방송통신정책연구 15-진흥-023
국가 사이버안보 미래 발전전략 수립
(Establish future developmental strategy of nation cyber-security)
2015. 12.
연구기관 : 인제대학교
이 보고서는 2015년도 미래창조과학부 방송통신발전기금 방송통신 정책연구사업의 연구결과로서 보고서 내용은 연구자의 견해이며, 미래창조과학부의 공식입장과 다를 수 있습니다.
제 출 문
미래창조과학부 장관 귀하
본 보고서를 『국가 사이버안보 미래 발전전략 수립』의 연구결과보고서로 제출합니다.
2015년 12월
연구기관 : 인제대학교 산학협력단 총괄책임자 : 김철수
참여연구원 : 홍재선, 김희영, 강향주 이병철, 김규남, 김지원
목 차
요약문···
제 1 장 서 론···1
제 1 절 연구 배경 및 목적···1
1. 다양한 형태의 사이버보안 위협 고조···1
2. 사이버보안 정책의 중요성···1
3. 사이버보안 정책 수립 기본 방향···2
제 2 장 국내 사이버보안 현황 분석···5
제 1 절 사이버보안 환경···5
1. 사이버보안 침해 사례···5
2. 사이버보안 전문 인력의 부족···6
3. 토종 사이버보안 R&D 부족···8
4. 사이버보안 분야 산업경쟁력 정체 상태···10
5. 국내 사이버보안 관련 입법 동향···11
제 3 장 해외 주요국의 사이버보안 정책 및 법/제도 분석··· 21
제 1 절 미국···21
1. 미국의 사이버보안 정책 분석···21
2. 미국의 사이버보안 법체계 분석···39
제 2 절 일본···40
1. 일본의 사이버보안 정책 분석···40
2. 일본의 사이버보안 법체계 분석···52
제 3절 영국···54
1. 영국의 사이버보안 정책 분석···54
2. 영국의 사이버보안 법체계 분석···66
제 4 장 국가 사이버안보 미래 발전전략 제언···68
1. 통합 컨트롤타워 구축/강화 ···68
2. 평상시 훈련을 통한 해킹 대응능력 강화 ···69
3. 사이버보안산업 육성 및 보안관련 기술개발 여건 조성 ···69
4. 사이버 전력화 ···69
5. 해킹보험 의무화 ···70
6. 사이버보안 관련 법/제도 정비 ···70
7. 경쟁력을 갖춘 글로벌 기업의 육성 ···70
8. 인력양성 체계 마련 및 직업분류 체계화 ···71
9. 사이버보안 R&D 예산 확대 및 장기적 로드맵 수립 ···73
10. 사이버테러 방지법에 대한 입법73 제 5 장 결론 및 시사점···74
제1절 국외 선진 사례 시사점 ···74
1. 미국 ···74
2. 일본 ···75
3. 영국 ···76
참고문헌···79
표 목 차
<표 1-1> 국가 사이버안보 발전전략 연구 목표···4
<표 2-1> 정보보안 산업 정의···11
<표 2-2> 정보통신산업진흥법···11
<표 2-3> 정보통신망 이용촉진 및 정보보안 등에 관한 법률···12
<표 2-4> 정보통신 진흥 및 융합 활성화 등에 관한 특별법···14
<표 2-5> 정보산업의 진흥에 관한 법률···15
<표 3-1> 주요 기반시설 보호를 위한 부시 정부의 정책···22
<표 3-2> 행정명령의 주요 지시사항···25
<표 3-3> 주요 기반시설 보안 관련 부처별 역할···26
<표 3-4> 사이버보안 프레임워크 코어의 기능 분류···28
<표 3-5> 2014년의 행정명령 관련 이행 사항···30
<표 3-6> 사이버보안 업무···36
<표 3-7> 미국 내 교육기관 정보보안 과목 비율···38
<표 3-8> 미국의 사이버보안 관련 주요 법률···39
<표 3-9> ‘강건한 사이버 공간 구축 전략’ 추진 개요···46
<표 3-10> ‘강건한 사이버 공간 구축 전략’ 추진 개요···49
<표 3-11> 일본의 사이버보안 주요 법률···52
<표 3-12> 일본의 사이버보안 기본법···53
<표 3-13> 영국 사이버침해사고 피해액 규모···55
<표 3-14> 영국 사이버보안 전략 세부 실행과제···59
<표 3-15> 국가 사이버보안 전략 계획 주요 추진내용···60
<표 3-16> 사이버보안 전문가 직종···66
<표 3-17> 영국의 사이버보안 관련 주요 법률···66
그 림 목 차
[그림 2-1] APT 공격대상 국가 순위···5
[그림 2-2] 사이버 침해사고 사례에 대한 정부 및 기업의 대응현황···6
[그림 2-3] 사이버보안 R&D 국가별 기술 격차···8
[그림 2-4] 세계 정보보호시장 대비 국내 정보보호시장 현황···10
[그림 3-1] 2000-2013년 회계 연도 NITRD의 연구 분야별 예산 비중···34
[그림 3-2] 일본 사이버보안 관련 주요 정부부처 체계···41
[그림 3-3] 일본 정보보호센터의 내부 조직도···42
[그림 3-4] 정보처리 추진기구의 내부 조직도···43
[그림 3-5] 민간기업의 사이버위협 피해 경험(좌) 및 사이버위협 유형(우)··· 55
[그림 3-6] 영국 사이버보안 체계···57
[그림 4-1] 통합 컨트롤 타워 구축···68
요 약 문
1. 제 목
국가 사이버안보 미래 발전전략 수립
2. 연구 목적 및 필요성
최근 우리의 생활은 인터넷 보급에 따라 일상에서의 변화는 물론 생산, 유통, 서비스에 이르는 기업 활동의 혁신이 이루어지고, 국가차원의 사이버안보에 관한 다양한 시도도 진 행되고 있는 상황이다.
그러나 네트워크의 편리함에 대응하여 나타난 해킹을 비롯한 사이버 범죄는 이제 피할 수 없는 중요한 사회적 아젠다가 되었으며, 이를 해결하기 위하여 각 국은 사이버보안을 책임지는 통합기구를 설치하고, 법제도를 정비하는 한편 민간 기업까지 참여하는 민관 협 동시스템을 구축하기에 이르렀다.
또한 급격히 진화하는 해킹기술에 대비하여 대규모의 R&D 예산을 편성, 지원하고 있으 며 개인 및 기업 등에 대한 각종 교육 및 계도, 체계적 훈련실시 등으로 사이버범죄에 대응 하고 있다. 특히, 물리적 공간을 뛰어넘는 사이버범죄의 특성상 국가간 공조체제를 구축하 여 수사기록 공유, 경유지 국가 정보분석, 범죄인도 등을 통해 해결하고자 노력하고 있는 것은 주지의 사실이다. 우리나라도 법적/제도적 미비점을 개선하고 기술적으로도 선진국과 의 격차를 좁히는 노력을 병행 중이며, 앞으로 사이버보안을 책임질 수 있는 컨트롤 타워 구축, 사이버위협 경보체제 운영 및 주기적 훈련 실시, 보안산업 육성책 실시, 사이버 안전 기금 설치, 사이버 전력화, 풍부한 지식과 정보를 가진 민간기업과의 공조체제 구축 등의 과제를 강력한 실행력을 바탕으로 추진해야 한다. 이를 위해 새로운 정부의 주요 아젠다로 사이버보안을 설정하고 해외 성공사례를 벤치마킹하는 것은 물론, 내부 우수인력 발굴과 교육, 기반여건 조성 등 노력이 필요할 것으로 사료된다.
