I. 들어가며
정보화사회를 넘어 모든 사물과 사물이 네트워크를 매개로 상호 연결되어 통신하는 초연결사회(hyperconnected society)1)로 급변하고 있는 오늘날 사이버안보(cybersecurity)2)는 가상 공간을 넘어 현실 공간에서의 국가 안보에 직결되는 문제로서 그 중요성이 날로 부각되고 있다. 특히 대한민국은 세계 최고 수준의 정보통신기술과 인프라(infra)를 갖춘 소위 ‘IT 강국’으로 평가받고 있음에도 불구하고 정작 사이버안보에는 취약하다는 평가를 받고 있고,3)4) 무엇보다 군사적 긴장관계에 있는 북한으로부터 지속적으로 사이버 공격을 받고 있는 상황이므로,5) 사이버안보 역량 강화가 다른 어느 나라보다도 시급하다고 할 수 있다. 그럼에도 불구하고 대한민국의 사이버안보 현실은 국방, 정보통신, 금융, 전자정부 등 주요 사이버 공격 대상별로 소관 부처들이 경쟁적·산발적으로 사이버안보 관련 법제 및 정책을 추진하고 있어 다소 혼란스러운 실정이다.6)
사이버안보 위협은 국경과 영토를 대상으로 한 기존의 물리적 군사 위협과 달리 시간과 공간의 제약을 받지 않고 사회 전 영역에 걸쳐 신속하고 광범위하며 치명적인 타격을 줄 수 있는 새로운 위협이다. 따라서 기존의 전통적인 군사 중심의 안보 전략으로는 사이버안보 위협 대응에 한계가 있을 수밖에 없다. 기술, 인력은 물론 법제도와 국제외교관계 등이 망라된 복합적인 대응이 필요하며, 무엇보다 공공과 민간의 유기적인 협력 체계가 갖추어져야 한다.7) 범정부적 차원의 사이버안보 복합 대응·협력 체계를 제도적으로 뒷받침하는 관련 법제의 정비도 필수적으로 요구된다. 그러나 2006년 이후 사이버안보 역량 강화를 위한 다수의 법안이 국회에 제출되었음에도 불구하고 정보기관으로의 권력 집중, 국민의 사생활 침해, 개인정보보호 문제 등이 대두되면서8) 이념적·정치적 문제로 비화되어 답보 상태에 머무르고 있는 실정이다. 현 20대 국회에서도 2016. 5. 20. 이철우의원 대표 발의로 「국가 사이버안보에 관한 법률안」(이하 ‘이철우의원안’)이, 그리고 2017. 1. 3. 정부안으로 「국가사이버안보법안」(이하 ‘정부안’)이 각 제출되었으나, 2017. 11. 29. 정보위원회 전체회의에 상정된 이후 현재까지 국회 차원의 어떠한 논의도 이루어지지 않고 있다.9)
이러한 문제인식 하에 본고는 비교법적 연구로서 호주의 사례를 거버넌스와 법제 측면에서 각 분석하여 시사점을 도출한 후 우리나라 사이버안보 법제도 개선 방안을 제안하고자 한다. 본고에서 호주를 비교법적 분석 대상으로 삼은 이유는 다음과 같다. 호주와 우리나라는 ① 경제적 측면에서 G7으로 대표되는 글로벌 경제강국에는 포함되지 않으나 G7의 뒤를 추격하는 신흥경제국들의 그룹인 G20의 정회원국이고, ② 국제정치학적 측면에서 강대국처럼 국제체제 전반에 걸친 군사력·경제력을 가지고 있지는 않으나 지역 차원에서 동원할 수 있는 국력을 갖추고 있는 ‘중견국’(middle power)이며,10) ③ 지정학적 측면에서 미국과 중국이라는 양 강대국의 대결이 치열하게 펼쳐지는 역동적인 지역인 아시아-태평양 지역에 위치하고 있고, ④ 외교적으로 미국과 안보 측면에서 굳건한 동맹을 유지하는 한편11) 중국과도 경제적 측면에서 밀접한 우호관계를 유지하는 이중전략을 취해야 하는 상황이라는 공통점을 가지고 있다. ⑤ 나아가 호주는 미국, 영국, 캐나다, 뉴질랜드와 함께 전세계를 상대로 통신감청을 실시하고 있는 ‘다섯 개의 눈’(Five Eyes) 동맹의 일원이며12), ⑥ 2017년 기준으로 아시아-태평양 지역 사이버 성숙도 수준(Asia-Pacific Cyber Maturity)에서 미국의 뒤를 이어 2위를 차지할 정도로 사이버안보와 관련하여 국제적으로 높은 수준을 인정받고 있다.13) 이상 살펴본 호주와 우리나라의 경제적, 국제정치학적, 지정학적, 외교적인 측면의 공통점, 그리고 사이버안보와 관련된 호주의 선도적 역량을 종합하면 호주의 사이버안보 거버넌스 및 관련 법제를 살펴보는 것은 우리나라 사이버안보 역량의 문제점 및 향후 개선방안을 도출함에 있어 유의미한 시사점을 제공할 수 있을 것으로 생각되나, 사이버안보와 관련된 기존의 비교법적 연구는 전통적인 연구 대상인 미국, 유럽연합, 영국, 독일, 일본, 중국에 집중되어 있고, 호주를 다룬 유의미한 연구는 찾아보기 어려운 실정이다.14)
II. 호주의 사이버안보 법제도
