“‘사이버보안기본법’ 필요…법체계 개편해야”

By이진호

‘사이버보안기본법’ 필요성이 제기됐다. 기준이 되는 법률을 마련해 여러 보안 관련 법체계를 통합 관장할 수 있어야 보안 운영에 보다 효과적일 것이란 주장이다. 현재의 보안 법체계 안에서는 사이버 위협을 제대로 관리하기 어렵다는 것이 이유다.

경제 글로벌화에 따라 공급망에 대한 보안 침해 위협이 커진 상황서 제로트러스트로 보안을 강화해야 한다는 의견도 제시됐다.

한국인터넷진흥원(KISA)은 한국법학교수회, 한국데이터법정책학회와 함께 31일 오후 서울 중구 프레스센터에서 ‘데이터보안법제의 최근 이슈와 과제’ 세미나를 개최했다.

발제자들은 사이버 위협이 날로 느는 상황에서 법제 개편의 필요성을 역설했다.

이원상 조선대 법학과 교수는 지금의 법체계는 부문별로 나뉜 분산형 체계라 보안을 강화하는 데 한계가 있다고 봤다. 현재 우리나라의 보안 관련 법률 체계는 공공부문과 민간부문으로 이원화된 형태라 완결성이 부족하다는 게 이 교수의 진단이다.

그는 “정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자서명법, 개인정보보호법 등(으로 여러 보안 관련 법률이 혼재돼) 핵심 법률을 중심으로 한 생태계가 구성되지 않았다”며 “전체적으로 하나의 정합성이 유지되지 않는다”고 말했다. 또한 공공 사이버보안은 ‘국가사이버안전관리규정’, 민간은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 관장하는 등 법체계가 분산됐다는 설명이다.

이에 이 교수는 ‘사이버보안기본법’ 제정의 필요성을 강조했다. 구심점이 되는 기본법을 만들어 구분된 보안 관련 법 체계를 단일화하라는 주장이다. 특정 분야를 꿰뚫는 지금의 전문법 체계도 체계 내적인 정합성은 높을 수 있지만, 체계적인 보안 운영에는 걸림돌이 될 수 있다는 것이다.

그는 만약 기본법 제정이 힘들다면 독일의 이른바 조항법률(Artikelgesetz)이라는 입법 형식을 빌어 서로 유사한 여러 개의 법률을 한꺼번에 개정하는 것도 대안으로 제시했다.

두 번째 발제자로 나선 양천수 영남대 법학전문대학원 교수는 제로트러스트(ZeroTrust)를 사이버 보안의 해법으로 제시했다. 제로트러스트는 문자 그대로 아무것도 믿지 않는 전략이다.

특히 세계 공급망 확대 기조 속에서 늘어나는 위협을 막으려면 이 같은 강한 대응 방안이 필요하다는 게 양 교수의 생각이다. 그는 ▲개발 단계에서 시스템 소프트웨어에 악성코드를 삽입한 경우 ▲생산 단계에서 진본 부품을 위조 펌웨어 부품으로 대체한 경우 ▲시스템 구축 단계에서 데이터 변경을 이용한 의도적 시스템 구성 오류를 일으킨 경우 ▲장비도입 단계에서 악의적 하드웨어로 부품을 교체한 경우 등을 공급망 침해 유형으로 제시했다. 경제 글로벌화로 공급망이 전 세계적으로 확장되며 보안 위협도 다각화되고 커졌다는 것이다.

양 교수는 다만 보수적인 접근에서 오는 비용 문제는 과제로 꼽았다. 그는 “지금은 사실상 (보안에 대한) 신뢰가 많은 비용을 줄여주고 있지만, 제로트러스트로 인한 거래 비용 증가를 어떻게 억제하느냐는 쟁점이 될 수 있다”며 “정밀한 고민이 필요한 시점”이라고 말했다. 또 제로트러스트 인증과 보안 업데이트 의무화 등도 논의할 쟁점으로 제시했다.

31일 오후 서울 중구 프레스센터에서 열린 ‘데이터보안법제의 최근 이슈와 과제’ 세미나에서 종합토론에 참여한 토론자들의 모습.

토론자들은 발제자들의 의견에 적극 공감했다. 보안 위협 정보를 공유하는 민간에 인센티브를 주어야 한다는 의견도 제시됐다.

손형섭 경성대 법학과 교수는 “사이버 보안을 확보하기 위한 통제를 강화할 필요가 있고 특히 제품 생애주기 전 과정을 간섭할 수 있어야 한다”고 양 교수의 공급망 보안 강화 주장에 힘을 실었다.

이용욱 SK쉴더스 ESG실장은 ‘책임 경감’과 ‘정부사업 가중치’를 사이버 위협 정보를 공유하는 데 큰 유인이 될 것으로 판단했다.

어떤 보안 사고가 발생했을 때 이와 관련한 위협 정보를 기관이나 협의체에 제대로 제공했다면 사고에 대한 책임을 줄여주는 방식이다. 또 실제 사고는 일어나지 않았더라도 위협 정보를 장기적으로 활발하게 제공하면 정부사업 평가에 가중치를 주는 유인도 효과가 클 거라는 주장이다.

이용욱 실장은 “규제보다는 인센티브 제도를 적극 활용할 필요성이 있다”며 “모든 영역을 아우르는 통합적 사이버 위협 정보 시스템이 마련돼야 한다” 고 강조했다.

오진영 한국인터넷진흥원 미래정책연구실장은 “새로운 사이버 위협을 예상하고 예방적 차원의 위험관리를 강화해야 한다”며 “심도있는 논의로 국민의 피해를 예방하는 법 제도를 구축할 수 있기를 바란다”고 밝혔다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다