본 연구를 통해 대한민국의 미래 국가 사이버안보 발전 전략(안)을 제시하고자 한다.
3. 연구의 구성 및 범위
국내 사이버보안 실태 파악 및 해외 주요국의 사이버보안 정책 분석을 바탕으로 국내의 미래 사이버보안 발전 전략을 제시한다. 발전 전략은 사이버보안의 모든 분야(산업, 인력양 성, R&D, 법/제도)를 포함한다.
4. 연구 내용 및 결과
미국, EU, 일본 등 사이버보안 선진국을 중심으로 컨트롤타워 구축, 제도개선, 기술개발, 해킹 대응시스템 구축이 활발히 이루어지고 있으며, 해킹방지 및 범죄자 처벌 등에 관한 각국간 공조 논의 전개되고 있다.
우리나라는 세계 최고의 IT인프라망을 갖추고 있으나 해킹위험에 대한 체계적 대응 시 스템이 미진하여 향후 전개될 국제 공조 하에서 이니셔티브를 확보할 수 있는 내부 기반을 마련하는 것이 급선무이다.
또한 우수인재 육성 및 기술개발을 통해 선진국과의 기술격차를 줄이고, 우량기업을 육 성함으로써 산업경쟁력 확보의 한 축으로 자리매김할 수 있도록 정책적 지원이 필요하다.
해킹위협의 고도화 다양화에 대응하여 사전적 예방과 사후적 대처가 신속하고 정확하게 이루어지는 것이 중요하다.
해킹범죄의 예방을 위해서는 네트워크 구축의 초기단계부터 보안을 고려한 설계가 진행 되어야 하며, 서비스 시행에 따른 정기적인 보안취약점 점검이 반드시 병행되어야 하고, 기 업이 스스로 또는 제도적으로 제시된 보안정책 가이드라인을 준수하는 노력이 필요하다.
해킹범죄의 예방은 물론 범인 검거를 통한 처벌도 강화해야 하며, 특히 외국을 경유하는 해킹범죄의 경우 대부분 수사상의 어려움으로 인해 기소중지가 될 정도로 주변국과의 공 조체제가 취약한 바 이의 개선이 요구된다.
사이버보안은 기술적인 측면과 정책적인 측면에서 동시에 강화가 이루어져야 하며 사이 버테러, 위협방지의 목적과 범죄에 대한 단죄의 절차를 통해 경각심을 불러일으키는 것도 중요하므로 민간과 정부, 국가 간의 협력을 통해 두 가지 목표를 함께 달성할 수 있도록 해 야 한다.
또한 각 주체는 편리한 IT를 이용함에 따른 편의를 최대한 보장하되 각 이용 주체가 해
킹사고 발생시 적절한 대응을 통해 피해를 최소화 할 수 있도록 각자 시간과 노력을 부담 하는 것이 필요하다.
5. 정책적 활용 내용
통합 컨트롤타워 구축/강화를 통해 국가 사이버안보 마스터플랜의 세부 추진계획의 수 립이 차질없이 진행되도록 하되, 컨트롤타워 기능을 수행하는 조직이 최상위 수준에서 책 임있는 형태의 독립된 기구로서의 권한과 책임을 명확화하고 정보보호 정책을 국가정책의 일부분으로 체계화할 수 있도록 지원해야 한다.
또한 동 조직이 정책조정, 유관기관의 정보공유, 분석 등 협력체계를 구축하고, 사고발생 시 신속한 대응이 가능하도록 실효적으로 뒷받침할 수 있는 사이버보안관리 시스템을 마 련하여야 한다. 동 조직은 또한 민간 기업이 가진 자원과 역량을 활용하고 정부기관의 장 점을 접목할 수 있도록 구심적 역할을 수행해야 한다.
이 문제의 경우 올해 국정감사에서도 정부의 사이버테러 대처 능력 및 사이버보안 컨트 롤 타워 역할 미흡이 문제로 지적된 바 있다. 국회를 비롯해 국내 대부분의 기관이 사이버 테러 위협에 무방비로 노출돼 있고, 이에 대응하기 위한 사이버보안 컨트롤 타워의 역할도 미흡한 실정이다.
기존의 사이버위협 경보체계를 변화된 현실에 맞게 정비하고 주기적으로 실제에 준하는 훈련을 실시해야 한다. 해킹 조기경계체제에 기반하여 단계별 경보 발령 시 매뉴얼에 따라 각 기업, 개인, 국가기관 등에서 대처할 수 있도록 해킹민방위훈련(가칭)을 실시하도록 해 야 한다.
기업 내 관련 부서의 신설 또는 역할분담 등 조직적 대응 강화 및 사이버 보안 훈련을 실시한다. 개인의 실수 및 내부요인에 의한 해킹사고를 방지하기 위해 기업이 보안시스템 및 기술적 안정성을 확보하도록 기준을 제시하고 예방, 치료, 사후조치에 관한 상시적인 교육과 대비가 이루어지는지를 모니터링 하도록 해야 한다.
또한 언론매체를 활용한 개인 보안의식 제고, 해킹페스티벌 이벤트 등의 캠페인을 실시 하도록 해야 한다.
사이버보안산업 육성 및 보안관련 기술개발 여건 조성을 위하여 해킹기술 등 위협요소
및 대응방법 등에서 변화의 속도가 빠른 사이버보안 분야의 특성에 맞춰 별도의 지원조직 을 구성하고 신속한 제도개선, 지원 업무를 수행해야 한다.
우수한 자원을 갖춘 민간과 재원 및 국가적 인프라를 갖춘 정부조적의 제휴모델 개발로 시장실패 방지 및 유기적 협조체계를 구축해야 한다.
국가적 차원의 교육프로그램을 바탕으로 인재풀을 늘리고, 최고 수준을 갖춘 인력을 지 속적으로 생산/기업에 공급하도록 한다. 또한, 기술기업에 대한 지원 확대를 위한 사이버보 안 기술평가시스템을 개발해야 한다.
사이버 능력 제고를 위해 컨트롤 타워를 중심으로 관련기관 협력 체계 및 사이버테러 대 응 여건 조성, 조직 체계를 정비한다.
또한 해킹사관학교, 해킹 페스티벌, 해커등급 부여 및 처우 개선을 통해 화이트해커를 양성해야 한다. 민간 우수기업 및 인력과의 공조체제를 구축하고, 전군의 사이버전 수행능 력을 배양함으로써 해킹 침해에 따른 전문요원 대응 전까지 일반 군부대 구성원이 응급조 치를 할 수 있도록 훈련한다.
해킹보험을 의무화해야 한다. 기업은 해킹방지 및 피해복구를 위한 최소한의 비용을 지 출할 수 있도록 하고 개인은 피해 발생시에 대한 최대한의 보상지급이 가능하도록 보험사 와, 인증기관 등이 연계한 해킹보험의 개발을 통해 합리성 있는 비용의 지출과 효과성을 확보해야 한다. 결국 기업, 개인이 편리한 IT환경을 안심하고 이용할 수 있도록 제도적으로 지원, 보장하는 방향으로 정책을 추진해야 한다.