사이버안보 추진체계 관한 호주의 기본 방침은 새로운 정부 기관을 설치하기보다는 기존 기관들에 새로운 기능을 부여하는 한편 기존 기능을 재배치하는 방법을 택함으로써 기존 정부 조직에 중대한 변화를 주지 않는 것이다.15) 호주는 2016. 4. 국가 차원의 사이버안보 전략16)을 발표하면서 사이버안보 추진체계를 개편하였고,17) 이후 관련된 부처 및 기관들의 조직 및 기능을 일부 조정하여 복합적이고 다중적인 추진체계를 갖추고 있다. 2019. 9. 현재 호주의 사이버안보 추진체계는 정부 수반인 총리를 정점으로 다수의 부처 및 기관이 전략·정책 수립 및 실무 집행에 각 관여하는 복합적인 체계이다. ① 외교 등 국외 부문은 외무장관(Minister for Foreign Affairs) 소속의 외무부(Department of Foreign Affairs and Trade) 및 그 소속의 사이버업무 대사(Ambassador of Cyber Affairs)가, ② 안전, 치안 등 국내 부문은 내무장관(Minister for Home Affairs) 소속의 내무부(Department of Home Affairs) 및 그 소속의 국가 사이버안보 보좌관(National Cyber Security Advisor)이, ③ 국방 부문은 국방장관(Minister for Defence) 소속의 해외 통신 정보(signal intelligence) 담당 기관인 ASD(Australian Signals Directorate)18)가 전략 및 정책을 각 담당하는 체계이다. 각 영역별로 수립된 전략·정책은 내무부가 총괄하여 국가 차원의 종합 전략을 수립, 점검하고 있다. 이렇게 수립된 사이버안보 전략·정책의 실제 집행은 ASD 소속기관인 사이버안보센터(Australian Cyber Security Centre)가 담당하며, 국가주요기반시설에 대한 사이버 공격 대응 기관인 내무부 산하 기반시설보호센터(Critical Infrastructure Centre), 사이버안보센터 소속으로 사이버안보 위협의 상시 모니터링 및 실시간 대응을 담당하는 사이버위기대응센터(Cyber Emergency Response Centre) 및 사이버안보센터 소속으로 중앙정부와 지방정부 사이, 그리고 민간과 공공 영역 사이의 정보 공유 및 협력 담당 기관인 합동사이버안보센터(Joint Cyber Security Centre)가 각 사이버안보 실무 집행의 일정 부분을 담당하고 있다.
요컨대, 호주의 사이버안보 추진체계는 국가 차원의 전략 및 정책은 내무부가 총괄하여 수립 및 점검하고, 실무 집행은 국방부 소속 정보기관인 ASD 및 그 산하 기관인 사이버안보센터를 중심으로 이루어지는 체계, 즉 전략 및 정책 수립과 실무 집행이 이원화(二元化)된 체계로 파악된다. 참고로 2016. 4. 사이버안보 전략이 발표된 후 개편된 호주의 사이버안보 추진체계는 기존에 설치된 정부 부처 및 기관들의 기능을 조정하고 함께 편성(co-location)한 것으로서, 추진체계 개편에도 불구하고 기존 부처 및 기관들의 정체성, 예산, 보고 및 명령 체계(chain of command)는 기존대로 유지되고 있다고 알려졌다.19)
2016. 4. 사이버안보 전략 발표 당시 호주의 사이버안보 추진체계는 국가 사이버안보 보좌관(총리실 소속)이 국내 정책(policy)을, 사이버 대사(외교부 소속)가 국제 관계(international engagement)를, 사이버안보센터(국방부 소속)가 집행(operation)을 각 담당하고, 국가 사이버안보 보좌관이 각 영역간의 조정을 수행하며, 국가 사이버안보 보좌관은 사이버안보센터의 수장을 겸직하는 구조였다.20) 따라서 국가 사이버안보 전략이 수립된 2016. 4. 당시에는 정책 조정 기능 및 실무 집행 기능을 모두 가진 국가 사이버안보 보좌관이 수장으로 있는 사이버안보센터가 사실상 사이버안보의 컨트롤 타워 역할을 수행하였다고 볼 수 있다.
그러나 2016. 4. 이후 호주 정부는 사이버안보와 관련된 일련의 조직개편 및 기능조정을 실시하였다. 구체적으로 살펴보면, ① 2017. 12. 이민 및 출입국관리 기능, 국가안보 및 위기관리 기능, 대테러 조정기능 및 사이버안보 정책 기능을 수행하는 내무부를 내무장관 소속의 부처로 신설하였고,21) ② 국가 사이버안보 보좌관을 총리실에서 내무부 소속으로, 사이버안보센터를 국방장관 직속에서 국방장관 소속 정보기관인 ASD의 하위 기관 소속으로, 핵심기반보호센터를 법무장관 소속에서 내무장관 소속으로 각 재편하였으며,22) ③ 사이버안보 관련 호주 정부 웹사이트를 내무부 웹사이트로 이관하였고,23) ④ 사이버안보 전략·정책 수립 및 실천 여부 점검 기능을 내무장관의 핵심 소관 업무(portfolio)에 포함시켰다. 즉 국가 사이버안보 보좌관 및 사이버안보센터의 위상은 2016. 4. 사이버안보 전략 수립 시점보다 격하된 반면, 사이버안보에 관한 내무장관의 권한은 증대된 것이다. 이와 같은 조직 및 기능 개편 이후에도 국가 사이버안보 보좌관 및 사이버안보 센터가 사이버안보 관련 다수 이해당사자들 – 특히 외교장관, 국방장관, 내무장관과 같은 내각 관료 및 관련 중앙 부처들 – 의 의견을 조정하고 의사 결정을 내려야 하는 컨트롤 타워로서의 역할을 수행하고 있다고 보기 어렵다. 오히려 내무장관에게 사이버안보 관련 정책 수립 기능과 관련 조직이 집중된 점, 국가 차원의 사이버안보 전략 수립 기능이 현재 최종적으로 내무부에게 있는 점을 감안하면, 현 시점에서 호주의 사이버안보 컨트롤 타워는 내무부라고 봄이 타당하다.24)
