10일 공공기관의 악의적인 정보비공개 처벌조항을 신설하는 등의 내용을 반영한 정보공개법 개정안을 검토하고 있다고 밝혔다.

그동안 정보공개법은 비공개 정보에 대한 기준이 모호해 공공기관이 편의에 따라 공개·비공개를 결정하는 일이 벌어지곤 했다. 실제로 공공기관 홈페이지에 명기된 바에 따르면 ‘평온하거나 정상적인 생활에 지장을 초래할 우려가 있는 정보’ ‘참석자의 심리적 부담으로 인해 솔직하고 자유로운 의사교환이 이루어질 수 없다고 인정되는 정보’ ‘진행이 종료된 정보라 하더라도 공개로 인해 향후 해당 업무의 공정한 수행에 명백한 지장을 줄 수 있는 정보’ 등 해석이 모호한 사항을 정보 비공개 세부기준으로 제시하고 있다.

한 정보보호 업계 관계자는 “공공기관이 취급하는 정보의 등급은 해당 기관장의 결정에 달려있다고 봐도 좋을 정도”라며 정부는 해당 정보가 어떤 등급을 가질지 확실하게 정해주지 않고 ‘모르면 물어보라’고 한다. 정보가 담고 있는 내용에 따라 일률적으로 등급을 매기기 어려운 경우가 있는 것은 사실이지만, 지금은 기준이 없는 것이나 다름없다”고 말했다.

TF는 이 같은 폐단을 막기 위해 정보공개법에 공공기관이 악의적으로 공개를 공개하지 않으면 처벌할 수 있도록 하는 조항을 신설하고, 정보공개처리 기간 연장 수단으로 악용될 수 있는 제3자 의견청취 절차를 개선할 예정이다. 악의적인 비공개의 범위와 처벌 대상, 수위 등 구체적인 사항에 대해서는 추가적으로 논의할 예정이다.

이와 함께 청구인이 원하는 경우 사본과 복제물을 교부하도록 하고, 비공개 정보를 구체화하며, 정보공개위원회에 행정심판기능을 부여하는 등 위원회 기능을 강화하도록 할 계획이다. 또한 이의신청 시 정보공개심의회 개최를 의무화하고, 정보목록을 빠짐없이 공개하도록 하며, 공공기관의 범위를 확대·명화하게 한다는 방침이다.

<글: 이창범 한국정보보호진흥원 법제분석팀장>

 

[월간 정보보호21c 통권 제86호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>