사이버보안 관련 법/제도 정비를 통해 해킹에 대비할 수 있도록 각 주체에 대한 관리감 독기능을 강화하는 방향으로 예방적 차원의 보안정책을 수립하고 취약점 분석, 평가기능 을 강화하여 사전적인 예방효과를 최대화 한다.
정보보호관련 규정 및 제도의 상호 유기적인 조화가 이루어지도록 하여 현업의 혼란과 낭비적인 요소를 최소화 시킨다. 또한 기업의 비즈니스 수행을 위한 사이버보안 가이드라 인을 제공한다.
국가적 차원의 기술개발 및 과감한 민간이양, 재정적 지원을 바탕으로 한 전문인력 양성 및 공급이 필요하다.
정책적 보완, 제도개선 등 법제적으로 다양한 지원근거를 확보함으로써 글로벌 기업의 성장을 도모하고 이를 통해 취업기회 창출 및 국민 복지향상에 기여한다.
주요국의 사이버보안 인력양성 정책은 대체로 사이버보안 및 관련 직종을 정의하고, 사 이버보안 인재로서 요구되는 기술 역량을 체계화하는 데 많은 노력을 기울이고 있다.
미국의 사이버보안 인력 프레임워크는 사이버보안뿐만 아니라 관련 IT 산업 전반에 걸 쳐 연관성이 있는 직업들을 체계적으로 분류하였다.
영국의 사이버보안 전문가 인증 제도는 실제 보안 관련 직업을 보유한 인재들을 효율적 으로 관리하고 육성하기 위한 수치화된 기준을 제시했다는 점에서 높게 평가되고 있다.
일본은 과거부터 IT 인력양성이라는 측면에서 체계화된 직업군 분류 표준을 마련해 두 고 있는데, 최근 사이버보안에 대한 사회적 관심이 높아지면서 IT 인재의 직업군 분류에서 사이버보안 관련 내용이 대거 반영되는 분위기이다.
이 같은 직업군 분류 및 기술 역량 체계화는 실제로 산업계에서 요구하는 인재상을 찾아 내어 신속히 수요를 충족하기 위한 가장 기초가 되는 작업이다.
이는 단순히 정부 주도의 사이버보안 교육 프로그램 추진을 위한 것이 아니라, 산업계가 스스로 사이버보안 인재를 확보하고 필요하다면 직접 교육시키도록 유도하기 위한 것이 다. 실제로 미국, 영국, 일본의 각 사이버보안 직업군 분류 체계들은 각 기업들이 해당 분 류 체계를 왜 활용해야 하는지 실제 사례를 바탕으로 설명하는 데 공을 들이고 있는 것으 로 파악된다.
향후 사이버보안 인력양성을 더욱 가속화하기 위해서는 직업 분류 체계화 작업과 함께 이를 실제 기업들이 도입해 인력양성에 직접 나설 수 있도록 정책적 지원이 뒷받침되어야 한다. 대부분의 사이버보안 인재 수요는 기업 등 시장 측면에서 창출되고 있으므로, 기업 이 이 같은 수요를 스스로 해소할 수 있도록 독려하는 것이 정부의 역할이다.
이 같은 측면에서 이스라엘 정부와 같이 직접적인 사이버보안 인력양성 정책은 뚜렷하 게 제시하지 않으면서도 산업계와 학계가 스스로 협력하며 발전할 수 있는 생태계를 구축 하는 것도 유효한 정책적 방향이 될 수 있을 것이다.
그러나 국가 차원에서 산업계 전반에 걸친 사이버보안 인력 수요를 해소하는 것은 현실 적으로 쉽지 않은 실정이다.
각 산업별로 구축되어 있는 IT 시스템 및 사이버 생태계, 보안 우선순위, 대표적인 위협 요인 등이 차이를 보이는 데다, 특정 산업에 대한 이해가 수반되어야 실질적인 보안 업무 수행이 가능하기 때문이다.
따라서 일원화된 교육 프로그램이나 특정 역량만을 부양하는 인력양성 정책보다는 포괄 적인 관점에서 사이버보안 인재를 키울 수 있는 생태계를 구축하는 것이 정부의 정책 추진 에 있어 핵심 과제로 지목하는 바이다.
사이버보안 인력양성 생태계 구축의 첫걸음은 사이버보안 관련 직무를 명확히 이해하는 것이다. 사이버보안은 일반인에게는 여전히 막연하고 생소한 개념이며, 구체적으로 어떤 분야에서 어떤 목적으로 업무를 수행하는 것이 ‘사이버보안’에 해당하는지 정의하는 것 이 최우선 과제이다.
사이버보안은 지켜야 할 대상이나 위협요인에 따라 수많은 변수가 발생하므로 각각의 보안 업무에 따라 요구되는 기술 역량도 달라지며, 사이버보안을 정의할 때에도 이 점을 최대한 고려해야 한다.
사이버보안은 다른 IT 계열의 업무와 직간접적으로 관계를 맺으므로, 이들 업무와의 연 계성을 감안해 별도의 사이버보안 업무를 지정하거나 기존 IT 업무를 사이버보안과 통합 하는 작업도 필요하다.
모든 업무에서 공통적으로 요구되는 역량을 파악하는 것도 중요하며, 이를 전문인력이 아닌 일반인 대상의 기초적인 사이버보안 교육에 활용함으로써 전반적인 사이버보안 환경 의 개선을 도모해야 한다.
국내의 경우 교육 프로그램 인증제도 마련, 정보보안교육 총괄기관 설립 등을 통해 사이 버보안 관련 직업군의 체계적인 관리와 각 업무 영역별로 요구되는 능력에 대한 구체적인 기준 제시를 할 수 있다면 보다 효율적인 인력양성 시스템을 갖출 수 있을 것이다.
전문적인 지식이 요구되는 사이버보안 인력양성에 있어 전문 기술과 노하우를 보유한 기업체 또는 교육기관의 도움이 국가의 정책 추진에 있어 필수적인 요소이다.
현재 업계의 사이버보안 인력 수요를 누구보다 빨리 파악할 수 있는 기업들은 사이버보 안 인력난에 신속히 대응할 수 있으며, 실무 측면에서 요구되는 기술 역량을 함양하는 데 적합한 교육과정 개발이 가능하다.
교육기관은 기업과의 연계를 통해 이들의 기술력과 노하우를 교육 커리큘럼으로 체계화 하는 데 특화되어 있으며, 사이버보안에 관심이 있는 이들을 모으고 기회를 제공하는 포털 로서의 역할도 수행 가능하다.
정부는 이 같은 산·학 연계를 촉진하기 위한 수단으로 파트너십 지원 프로그램, 연구단
지 구축, 기술 상용화 촉진 정책 등을 고려해야 한다.
또한, 교육기관에 대한 사이버보안 전문 교원 확보, 사이버보안 관련 학과 신설, 수료생 에 대한 혜택 확대 등으로 민간 영역에서의 사이버보안 인력양성의 활성화를 도모할 수 있 을 것으로 사료된다.
또한 사이버보안 기술 수준 향상을 위한 R&D 예산 확대 필요하다. 주요국들의 국가적 R&D 정책, IT R&D 정책 등에서 사이버 보안 분야의 비중이 높아지고 있는 추세이며 예산 또한 증가하고 있다.