호주 사이버안보 전략 및 정책의 실무 집행은 ASD 및 그 산하 기관인 사이버안보센터를 통하여 이루어지고 있다. 특히 사이버안보 위협의 실시간 모니터링 및 대응 담당 기관인 사이버위기대응센터와 민관 사이의 정보 공유 및 협력을 담당하는 합동사이버안보센터가 2018. 6. ACSC 산하로 편제되면서 실무 기관으로서의 사이버안보센터의 위상과 영향력은 한층 강화되었다.25) 사이버안보센터는 사이버 범죄를 분석, 조사, 보고하고 사이버 범죄, 사이버 테러, 사이버 전쟁에 대한 국가 보안 기능과 작전에 대한 조정 등 사이버안보 관련 범정부적인 허브 역할을 수행한다.26) 사이버안보센터는 공공 부문에 대하여는 보안 관제, 사이버안보 기술 개발 및 적용, 교육 등을 직접 실시하고 있으며, 민간 부문에 관하여는 파트너쉽(partnership)을 맺은 민간 기관으로부터 사이버안보 위협 정보를 제공받아 공유한다. 그 밖에 사이버안보센터는 사이버안보 위협 대응에 필요한 기술 지원 및 자문 제공 기능 및 중앙정부와 지방정부 사이의 사이버안보 협력 관련 창구의 기능을 담당한다. 특히 2018년 조직개편 이후 사이버안보센터는 국가사이버안보 웹사이트(cyber.gov.au)를 신규 구축하여 개인에게는 ‘Stay Smart Online’ 프로그램을 통하여 개인이 온라인에서 자신을 보호하는 방법에 대한 간단한 도움말과 조언을 제공하고, 기업에게는 주요 위협정보, 지침 및 다양한 사이버안보 프로그램을 제공하며, 정부기관을 대상으로 사이버 위협에 관한 기술적 자문 및 전국 단위의 훈련프로그램 등을 제공하고 있다.27)
사이버안보센터 외에 사이버안보 관련 주요 실무 기관으로는 에너지, 수도, 통신 등 기반시설의 보호를 담당하는 내무부 산하 기반시설보호센터가 있다. 기반시설보호센터의 기능 중 주목할 부분은 기반시설의 소유자 및 운영자와 기반시설보호센터 사이에 파트너쉽을 체결함으로써 기반시설에 관한 사이버안보 위협 관련 정보를 민관이 공유하는 네트워크(Trusted Information Sharing Network, ‘TISN’)를 운영하고 있다는 점이다.28) TISN은 2003년 법무장관 주도로 설치된 정보공유 네트워크로 현재 금융, 에너지, 운송, 통신, 정부 등 기반시설별로 그룹이 설치되어 해당 기반시설을 대상으로 한 사이버안보 위협 관련 정보를 자발적으로 공유하고 있다.
앞서 살펴보았듯이 호주의 사이버안보 추진체계는 내각 부처인 내무부가 전략 및 정책 수립을 담당하고, 정보기관인 ASD 및 그 소속 기관인 사이버안보센터가 실제 실무 집행을 담당하는 체계이다. 내각 부처인 내무부에 대한 감독은 권력분립의 일반 원칙에 따라 행정부 차원에서 소관 각료인 내무장관 및 정부 수반인 총리를 통한 통제 및 감독이, 그리고 입법부 차원에서 호주 연방의회를 통한 통제 및 감독이 각 이루어지므로 특이사항이 없다. 그런데 호주는 정보기관에 대한 통제 및 감독 장치로 우리나라와 달리 행정부와 입법부의 양 측면에서 이중의 장치를 두고 있어 이를 살펴볼 필요가 있다.
호주는 1986년 법률을 제정하여 정보기관에 대한 정부 차원의 별도의 감독기관인 ‘정보기관 감사관’(Inspector General of Intelligence and Security)을 설치하였다.29) 정보기관 감사관은 중립성과 독립성이 보장되는 독립기관(independent statutory office)으로 총리의 추천을 거쳐 총독(governor general)이 임명한다.30) 총리는 정보기관 감사관을 추천하기 위하여 호주 연방의회 야당 원내대표와 반드시 사전 협의하여야 한다.31) 정보기관 감사관은 호주의 6대 정보기관32)의 업무 수행이 정당한지에 관한 상시적 질문권 및 감사권을 가지며,33) 호주 국민은 정보기관의 부당한 업무 수행에 관하여 정보기관 감사관에게 조사를 요청할 수 있다.34) 정보기관 감사관은 정보기관에 대한 질문 및 감사 결과에 관하여 보고서를 작성하며, 보고서의 내용 중 공공의 이익에 관한 사항으로 기밀사항이 아닌 부분은 공중에 공개할 수 있다.35) 한편 호주 연방의회는 양원의 여야 의원이 함께 참여하는 ‘통합 정보위원회’(Parliamentary Joint Committee on Intelligence and Security)를 두어36) 정보기관을 감시, 감독하고 있다. 통합 정보위원회는 우리나라 국회법상 정보위원회37)와 유사한 조직으로 정보기관의 예산안과 결산안을 심사하고 소관 업무집행에 관하여 필요한 사항을 보고받은 방식으로 간접적 감독권을 행사한다. 통합 정보위원회는 정보기관에 대한 감독권 행사 관련 사항 중 기밀사항을 제외한 사항을 통합 정보위원회 웹사이트를 통하여 국민에게 투명하게 공개하고 있다. 정보기관에 대한 행정부와 입법부의 이중의 통제 장치는 호주 사이버안보 실무 집행기관인 ASD 및 그 산하 사이버안보센터에도 적용되므로, 호주의 경우 정보기관이 사이버안보 실무를 담당함에 따라 발생할 수 있는 권한 오남용, 프라이버시 침해 등의 부작용을 방지할 수 있는 제도적 장치가 상대적으로 두텁게 마련되어 있다고 볼 수 있다.