사이버보안 R&D 예산을 가장 많이 편성하여 집행하고 있는 미국은 사이버보안 기술에 있어 세계 최고 기술 수준을 보유하고 있다.
우리나라는 암호기술, 사고 대응 기술, 보안 관리 기술, 클라우드 보안 기술에 있어 R&D 투자가 매우 시급한 것으로 사료된다.
우리나라는 보안 사고가 발생할 때만 예산 비율을 높이는 널뛰기 식 운영으로 2013년 국 정 감사에 지적 받았으며 지속가능한 사이버 안전 환경을 구축하기 위해 꾸준한 예산집행 과 관리가 필요하다. 마지막으로 국회에서 계류 중인 사이버테러방지법에 대한 입법이 이 루어져야 한다. 현재 여당 의원들이 제출한 관련 법안들은 사이버테러방지 및 대응에 관한 법률 외에도 국민보안과 공공안전을 위한 테러방지법, 사이버위협정보 공유에 관한 법, 국 가 대테러 활동과 피해보전 기본법 등이 존재한다.
그러나 야당에서는 사이버테러방지에 관련된 법안들이 국정원에 필요이상으로 권한이 집중되어 있고 국민 사생활이 침해될 수 있다는 문제들을 제기하면서 반대하는 상황이러 한 반대 의견들을 수용하여 법안을 수정 후, 발의 하는 것이 필요하다.
6. 기대효과
사이버보안 사업의 체질개선과 정보보호투자 확대 및 새로운 수요 창출 등을 통해 국내 정보보호 시장 규모가 확대 될 것으로 기대된다.
또한 산업 전반에 걸친 정보보호 내재화 추진으로 정보보호 관련 신규 일자리 창출을 기 대할 수 있다. 통합 컨트롤타워 구축 및 R&D예산 확대를 통한 선진국 대비 기술격차 감소 가 기대 된다.
SUMMARY
1. Title
Establish future developmental strategy of nation cyber-security
2. Objective and Importance of Research
Recently, Out lives attempts on cyber security at the national level is under way with the spread of the Internet.
However Cyber crime has became an inevitable important social agenda that inevitable. To solve this problem, Each country has installed an integration organizations that is responsible for cyber-security and revises legal system. In addition, they had built a public-private cooperative system that private company is participate in. Korea should also promote projects based on strong execution. For example, improve gaps of legal/institutional, effort to narrow the gap with developed contries, build controll tower to responsible cyber-security in the future, cyber threat warning system operation and periodic drills, etc. Though this study, we propose the strategy of national cyber security future development of the Republic of Korea(draft).
3. Contents and Scope of the Research
Based on cyber-security policy analysis of major developed countries and getting at domestic cyber-security status, it presents the national development strategies of future cyber security. Development strategies involve all aspects of cyber security(Industry, R&D, Law/Policy)
4. Research Results
Recent hacks are a number of APT attacks. Especially while increasing the dependence on IT such as the spread of smart device, cloud computing environment, network-based control and management system, the time to need holistic approach at the national level.
Korea is equipped with the world's leading IT infrastructure network, but it is lack to systematic response system about hacking risks. Therefore it is imperative to provide the internal base to obtain the initiative under international cooperation in the future.
In Korean, it is increasing target attacks that targeted certain company, facility, etc.
Especially it increases the case of targeting vulnerabilities of Small-Business as well as government/enterprise. The National Cyber Security Master Plan was established in 2011 is embodied based on the strong executive powers, Lack needs to be required cyber-security response strategy establishment and policy improvement at the national level.
Also, through excellent human resource and technologies to reduce the technology gap with advanced countries, political support is needed to establish itself as an axis industrial competitiveness by developing leading company.
Hacking crime prevention, as well as penalties should also be strengthened of Round-up, especially in case of hacking crime via the abroad, mostly investigation is discontinued because of difficulty. Therefore improvement of investigation is required with neighboring countries
Cyber-security should be cooperate with technical and political aspects at the same time, it is also important to arouse awareness through the target of cyber terror, crime prevention and steps of condemned about crime. Therefore through the cooperation between private, information and nation, it should be achieved two targets
5. Policy Suggestions for Practical Use
Through build/reinforce the integrated control tower, it proceed a detailed action plan of the national cyber security master plan without hitch. Then, the organization that conduct the functionality of control tower supports to clarify the rights and responsibilities and organize information security policies as part of national policy as independent organization in top-level.
Existing cyber threat warning system modifies to fit the changing realities, periodically the training should be conducted like reality.
For creating conditions of cyber-security industries development and security-related technology development , it configures support organization, improves rapid policy, performs support duties.
In addition, it increase human resource based on education program on national-level, the highest levels of the workforce continuously supply to the production/company. Then, it develops the cyber-security technical evaluation system for extending support about technical company.
It should train the white hacker through Hacking Academy, Hacking Festival, giving hacking rating and situation improving. It should build the cooperation with private leading company and workforce, as full force has a cyberwar ability to perform, general military members trained to be medical advice.
It should promote the polices that ensure and support politically for using IT environments comfortably such as mandatory of hacking insurance.
Cyber-security human resources policy of Major advanced countries define the cyber-security and related job, it is a commitment to organize the technical competencies required as cyber security talent.
It is not simply promoting the cyber-security education program but it induces that the industry gets talents and educate itself.
it builds an ecosystem that can raise cyber-security talent in a comprehensive
perspective is the promotion of government policy is considered as a key projects.
Also, R&D budget must be enlarge for improvement of cyber-security technical level.
In R&D policies of major advanced countries, ratio of cyber-security part is increases and budget also enlarge.
In Korea, it increase budget about cyber-security when security incident is occurred.
so it has been noted in national audit in 2013. Therefore a steady budget and management is needed to build a sustainable cyber-security environment.
Finally, the legislation should be made on Cyber Terrorism Act that pending in Congress.
The opposition parties have opposed legislation related to Cyber-Terror prevention Act because authorization of related-legislation is centralized NIS and privacy could be violated. Therefore it need to accept these objections to modify the bill then it moves to legislation again.
6. Expectations
First, it is expected that domestic cyber-security market will be enlarged through increasing cyber-security investments and new demand creation. second, it is expected that can create new jobs related cyber-security. Finally decreasing technical gaps with advanced countries through building integrated control tower and enlarging R&D budget.