호주는 미국이나 일본과 달리 범정부 차원의 사이버안보 일반법 또는 기본법은 제정하지 않고 있으며,38) 현재 일반법 또는 기본법을 제정하겠다는 움직임도 찾아볼 수 없다. 기본적으로 호주는 사이버안보와 관련하여 추진체계, 중앙정부 및 지방정부의 역할, 중앙부처 및 기관간 기능과 역할 등을 규정하는 개별 법률을 제정하기 보다는 행정계획, 가이드라인 또는 민간과의 파트너쉽 등 연성적인(soft) 방법으로 접근하고 있는 것으로 알려졌다.39) 호주의 사이버안보 법제는 사회 각 영역별, 분야별, 또는 소관 부처의 업무별 법률 중에서 사이버공간과 관련되고 국가의 안전보장에 관한 내용(감청, 수사, 정보수집, 주요시설 보호 등)과 관련된 법률들이 각 제정, 시행되는 체계로 파악된다. 호주의 실정법 중 사이버안보 관련 법률로 분류할 수 있는 주요 법률을 정리하면 <표 1>과 같다.
구분 | 명칭 | 개요 |
---|---|---|
형사 사법 절차 | Cybercrime Act 2001 | 사이버상의 범죄에 관한 구성요건 및 처벌을 규정한 형법 |
Mutual Assistance in Criminal Matters Act 1987 | 국경을 초월한 범죄에 관한 사법공조 및 국제협력에 관한 법률 | |
Surveillance Devices Act 2004 | 범죄 수사를 위한 감시 장비의 설치, 컴퓨터에 저장된 데이터의 압수 수색을 위한 컴퓨터 접근 영장 신청 및 발부 등에 관한 절차를 규정한 법률 | |
Telecommunications (Interception and Access) Act 197941) | 정보기관 및 수사기관이 행하는 통신검열, 감청, 장비접근 등을 규정한 법률 | |
Telecommunications and Other Legislation Amendment (Assistance and Access) Act 201842) | 암호화된 통신을 통하여 이루어지는 각종 사이버 범죄 및 테러 대응력을 강화하기 위하여 ① 정보기관 및 수사기관이 통신사업자에게 자발적 또는 강제적 협조를 요청할 수 있는 권한에 관한 사항, ② 강화된 컴퓨터 접근 영장 청구 및 발부에 관한 사항, ③ 압수수색영장의 기간 및 권한을 강화하는 사항 등을 규정한 법률 | |
정보 기관 설치 | Intelligence Services Act 2001 | AGO(Australian Geospatial-Intelligence Organisation), ASD(Australian Signal Directorate), ASIS(Australian Secret Intelligence Service), DIO(Defence Intelligence Organisation) 등 호주 정보기관의 설치 근거에 관한 법률 |
Australian Security Intelligence Organisation Act 1979 | 호주 국내 정보기관인 보안정보국(Australian Security Intelligence Organisation)의 설치 근거에 관한 법률 | |
기반 시설 보호 | The Security of Critical Infrastructure Act 2018 | 에너지, 수도, 항만 등 외부 세력으로부터 공격을 받아 파괴되거나 손상을 입을 경우 호주의 국가안보에 치명적인 영향을 줄 수 있는 기반시설의 보호에 관한 법률 |
Telecommunication Act 199743) | 통신사업자의 네트워크 및 통신시설 보호에 관한 법률 |
위 법률들 중 본고에서는 지면의 한계 및 논의의 집중 측면을 감안하여 ① 기반시설의 보호에 관한 법률[The Security of Critical Infrastructure Act 2018(‘CIA’) 및 Telecommunications Act 1997(‘TA’)]와 ② 가장 최근에 제정되었고 암호화된 통신(encrypted communication)에 대한 수시기관 및 정보기관의 접근에 관한 내용을 담고 있는 Telecommunications (Assistance and Access) Act 2018(‘TAA’)을 간략히 살펴본다.
CIA 및 TA는 에너지, 수도(water supply), 항만, 통신, 정부시설, 금융, 보건 등 외부 세력으로부터 공격을 받아 파괴되거나 손상을 입을 경우 호주의 국가안보에 치명적인 영향을 줄 수 있는 기반시설에 대하여 해당 시설의 보유자 또는 관리자에게 보호 의무를 규정하고 정부의 정보수집권 및 기타 행정권의 발동 근거를 마련하기 위하여 제정된 법률로서 우리나라의 「정보통신기반 보호법」과 입법 취지 및 목적이 매우 유사하다. CIA는 통신을 제외한 기반 시설에, TA는 통신사업자가 보호한 통신 관련 시설(네트워크, 서버, 장비 등)에 적용된다.
CIA의 주요 내용은 다음과 같이 ① 기반시설의 지정 및 등록, ② 기반시설에 대한 사업자의 보고 의무, ③ 기반시설 사업자에 대한 내무장관의 각종 권한(정보수집권, 행정명령권, 평가권)으로 정리할 수 있다.44) 특히 주목할 점은 국가안보 관련 위협이 발생한 경우 내무장관이 발하는 행정명령에 기반시설의 관리 또는 소유자가 응하지 않았을 경우 최대 52,500 호주달러의 과징금이 부과될 수 있도록 규정하여 행정명령에 일정 부분 강제력을 부여하고 있다는 점이다.