CONTENTS
Chapter 1. Introduction
Cyber-Security treats upsurging of Diverse form Importance of Cyber-Security Policy
Basic Direction of Establishing Cyber-Security Policy
Chapter 2. Analysis of Domestic Cyber-Security
Cyber-Security Violations
The Lack of Cyber-Security Experts
The Lack of Indigenous Cyber-Security R&D
Industrial Competitiveness congestion of Cyber-Security Legislative Trends related Domestic Cyber-Security
Chapter 3. Analysis of International Cyber-Security
Analysis of Cyber-Security Policy Analysis of Cyber-Security Law
Chapter 4. Proposal of Domestic Cyber-Security
Build/Reinforce the Integrated Control Tower
Reinforce Hacking Ability to React Through the Training
Cyber-Security Industry Promotion and Security-related Development of Postulate Cyber Force Integration
Obligation of Hacking Insurance
Law System Maintenance related in Cyber-Security Development of a Global Company with a Competitive
Systematization of Job Classifications & Setting up Manpower training system Enlarging Cyber-Security R&D Budget & Establishing Long-Term Roadmap Legislation of Cyber Terror Prevention Act
Chapter 5. Conclusion & Implications
Implications of Foreign Advanced Case
제 1 장 서 론
제1 절 연구 배경 및 목적
1. 다양한 형태의 사이버보안 위협 고조
모바일 산업을 위시한 인터넷 신산업의 성장으로 정보의 집적·활용이 증가하면서 정보 탈취, APT, 사이버사기 등 국민생활과 국가 졍제의 안위를 위협하는 복합적인 사이버 공 격 위협이 증대되고 있다. 이 뿐만 아니라 개인 및 기업정보가 금전적 이익을 목적으로 하 는 사어버 범죄의 대상으로 부각되면서 전 세계적으로 정보유출 사고가 크게 증가 하였다. 국내의 경우 분단현실로부터 오는 위협 및 중국·일본·러시아 등 주변국의 갈등이 고조 됨에 따라 사이버 위협도 증가하여 국가안보와도 직결되는 상황으로 전개될 수 있다.
2. 사이버보안 정책의 중요성
최근의 해킹은 새로운 트렌드로 정치, 경제, 전략적 목표를 가지고 테러리즘적 해킹을 수행하는 지능형 지속위협(ATP)공격으로 자리잡고 있다.
특히, 스마트기기의 보급, 클라우드 컴퓨팅 환경, 네트워크 기반의 통제 및 관리시스템 등 IT에 대한 의존성이 증가하면서 해커와의 접점이 다양해짐에 따라 국가적 차원에서 총 체적인 접근이 필요한 시점이다.
물리적 제한이 없는 사이버 공격의 특성상 타국 서버를 경유한 해킹이 증가하고 범죄의 출처 파악이 어려워 각 국간 공동대응전략 수립 및 수사협조, 범인인도 등 협력이 어느 때 보다 중요한 이슈로 부각되고 있다.
미국, UE, 일본 등 사이버보안 선진국을 중심으로 컨트롤타워 구축, 제도개선, 기술 개 발, 해킹 대응시스템 구축이 활발히 이루어지고 있으며, 해킹방지 및 범죄자 처벌 등에 관 한 각국 간 공조 논의가 전개되고 있다.
우리나라는 세계 최고의 IT 인프라망을 구축하고 있으나 해킹위험에 대한 체계적 대응
시스템이 미진하여 향후 전개될 국제 공조 하에서 이니셔티브를 확보할 수 있는 내부 기 반을 마련하는 것이 급선무인 것으로 판단된다.
또한 외국과 같이 국내에서도 특정기업, 시설 등을 대상으로 하는 표적공격이 증가하고 있으며, 특히 정부·대기업 뿐만 아니라 우회통로로서 중소기업의 취약점을 노리는 경우도 증가하고 있다. 2011년 수립된 ‘국가 사이버보안 마스터플랜’을 강력한 실행력을 바탕으로 구체화하되, 미진한 부문에 대하여 국가적 차원의 사이버보안 대응 전략 수립 및 정책적 개선이 요구되는 상황이다.
또한 우수인재 육성 및 기술개발을 통해 선진국과의 기술격차를 줄이고, 우량기업을 육 성함으로써 산업경쟁력 확보의 한 축으로 자리매김할 수 있도록 정책적 지원이 요구된다. 해킹위협의 고도화 및 다양화에 따라 해킹의 사전적 예방과 사후 대처가 신속하고 정확 하게 이루어지는 것이 중요하다.
해킹 범죄의 예방을 위해서는 네트워크 구축의 초기단계부터 보안을 고려한 설계가 진 행되어야 하며, 서비스 시행에 따른 정기적인 보안취약점 점검이 반드시 병행되어야 하고, 기업이 제도적으로 제시된 보안정책 가이드라인을 준수하는 노력이 필요하다.
해킹범죄의 예방은 물론 범인 검거를 통한 처벌도 강화해야 하며, 특히 외국을 경유하는 해킹범죄의 경우 대부분 수사상의 어려움으로 인해 기소중지가 될 정도로 주변국과의 공 조체제가 취약한 바 이의 개선이 요구된다.
사이버보안은 기술적인 측면과 정책적인 측면에서 동시에 강화가 이루어져야 하며 사이 버테러, 위협방지의 목적과 범죄에 대한 단죄의 절차를 통해 경각심을 불러일으키는 것도 중요하므로 민간과 정부, 국가 간의 협력을 통해 두 가지 목표를 함께 달성할 수 있도록 해야한다. 또한 각 주체는 편리한 IT를 이용함에 따른 편의를 최대한 보장하되 각 이용 주 체가 해킹사고 발생 시 적절한 대응을 통해 피해를 최소화 할 수 있도록 각자 시간과 노력 을 부담하는 것이 필요하다.
3. 사이버보안 정책 수립 기본 방향
국가적 사이버보안시스템 구축을 위한 아젠다화 : 해킹은 국가 및 국민 생존의 존립을 흔드는 명백한 범죄행위로서 국가가 나서서 이를 예방, 처벌할 수 있는 시스템을 갖추어
야 하며 국민이 해킹범죄에 노출되는 것을 최소화 시켜 기본적 생활권을 보장해야 한다. 또한 해킹을 포함한 사이버범죄는 공간적 제한이 없어 물리적으로 국경의 제한을 받지 않는 특성을 가지고 있어 각국 민간 및 공공부문 협력, 사이버국제협약가입 등 국가 간 공 조체계 구축이 필수이다.
국경 없는 전쟁으로 진화하고 있는 사이버테러의 위험성을 감안하여 국방문제로까지의 인식전환이 필요하며, 보안정책을 보안정책에 포함, 사이버공간의 위협을 국가보안 차원 의 사안으로 명확히 하고 이를 해결하기 위한 역량 강화에 집중해야 한다.
이를 위해서는 사이버보안을 국가적 아젠다로 설정하고 법적, 제도적 환경을 마련하는 한편 수립된 정책에 대해 강력한 실행의지를 가지고 민간과 정부가 일관성 있게 추진해야 할 것이다.
해킹방지기술 개발을 위한 R&D 환경 조성 : 해킹기술은 급속히 발전하고 있으며 특히 조직화, 상업화, 흉포화되는 경향을 보여 사전방지 차원에서 민간, 정부, 각 기관의 R&D 역량 강화가 선행되어야한다.
R&D 역량 강화를 위해서는 기술기업에 대한 지원 확대가 가능하도록 제도의 정비를 통 해 안정적인 재정지원이 이루어져야 하며, 이에 기반하여 다양한 분야에서 자생적이고 자 발적인 기술개발이 이루어 질 수 있도록 해야한다.
특히 개별기업은 해킹방지에 지출하는 비용의 상당부분을 사회적 비용으로 인식하여 지 출을 꺼리는 경향이 있으므로 민간과 공동이 부담해야 할 재정적 부담의 범위를 명확히 해야한다. R&D 예산은 규모의 증가도 중요하나, 현재 또는 가까운 미래에 예측 가능한 사 이버 위협을 대비할 수 있도록 적절한 곳에 배분되어야한다.
사이버보안 법제 강화 및 제도적 완성도 향상 : 해킹방지를 위한 국민의 자발적 참여 유 도와, 민간기업의 참여가 주축이 되는 민관 협동체계 구축이 사이버범죄를 막는 중요한 수단이다. 사이버보안에 관련한 기술, 인프라, 지식 등은 대부분 민간에 축적되어 있으며, 이를 최대한 활용하는 것이 효율성 측면에서도 중요하다.
이를 위하여 해킹 조기경계체제 운영, 정기적인 사이버테러 대응 훈련, 국가과제 기술개 발 등에 민간이 자발적으로 참여할 수 있도록 교육은 물론 각종 인센티브 제시 등의 적극 적인 지원이 요구된다. 또한 컨트롤타워를 중심으로 민간, 정보의 유관기관이 신속히 대 응할 수 있도록 시스템적인 인프라가 구축되어야 하며, 1년 365일 보안관제를 통해 정보를
수집하고 공유할 수 있도록 해야한다.
국내의 경우 현재까지 사이버보안에 관련한 총괄적인 제도가 미비한 편이며, 정책 수행 주체의 채임과 역할도 각 분야별로 나뉘어 개별 법률의 통제를 받는 바, 미국, UE 등 각국 사례 벤치마킹 필요한 것으로 사료된다.
향후 관련 제도는 국가의 총체적인 보안 능력 제고를 위한 여건 조성/보안사고 예방/재 발방지를 위한 처벌의 방향에서 통합적으로 제·개정되어 시행되어야 하며, 권한과 책임이 주어지는 조직은 보안정책 수행의 실효성 확보를 위해 조직을 통일적으로 운용하고, 다양 한 기구의 기능과 역할을 존중하되 가능한 중복된 업무는 점차 일원화 하는 방향으로 추 진하여야 한다.
사이버보안에 관한 일회성 예산 편성 및 집행의 비효율성을 극복하고 단기, 중장기로 구 분된 실행계획에 따라 안정적이고 충분한 예산 편성이 가능하도록 하여 필요한 곳에 반드 시 집행이 가능하도록 하는 환경 조성이 요구된다.
<표 1-1> 국가 사이버안보 발전전략 연구 목표
목표 연구내용
국가 사이버안보 미래 발전전략 제시
1. 국가 사이버안보 위협 분석
2. 국외 선진사례 분석
3. 국내 현황 및 시사점 도출
4. 국가 사이버안보 미래 발전전략 정립
제 2 장 국내 사이버보안 현황 분석
제1 절 사이버보안 환경
1. 사이버보안 침해사례
2013년 한 해 동안 전 세계에서 일어난 사이버공격을 분석한 ‘2013년 지능형 위협 보고 서’에서는 우리나라가 미국에 이어 세계에서 두 번째로 APT 공격 대상으로 나타났다.
하지만 이에 대한 현재 우리나라 정보보호 대응 역량은 의문의 여지가 있다.
[그림2-1]에서 볼 수 있듯이 속출하는 개인정보 유출사고 사례에도 불구하고 기업들 태 반이 실질적인 정보보호 시스템 구축과 더불어 정보보호를 위한 투자의 중요성을 간과해 왔다.
2013년 기준 정보보호관련 실질적인 지출이 없는 기업의 수가 80%가 넘는다는 사실은 사태의 심각성을 여실히 보여주고 있다.
정부 또한 침해사고가 발생할 당시에만 예산을 편성하기에 급급하여 속출하는 사이버 침해사고 위협에 효과적으로 대응하지 못하고 있는 실정이다.
[그림 2-1] APT 공격대상 국가 순위
자료: 「FireEye Advanced Threat Report 2013」,http://www.fireeye.com
[그림 2-2] 사이버 침해사고 사례에 대한 정부 및 기업의 대응현황
자료: 한국인터넷진흥원, 「2013 정보보호실태조사, 기업부문」
2. 사이버보안 전문 인력의 부족
또한 전 세계적으로 사이버보안에 대한 기술이 크게 발전하고 각계각층의 관심이 크게 증가하고 있으나, 사이버보안 업무를 효과적으로 수행할 전문인력이 부족한 실정이다.
글로벌 IT Vendor CISCO사의 2014년 연례 보안 리포트에 따르면, 최근 수년간 모바일 과 클라우드 기술이 급격히 성장했음에도 불구하고, 그에 상응하는 전문 보안 시스템이 부족해 사이버범죄 피해가 급증한 것으로 파악되었다. 특히 CISCO는 사이버보안 전문 인 력이 전 세계적으로 100만 명 이상 부족하며, 이로 인하여 단순 피싱 공격에서부터 특정 대상을 직접 겨냥한 대규모 사이버 공격까지 다양한 위협에 노출될 것이라 경고하고 있다.
지식정보보안산업협회의 2014년 국내 지식정보보안산업 실태조사에 따르면, 2014년 정 보보안 업체의 신규채용 계획은 3,482명으로 나타났으며, 이는 2013년 실태 조사 당시 추 정치인 1,598명을 상회해 최근 업계의 인력 수요가 증가하고 있음을 나타낸다.
정보보안과 물리보안을 포함한 국내 정보보안산업 인력은 2014년 기준 36,258명이며, 이 중 정보보안 인력은 28.7%인 10,421명으로 나타났다.
그러나 2014년 기준 정보보안 인력 수준별 분포는 특급인력의 비중이 가장 낮고 초급인 력의 비중이 가장 높아, 전문성 있는 인재에 대한 부족 문제를 유발하고 있다.
보안 업계에서는 더욱 고도화된 사이버 위협에 대응하기 위해 단편적인 보안 기술 및 솔루션보다는 사람에 투자해야할 시기라는 의견이 확산되고 있다.
2014년 2월 개최된 글로벌 보안 컨퍼런스 RSA Conference 2014에서는 갈수록 지능화·
고도화되는 사이버 공격에 대하여 보안 솔루션 제품 개발을 통한 일대일식 대응만으로는 한계가 있다는 주장이 제기된 바 있다. HP 기업의 보안 제품 담당자 아트 길리랜드 부사 장 역시 모든 위협으로부터 기업을 방어할 보안 솔루션은 존재하지 않고, 기업들이 보다 효과적인 보안 대책을 마련하려면 포괄적인 보안 프로그램을 구성할 인려고가 관련 보안 프로세스에 더 많은 투자를 기울여야 한다고 조언, 이를 위해서는 보안 관련 업무를 전담 할 인력 양성 및 교육에 투자하는 것이 보다 효과적이라고 지적하였다.
또한 업계 내의 사이버보안 인력난이 심화됨에 따라, 국가 차원의 사이버보안 인력 양성 을 위한 정책적 필요성이 대두되었다. 이에 각 국 정부는 사이버보안 강화 정책 수립에 있 어, 사이버보안에 대한 업계의 경각심을 높이고 실질적인 보안 업무를 책임질 수 있는 전 문인력의 중요성 인식이 요구된다. 미국의 경우 오바마 대통령의 사이버보안 강화 행정명 령의 일환으로 마련된 주요 기반 시설이 사이버보안 프레임워크 표준안의 인력양성 측면 에서는 구체적인 방안을 제시하지 못한다는 비판에 직면하기도 하였다.
사이버보안 인력양성 관련 정부의 정책방향은 사이버보안 교육 전담기관 설립, 무상 교 육 프로그램 제공 및 사이버보안 세미나 등 학술행사 개최, 사이버보안 직업군의 체계화 를 통한 업계의 효과적인 인력 수급 환경 지원 등으로 구분할 수 있다.