-
기반시설의 범위: 이용자 및 이용량 등의 기준에 따라 법률에 규정된 전기, 가스, 수도 시설 및 법률에 열거된 항만 시설 또는 내무장관이 기반시설로 지정한 시설(s.9-s.12, s.51)
-
기반시설의 등록: 기반시설을 소유 또는 관리하는 자는 내무장관에게 기반시설을 등록할 의무가 있음(s.19-s.23)
-
보고 의무: 기반시설을 소유 또는 관리하는 자는 기반시설의 소유 및 관리에 관한 사항 또는 기반시설의 운영에 관한 사항이 변경되면 내무장관에게 이를 보고해야 함(s.23-s.27)
-
정보수집권: 내무장관은 CIA에 따른 권한의 행사를 위하여 필요하다고 인정되는 경우 기반시설의 소유 또는 관리자에게 관련 정보를 제출할 것을 요구할 수 있음(s.37-s.40)
-
행정명령권: 내무장관은 기반시설에 국가안보 관련 위협이 발생하였고 기반시설의 소유 또는 관리자와의 협력으로는 그러한 위협에 대처할 수 없을 경우 기반시설의 소유자 또는 관리자에게 특정한 행동을 하거나 하지 않을 것을 명할 수 있음(s.32-s.35). 기반시설의 소유자 또는 관리자가 행정명령에 응하지 않을 경우 최대 52,500 호주달러의 과징금이 부과될 수 있음(s.34).
-
평가권: 내무장관은 기반시설의 보안 상황을 평가할 수 있음(s.57)
TA의 주요 내용은 CIA와 크게 다르지 않으나, CIA와 달리 기반시설의 지정 및 등록이라는 절차가 요구되지 않으며 통신사업자가 보유, 관리하는 네트워크 및 통신 설비는 모두 보호 대상이라는 점에서 차이가 있다. 모든 통신사업자는 통신에서의 보안 강화를 위한 최선의 노력을 할 의무가 있고, 이러한 의무 준수에 위배될 소지가 있는 시설이나 소프트웨어의 변경이 있다면 호주 통신미디어 위원회에 사전에 통지할 의무가 있다. CIA와 마찬가지로 TA의 경우에도 내무장관이 통신사업자에게 정보수집권 및 행정명령권을 행사할 수 있다. 다만 CIA와 다른 점은 TA의 경우 호주 정보기관 중 국내 정보를 담당하는 보안정보국의 수장이 내무장관의 정보수집권 및 행정명령권을 위임받아 행사할 수 있다는 점이다. 즉 통신 관련 기반시설의 보호와 관련하여서는 정보기관의 수장이 적법하게 정보를 수집하고 사이버안보에 필요한 명령을 발할 수 있다. TA의 주요 내용을 정리하면 다음과 같다.
-
‘최선의 보호’ 의무: 모든 통신사업자는 통신에서의 보안 강화를 위하여 최선의 노력을 다하여 인증되지 않은 접근이나 간섭으로부터 통신 설비 및 네트워크를 보호해야 함[s.312(2A)]
-
통지 의무: 모든 통신사업자는 보안 의무 준수 사항에 위배될 소지가 있는 네트워크 및 서비스의 변경 계획에 관하여 호주 통신미디어위원회(ACMA)에 미리 통지하여야 함(s.314A-s.314E)
-
정보수집권: 내무장관은 통신사업자의 보안 의무 준수 여부를 평가하기 위하여 통신사업자에게 관련 정보 및 문서의 제출을 요구할 수 있음(s.315C)
-
행정명령권: 내무장관은 총리 및 통신 관련 장관과 협의한 후 국가 안보에 해를 끼칠 위험이 있는 통신 서비스의 사용 또는 제공을 금지할 수 있고, 국가 안보 위험을 방지하기 위하여 합리적으로 필요한 특정 행동을 하거나 하지 않을 것을 통신사업자에게 명할 수 있음(s.315A-s.315B). 통신사업자가 이에 응하지 않을 경우 내무장관은 과태료를 부과할 수 있음[s.571(4)(a)]
-
내무장관의 권한 위임: 내무장관은 정보수집권 및 행정명령권을 보안정보국의 장에게 위임할 수 있음(s.315G). 보안정보국의 장은 위임받은 권한을 행사함에 있어 내무장관의 지시에 따라야 함(s.315G).
기반시설보호에 관한 CIA 및 TA의 내용 중 특히 주목할 부분은 사이버위협 정보의 공유에 관한 부분이다. CIA나 TA 모두 법률에 정부의 정보수집권한만을 규정하고 있을 뿐, 기반시설의 소유자 또는 관리자가 사이버위협 정보를 정부 또는 제3자에게 제공하거나 수집된 사이버위협 정보를 제3자에게 제공(또는 공유)하는데 필요한 법적 근거는 규정하고 있지 않다. 그럼에도 불구하고 앞서 살펴보았듯이 사이버위협 정보는 TISN을 통하여 민관에 공유되고 있는데, 이는 법률의 규정에 근거한 것이 아니라 관련 기관들 사이에 체결된 자발적인 파트너쉽에 근거한 것이다.
암호화 기술이 보편화, 대중화되면서 테러리스트 및 범죄 조직은 감청 등을 대비하여 암호화 기술을 사용하여 통신을 하고 있다. 2017년 호주 연방 경찰의 감청 결과 90% 이상이 암호화된 통신으로 사실상 감청의 효과가 없는 상황이다.45) 테러조직과 범죄조직이 암호화된 통신을 보편적으로 사용하게 되면서 이에 맞서는 호주 정부의 활동이 심각한 도전을 받게 되었다. 한편 통신의 암호화 문제는 다섯 개의 눈 동맹에서도 중요한 이슈로 부각되었다. 2018. 8. 29. 열린 다섯 개의 눈 동맹국들(미국, 영국, 캐나다, 호주, 뉴질랜드)의 검찰총장 및 내무장관 회담에서 암호화 통신의 불투명화(going dark) 문제가 논의되었고, 논의 결과 민관 협력 프레임워크인 ‘증거와 암호화된 통신에 접근하기 위한 원칙’(Statement of Principles on Access to Evidence and Encryption)에 합의하였다.46)
이러한 문제인식 하에 2018. 8. 14. 호주 정부는 기존의 통신감청 제도 및 데이터 압수수색 제도를 강화할 수 있는 새로운 입법인 TAA에 착수하게 되었다. TAA 법안은 2018. 9. 20. 호주 하원에 제출되어 2018. 12. 6. 하원 및 상원을 통과하여 2018. 12. 8. 시행되었다. 주요 내용은 다음과 같다.