향후 정보보호시장의 성장 전망과 더불어 사이버 침해사고의 장가에 따라 정보보호 전 문 인력에 대한 수요는 급증할 것으로 예상된다.
물론 현재 대학 등 정규교육기관을 통해 연간 800여 명의 신규 인력이 양성되고 있지만, 이것이 곧바로 채용 및 정보보호 업계 종사로 이어진다고 볼 수는 없다.
현장에서는 일할 사람이 없다고 하소연하고, 구직자는 일할 수 있는 직장이 없다고 한탄 하는 ‘구직난 속의 구인난’의 상황이 벌어지고 있는 것이다.
더 중요한 문제는 인재를 키우지도, 유입시키지도 못하는 산업은 결코 경쟁력을 가질 수 없다는 점이다.
정보보호는 IT/ST 분야 내에서도 전문적인 영역에 속하기 때문에 현업에 적합한 인력 을 체계적으로 양성하는 것도 어려운 문제이지만, 타 산업군에 비해 상대적으로 낮은 인
센티브로 인해 우수 인력의 유입에 있어서도 재약이 존재한다.
현재 국내 정보보안 산업은 수요적 측면(협소안 시장), 공급적 측면(열악한 기술경쟁력 및 우수인력 확보의 어려움), 구조적 측면(영세한 산업구조의 악순환, 미약한 글로벌 경쟁 력)에서 집중적인 지원 정책이 필요하다.
정보보안산업과 관련하여 이러한 측면들을 시장실패로 규정할 수 있다면, 정부는 적절 한 시장개입 정책을 통해, 문제를 해결하고, 경제적 효율성을 향상시킬 수 있을 것으로 사 료된다.
3. 토종 사이버보안 R&D 부족
대한민국은 전자정부 1위, 인터넷 보급률 1위의 ICT 선진국임에도 불구하고 전문성을 갖는 사이버보안 기술력은 전무(全無)하고 정보보안 분야에서도 경쟁력 있는 원천 기술은 부족한 실정이다. 최근 사이버 공격은 과거 단순한 해킹, 정보유출, DDoS와는 다른 양상 으로 APT 공격이라 불리는 지능적 공격 형태이며, APT 공격은 기존의 정보보안시스템으 로는 능동적으로 대응하는데 한계가 있다.
KEIT의 ‘2013년 산업기술수준조사 보고서’에 따르면, 우리나라 정보보호기술 수준은 미 국에 비해 1.6년의 격차, 79.9% 수준으로 나타났다.
[그림 2-3] 사이버보안 R&D 국가별 기술 격차
자료: KEIT, 2013년 산업기술수준조사 보고서
때문에 국내 기업은 기초·원천기술의 부족으로 인해 혁신적인 신규 제품의 개발보다는 이미 포화상태의 시장의 제품군 개선에 주력하고 있다.
특히, 정보보안 전담기관이었던 ‘한국정보보안진흥원’이 ‘한국인터넷진흥원(KISA)’로 통·폐합되면서, 기존 수행하던 ‘정보보안 신기술 R&D’가 상대적으로 약화되었다.
KISA, ETRI, 국가보안기술연구소에서 분야별 보안기술을 개발하고 있으나, 국가 출연 연구기관 및 산하기관의 특성상 소관업무가 다양하여 순수한 원천기술 개발에 매진할 수 있는 환경이라 할 수 없으며, 민간·공공·군 등 다양한 분야를 아우르기에 어려움이 있다.
지속적으로 급증하고 지능화되고 있는 국가 사이버보안 위협에 능동적으로 대처하기 위 해 정보는 사이버 공간에서의 핵심 보안기술 로드맵과 R&D 계획을 수립하고 전략적인 집 중 투자와 저변 보급을 이루어야 한다.
이를 위해 국가 사이버보안 유지 및 정보보안 산업 육성에 효과적으로 이바지할 수 있 는 공공·공익 목적의 사이버보안 R&D 전담기관에 대한 육성이 필요하다. 국내 사이버보 안 R&D는 한국인터넷진흥원의 인터넷침해사고대응, 한국전자통신연구원의 ICT 융합 보 안 연구가 진행되며, 일부 민간 보안업체들에 대한 기술 의존도가 높다.
특히 2009년 한국정보보안진흥원이 한국인터넷진흥원으로 통·폐합되면서 인터넷 활성 화 분야는 발전하였으나, 상대적으로 정보보안기술 연구개발 기능은 약화되었다. 국가 발 전 전략에 따른 장기적 정보보안 기술 연구개발을 추진하기 위한 방안이 시급히 필요하다. 이를 위한 방안으로 새로운 연구소 신설과 같은 방안은 현실성이 떨어지며, 현재 존재하 는 연구조직을 점진적으로 확대하여 국가 전략적 R&D를 뒷받침 할 수 있는 조직으로 발 전시켜 나가는 방안이 효과적이라 생각된다. 이를 위한 전제조건으로는 첫째, 민간, 공공, 군, 연구(학계) 등 다양한 분야 중 한곳에 치우치지 않고 순수한 원천기술 개발에 매진할 수 있어야 하며, 둘째, 국가 ICT를 총괄하고 있는 미래창조과학부와 긴밀하게 협조할 수 있어야 한다. 이러한 조건에서 기존의 국가 출연 연구기관 및 산하기관은 각각 고유한 소 관 업무가 다양하여 순수한 원천기술 개발에 매진할 수 있는 환경이라 할 수 없으며, 민간, 공공, 군, 연구 등 다양한 분야를 모두 포함할 수 없다.
따라서, 국가 전략적 R&D를 지속적으로 수행하기 위해서는 미래창조과학부와 긴밀하 게 협조할 수 있고, 민간, 공공, 군 등 다양한 분야와 독립적으로 원천기술 개발에 매진할 수 있는 전문 연구기관이 필요하다.
4. 사이버보안 분야 산업경쟁력 정체 상태
[그림 2-4] 세계 정보보호시장 대비 국내 정보보호시장 현황
자료: 한국인터넷진흥원, 「2013 정보보호실태조사」
국내 사이버보안 시장의 연평균 성장률은 세계시장 성장률을 웃돌고 있으나 시장 규모 는 여전히 세계시장의 2.8% 수준에 불과하다.
세계적 ICT 강국임에도 불구하고, 국내 사이버보안 분야의 산업경쟁력은 정체 상태를 면치 못하고 있다.
대부분의 국내 업체는 매출액 300억 미만의 중소기업으로 내수시장에 의존하고 있는 현 실이며, 외국 글로벌기업들은 활발한 M&A를 통해 국내 시장을 선점하고 있는 실정이다.
투자수준 또한 미국의 정보보호예산은 꾸준히 증가하고 있으나, 국내의 경우 사고에 따 라 이벤트성 고무줄 예산을 편성하며, 기업들은 정보보안을 비용으로 인식하여 과소투자 가 발생하고 있다.
다만 국내 정보보호산업의 연평균 성장률은 18.1%로써 세계 시장(10.5%) 성장률을 능가 하기 때문에 기슬개발, 인력양성, 투자 촉진 등 적절한 지원이 뒷받침된다면, 정보보호는 더 이상 골칫거리가 아닌 새로운 먹거리산업으로 성장할 전망이다.