TAA의 핵심은 ‘암호화된 통신에 대한 호주 통신사업자의 협조 의무’를 규정하고 있다는 점이다.47)
TAA의 제정으로 호주 통신감청법[Telecommunications (Interception and Access) Act 1979, ‘TAA’]에 따라 감청 권한을 가진 수사기관48) 또는 정보기관(보안정보국)은 3년 이상의 징역형에 처해질 중대범죄가 행하여졌거나 행하여졌다고 믿을 만한 합리적 이유가 있는 경우이거나 국가안보 보장을 위하여 필요한 경우(이 경우는 보안정보국에 한정된다)에는 호주 통신사업자에게 가능한 기술적 지원을 요청하거나 통보할 권한을 가지게 되었다.49) ‘가능한 기술적 지원’은 ① 전자적 보호수단(electrical protection)의 제거, ② 기술 정보의 제공, ③ 소프트웨어나 장비의 설치·유지·테스트, 통신장비 또는 통신서비스 접근에 대한 지원 등 정보기관이나 수사기관이 암호화된 통신에 접근하기 위하여 필요한 조치, ④ 정보기관이나 수사기관이 적법한 절차(영장이나 TAA에 따른 기술적 지원, 요청 등)에 따라 통신장비 또는 통신서비스에 접근하였다는 사실에 대한 비공개(conceal) 등을 포함하는 광의의 개념이다.50)
정보기관과 수사기관이 TAA에 따라 통신사업자에게 요청할 수 있는 기술적 지원은 ① 기술적 지원 요청(Technical Assistance Request, ‘TAR’),51) ② 기술적 지원 통보(Technical Assistance Notice, ‘TAN’),52) ③ 기술적 역량 통보(Technical Capability Notice, ‘TCN’)53)의 세 가지로 구분된다. TAR은 정보기관이나 수사기관의 장이 통신사업자에게 자발적인 기술적 지원을 ‘요청’하는 것으로서 강제성이 없다.54) 그러나 TAN과 TCN은 ‘요청’이 아닌 ‘통보’(notice)로서 통신사업자의 자발적 협조를 구하는 TAR과 달리 통보에 응하지 않을 경우 제재까지 가능한 강제력 있는 행정처분이다. TAN은 보안정보국55)이나 수사기관의 장이 통신사업자에게 기술적 지원을 해 줄 것을 통보하는 제도이다. TAN을 받은 통신사업자는 통보의 내용이 해당 통신사업자의 현재 설비나 기술 수준에서 이행가능하다면 통보대로 이행할 의무가 있다. 그러나 만약 현재 설비나 기술 수준으로 이행이 불가능하다면 해당 통신사업자는 TAN의 이행을 거부할 수 있고, 현재 설비나 기술 수준을 넘어 적극적으로 새로운 설비나 기술을 도입해야 할 의무는 없다.56) TCN은 가장 강력한 통보로서 보안정보국57)이나 수사기관의 장이 요청하여 검찰총장과 통신장관(Minister of Communication)이 공동으로 승인한 경우에만 발령될 수 있다.58) TCN이 발령되면 해당 통신사업자는 그 통보의 내용대로 이행할 의무가 있으며, 현재의 설비나 기술로서 이행이 불가능하다면 새로운 설비를 설치하거나 기술을 도입해야 한다.59) TCN은 최대 180일까지만 유효하며, TCN이 발령되면 그 적법성 및 유효성에 대한 평가가 별도의 독립 패널을 통하여 이루어지고 그 결과가 정보기관 감사관에게 보고된다.60)
통신사업자는 TAN이나 TCN의 적법성에 대하여 정보기관 감사관에 이의를 제기할 수 있다. 만약 통신사업자가 정당한 이유 없이 TAN이나 TCN에 응하지 않을 경우 최대 10,000,000 호주달러에 달하는 과징금이 부과된다.61)
컴퓨터 접근 영장(computer access warrant)이란 컴퓨터, 휴대전화, USB와 같은 장비를 수색하고 해당 장비에 저장된 정보를 수집할 수 있는 영장을 말한다. TAA는 컴퓨터 접근 영장을 발부받으면 해당 컴퓨터에서 이루어지는 통신의 실시간 감청을 허용하는 등 컴퓨터 접근 영장에 관한 보안정보국의 기존 권한을 확대하였고,62) 3년 이상의 징역형에 처할 수 있는 연방 정부 차원의 범죄에 관하여는 정보기관이 아닌 수사기관도 컴퓨터 접근 영장을 발부받을 수 있도록 규정을 신설하였다.63) 물론 보안정보국의 컴퓨터 접근 영장 발부 및 집행의 적법성에 관하여는 앞서 살펴보았듯이 정보기관 감사관 및 통합 정보위원회를 통한 이중의 감시와 통제가 이루어진다.
TAA는 통신사의 협조 의무, 컴퓨터 접근 영장의 발부 및 집행 등 보안정보국이 TAA에 따라 행하는 권한 행사와 관련하여 보안정보국이 검찰총장에게 정보를 제공하거나 협조하도록 특정인에게 명하여 줄 것을 요청할 수 있도록(즉, 보안정보국이 검찰총장을 통하여 간접적으로 특정인에게 자신의 정보수집에 정보를 제공하거나 협력할 것을 명하도록) 규정하고 있으며, 보안정보국에 자발적으로 협력한 자에 관하여 민사상 책임을 묻지 않도록 규정하고 있다. 이를 통하여 간접적으로 보안정보국의 정보수집 및 수사 권한이 강화되었다.64)
Ⅲ. 시사점 및 개선 방안
호주의 사이버안보 거버넌스의 특징은 한마디로 ‘총괄 기능’(전략 및 정책 수립: 내무부)과 ‘실무 기능’(실제 정책 집행: 국방부 소속 ASD 산하 사이버안보센터)이 정부조직체계상 다른 기관에 각 집중되어 있는 이원화된 체계라고 할 수 있다. 이는 미국이나 일본과 같이 부처의 상위에 있는 정부 수반 직속의 범정부적 컨트롤타워를 두는 소위 ‘컨트롤타워 총괄형’과 다르고,65) 영국과 같이 상호 수평적인 부처 사이에서 기능을 조정하는 소위 ‘실무부처 분산형’과도 차이가 있는,66) 호주 고유의 체계이다. 이러한 추진체계는 새로운 기관을 설치하기 보다는 기존 기관들의 조직 및 기능 조정과 재배치를 통한 안정적인 조직개편을 추구해 온 호주의 전통,67) 그리고 정치적인 고려나 소위 ‘부처이기주의’보다 조직, 인력, 예산 등을 고려하였을 때 사이버안보의 ‘총괄’과 ‘실무’를 가장 체계적이고 효율적으로 수행할 수 있는 추진체계가 무엇인지를 고려한, 실무적이고 현실적인 판단의 결과물로 생각된다.
특히 국가 사이버안보 전략을 발표한 2016. 4. 당시와 현재의 사이버안보 추진체계를 비교하면 중앙 부처인 내무부의 위상과 역할이 증대한 반면 국가 사이버안보 보좌관과 같은 내각 각료가 아닌 보조기관의 위상과 역할은 감소하였음을 알 수 있다. 이러한 추진체계 변화는 전략 및 정책을 효과적으로 수립하고 추진할 수 있는 자원(조직, 인력, 예산)을 보유한 중앙 부처가 사이버안보 전략과 정책을 총괄하는 컨트롤 타워를 맡는 것이 타당하다는 판단에서 비롯된 것으로 생각된다. 한편 사이버안보가 고도의 기술적이고 전문적인 지식을 요하는 점을 고려할 때, 사이버안보 컨트롤 타워의 변화와 관계없이 세계 제2차 대전 이래68) 지금까지 통신 정보의 감청·수집 및 분석 기능을 담당해온 정보기관인 ASD 및 그 산하 기관인 사이버안보 센터가 일관되게 사이버안보 실무 기능을 지속적으로 담당해온 체계 또한 안정적이고 효율적이라고 판단된다.
국경 중심의 전통적인 안보와 달리 사이버안보는 그 위협의 주체가 국가뿐 아니라 테러단체 등 비국가를 포함하고 그 위협의 대상도 사회 전방위적으로 광범위하게 이루어지므로 민관 사이의 정보 공유 및 협력 체계를 구축하는 것이 매우 중요하다.69) 호주의 경우 사이버위협 정보 공유 등 민관 협력에 관한 구체적인 법률 규정이 없음에도 불구하고 사이버위기대응센터, 합동사이버안보센터, 핵심기반보호센터 등 사이버안보에 관련된 정부 기관과 사이버위협의 대상이 되는 민간 기관 사이에 협력에 관한 파트너쉽, 즉 민간과 공공의 신뢰에 기반한 자발적 협력 체계를 구축하고 있음을 주목할 필요가 있다. 일례로 현재 합동사이버안보센터와 파트너쉽을 체결한 민간 기관은 통신사, 은행, 운송회사 등 97곳에 달한다.70) 제·개정이 어려운 법률이 아닌 파트너쉽, 즉 계약에 기반한 협력 체계는 계약법의 기본 원리에 따라 상호 합의가 있다면 언제든 협력의 내용이 변경 가능한 연성적(soft)이고 탄력적이라는 특징을 가진다.
호주의 사이버안보 실무를 담당하는 사이버안보센터는 정보기관인 ASD 소속으로 우리나라 국가정보원의 국가사이버안전센터와 유사한 기관이다. 우리나라의 경우 정보기관이 사이버안보, 특히 민관을 아우르는 국가 차원의 사이버안보 기능을 수행하는 것에 관하여 정보기관의 권한 비대 및 그로 인한 사생활 침해 등을 우려한 반대의 목소리가 높다.71) 그러나 호주의 경우 정보기관이 사이버안보 실무 뿐 아니라 민관 협력 및 민관간 정보공유도 담당하고 있음에도 불구하고 우리나라와 같은 논란은 제기되지 않고 있다. 특히 호주는 명문의 법률 규정이 아닌 당사자간 계약(파트너쉽)에 따라 민간이 사이버안보센터 등 정보기관에 자신이 보유한 사이버안보 위협 정보를 제공하고 있으나 이에 관하여 소위 ‘정보기관의 민간 사찰’과 같은 문제는 제기되지 않고 있고, 오히려 파트너쉽에 기반한 연성적 협력 체계가 강조되고 있다. 이는 정부 차원의 독립 감독 기관인 정보기관 감사관과 국회 차원의 여야 합동 감독 기관인 통합 정보위원회를 통하여 정보기관의 활동에 관한 실질적인 감시와 통제가 이루어지고 있고, 감시 및 통제의 결과 또한 보고서 형태로 국민들에게 투명하게 공개되고 있어, 결과적으로 정보기관의 권력 오남용, 개인정보 침해, 민간 사찰과 같은 부작용이 발생하기 어려운 시스템이 법제도적으로 갖추어져 있기 때문이라고 판단된다.