조항 내용
제32조
(지식정보보안산업의 육성 등)
① 미래창조과학부장관은 암호·인증·인식·감시 등의 보 안기술(이하 “보안기술”이라 한다)이 적용된 제품(이하
“보안제품”이라 한다)을 제조 또는 판매하거나, 보안기술 또는 보안제품을 활용하여 재난·재해·범죄 등에 대응하 거나 관련 장비·시설을 안전하게 운영하기 위한 모든 서 비스 제공(이하 “지식정보보안”이라 한다)과 관련되는 산 업의 육성 및 경쟁력 강화를 위하여 필요한 시책을 마련하 여야 한다. <개정 2013.3.23.>
5. 국내 사이버보안 관련 입법 동향
<표 2-1> 정보보안 산업 정의
조항 내용
국가정보화기본법 제3조 제 6호
(정의)
“정보보안”란 정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적/기술적 수단(이하 “정보보안시 스템”이라 한다)을 마련하는 것을 말한다.
정보통신산업진흥법 제32조
(지식정보보안산업의 육성 등)
① 미래창조과학부장관은 암호/인증/인식/감시 등의 보 안기술(이하 “보안기술”이라 한다)이 적용된 제품 (“이하 ”보안제품“이라 한다)을 제조 또는 판매하거 나, 보안기술 또는 보안제품을 활용하여 재난/재해/범죄 등에 대응하거나 관련 장비/시설을 안전하게 운영하기 위한 모든 서비스 제공(이하 ”지식정보보안“이라 한 다)과 관련되는 산업의 육성 및 경쟁력 강화를 위하여 필요한 시책을 마련하여야 한다.
② 미래창조과학부장관은 제1항에 따른 시책을 원활하 게 시행하기 위하여 민간부문에 의한 지식정보보안산업 의 진흥에 필요한 재정 및 기술 등의 지원을 할 수 있 다.
정보보안 산업이란 정보보안제품을 개발/생산 또는 유통하거나 정보보안에 관한 컨설팅, 보안관제 등 서비스를 수행하는 산업으로 정보보안, 물리보안, 융합보안을 총칭하는 개념 으로 ‘국가정보화 기본법’ 제3조 제6호, ‘정보통신산업진흥법’ 제32조에서 정의하고 있다.
<표 2-2> 정보통신산업진흥법
② 미래창조과학부장관은 제1항에 따른 시책을 원활하게 시행하기 위하여 민간부문에 의한 지식정보보안산업의 진 흥에 필요한 재정 및 기술 등의 지원을 할 수 있다.
제40조
(지식정보보안산업 협회의 설립)
① 지식정보보안산업과 관련된 사업을 하는 자는 지식정보 보안산업의 건전한 발전과 국가산업 전반의 지식정보보안 수준의 향상을 위하여 미래창조과학부장관의 인가를 받아 지식정보보안산업협회를 설립할 수 있다. <개정 2013.3.23.>
② 지식정보보안산업협회는 법인으로 한다.
③ 지식정보보안산업협회의 인가 절차, 사업 및 감독 등에 관하여 필요한 사항은 대통령령으로 정한다.
④ 지식정보보안산업협회에 관하여 이 법에서 정한 것을 제외하고는 「민법」 중 사단법인에 관한 규정을 준용한 다.
조항 내용
제52조 (한국인 터넷 진흥원)
① 정부는 정보통신망의 고도화(정보통신망의 구축·개선 및 관리에 관한 사항을 제외한다)와 안전한 이용 촉진 및 방송통신과 관련한 국제협력·국 외진출 지원을 효율적으로 추진하기 위하여 한국인터넷진흥원(이하 "인터넷 진흥원"이라 한다)을 설립한다. <개정 2009.4.22.>
② 인터넷진흥원은 법인으로 한다. <개정 2009.4.22.>
③ 인터넷진흥원은 다음 각 호의 사업을 한다. <개정 2015.6.22.>
1. 정보통신망의 이용 및 보안, 방송통신과 관련한 국제협력·국외진출 등을 위한 법·정책 및 제도의 조사·연구
2. 정보통신망의 이용 및 보안과 관련한 통계의 조사·분석 3. 정보통신망의 이용에 따른 역기능 분석 및 대책 연구
진흥 관련 조항의 경우 ‘정보통신산업 진흥법’ 및 ‘정보통신 진흥 및 융합 활성화 등에 관한 특별법’에 근거를 두며, ‘정보통신산업진흥법’ 지식정보보안산업의 육성 등(제32조), 지식정보보안산업협회의 설립(제40조) 등이 있다.
<표 2-3> 정보통신망 이용촉진 및 정보보안 등에 관한 법률
4. 정보통신망의 이용 및 보안을 위한 홍보 및 교육·훈련
5. 정보통신망의 정보보안 및 인터넷주소자원 관련 기술 개발 및 표준화 6. 정보보안산업 정책 지원 및 관련 기술 개발과 인력양성
7. 정보보안 관리체계의 인증, 정보보안시스템 평가·인증 등 정보보안 인 증·평가 등의 실시 및 지원
8. 개인정보보안을 위한 대책의 연구 및 보안기술의 개발·보급 지원 9. 분쟁조정위원회의 운영 지원과 개인정보침해 신고센터의 운영 10. 광고성 정보 전송 및 인터넷광고와 관련한 고충의 상담·처리 11. 정보통신망 침해사고의 처리·원인분석 및 대응체계 운영 12. 「전자서명법」 제25조제1항에 따른 전자서명인증관리 13. 인터넷의 효율적 운영과 이용활성화를 위한 지원 14. 인터넷 이용자의 저장 정보 보안 지원
15. 인터넷 관련 서비스정책 지원
16. 인터넷상에서의 이용자 보안 및 건전 정보 유통 확산 지원
17. 「인터넷주소자원에 관한 법률」에 따른 인터넷주소자원의 관리에 관한 업무
18. 「인터넷주소자원에 관한 법률」 제16조에 따른 인터넷주소분쟁조정위원 회의 운영 지원
19. 「정보보안산업의 진흥에 관한 법률」 제25조제7항에 따른 조정위원회의 운영지원
20. 방송통신과 관련한 국제협력·국외진출 및 국외홍보 지원 21. 제1호부터 제20호까지의 사업에 부수되는 사업
22. 그 밖에 이 법 또는 다른 법령에 따라 인터넷진흥원의 업무로 정하거나 위탁한 사업이나 미래창조과학부장관·행정자치부장관·방송통신위원회 또 는 다른 행정기관의 장으로부터 위탁받은 사업
④ 정부는 인터넷진흥원이 사업을 수행하는 데에 필요한 경비를 충당하기 위하여 출연할 수 있다.
⑤ 인터넷진흥원에 관하여 이 법에서 정하지 아니한 사항에 대하여는 「민 법」의 재단법인에 관한 규정을 준용한다.
⑥ 인터넷진흥원이 아닌 자는 한국인터넷진흥원의 명칭을 사용하지 못한다.
⑦ 인터넷진흥원의 운영 및 업무수행에 필요한 사항은 대통령령으로 정한다.
정보통신망 이용촉진 및 정보보안 등에 관한 법률은 당 법 제2조 제1항 제8호에서 정보 보안산업을 정의했었으나, 2015년 6월 22일 개정 후 삭제되어 산업육성과 관련된 조항은 거의 찾을 수 없다.