호주의 사이버안보 법제의 가장 큰 특징은 미국, 일본 등과 달리 사이버안보에 관한 소위 일반법 또는 기본법이 존재하지 않는다는 점이다. 앞서 언급하였듯이 호주의 사이버안보 법체계는 사회 각 영역별, 분야별, 또는 소관 부처의 업무별 법률 중에서 사이버공간과 관련되고 국가의 안전보장에 관한 내용과 관련된 법률들이 공존하는 ‘분산형 개별법’ 체계라고 할 수 있다. II.1.항에서 살펴보았듯이 호주는 미국이나 일본과 같은 ‘컨트롤타워 총괄형’이 아니라 정책과 실무가 분리된 ‘이원화형’ 거버넌스를 채택하고 있는바, 수직적 체계를 중시하는 기본법 체계보다는 수평적 관계를 중시하는 분산형 개별법 체계가 호주와 같은 이원화형 거버넌스에 보다 부합하는 측면이 있다. 또한 사이버안보에 관한 기본법을 제정할 경우 추진체계, 인력 및 조직, 예산, 기존 법률과의 관계 등 다양한 관점을 고려한 입법 작업이 필요하고, 다양한 이해관계자들 사이의 이해충돌 문제를 조정해야 할 뿐 아니라, 정부 부처간 합의 및 국회 심사 과정에서 절차적으로도 상당한 시간이 소요되는 문제가 있는바, 이러한 현실적 문제를 고려한다면 호주와 같이 분산형 개별법 체계를 채택하고 이슈가 제기될 경우 해당 개별법을 신속히 개정하는 것이 기본법을 새롭게 제정하는 것보다 상대적으로 탄력적인 법제도에 해당할 수 있다.
위에서 살펴본 호주의 사이버안보 관련 주요 법률, 즉 기반시설보호 관련 법률인 CIA, TA와 암호화된 통신 접근에 관한 TAA를 살펴보면, 공통적으로 사이버안보 위협에 대응하기 위한 호주 정부의 권한이 대폭 강화되었음을 알 수 있다. 구체적으로 CIA 및 TA의 경우 호주 정부는 기반시설의 소유자 또는 관리자에게 사이버안보 관련 정보를 제공할 것을 명령할 수 있을 뿐 아니라 사이버안보에 위협이 되는 특정한 행동을 하거나 하지 않을 것을 명령할 수 있다. 2018. 12. 시행된 TAA는 한걸음 더 나아가 암호화된 통신에 관하여 호주 정부가 통신사업자에게 광범위한 범위의 기술적 지원에 관하여 자발적 협력 뿐 아니라 강제적인 협력을 요구할 수 있고 이에 응하지 않을 경우 과징금을 부과할 수 있는 등 전세계에서 유래를 찾기 어려운 강력한 권한을 규정하고 있다. 이러한 입법례가 우리나라의 실정에 부합하여 도입이 필요한지는 추가적인 연구가 필요하겠으나, CIA, TA, TAA 모두 입법 과정에서 국회 차원의 특별한 반대가 없었고, 특히 TAA의 경우 하원에 제출된 지 3개월 만인 2018. 12. 야당의 특별한 반대 없이 통과되었다는 점은 주목할 필요가 있다.72)
이상 살펴본 호주의 사이버안보 사례 및 그 시사점을 중심으로 우리나라의 사이버안보 법제도 개선 방안을 제안하면 다음과 같다.
우리나라의 현행 사이버안보 거버넌스는 ① 청와대 국가안보실이 컨트롤 타워를 담당하고 ② 국가정보원이 민·관의 사이버안보 실무를 총괄함과 동시에 대통령 훈령인 「국가사이버안전관리규정」에 따라 공공(중앙행정기관, 지방자치단체, 공공기관) 분야를 담당하고, ③ 국방부, 과학기술정보통신부, 행정안전부 등 개별 부처가 소관 분야(국방, 민간, 행정 등)를 각 담당하는 분산형 체계이다.73) 한편 제20대 국회에 제출되어 있는 이철우의원안 및 정부안은 그 명칭이나 세부 기능에 다소 차이는 있으나 공통적으로 사이버안보 관련 컨트롤 타워로서 대통령 소속의 위원회를 설치하고 국가정보원장이 기본계획의 수립 및 정책 집행을 담당하는 추진체계를 규정하고 있다.74)
현행 추진체계에 관하여는 분산형 체계로서의 한계, 즉 각 부처를 아우르는 통합적 조정기능이 부족하다는 비판이 제기되고 있다.75) 20대 국회에 제출된 양 법안에서 제안된 추진체계, 즉 대통령 소속의 위원회를 컨트롤 타워로 두고 국가정보원장이 민관을 아우르는 사이버안보의 정책 수립 및 집행 기관이 되는 체계에 관하여는 시민단체를 중심으로 국가정보원의 권한 강화 및 그로 인한 인권 침해, 민간 사찰 우려와 같은 민감한 이슈가 제기되고 있다.76)
정부조직 사이의 수직적 위계질서가 중시되는 우리나라의 정치적, 문화적 특성상 정부 수반이자 국가 원수인 대통령 소속의 위원회 또는 조직이 사이버안보 컨트롤 타워를 맡는 것은 상징적 의미가 있다. 특히 사이버안보는 국민의 안전 보장이라는 국가의 본질적 기능과 관련된 것이고 공공, 민간의 구분 없이 국가사회 모든 분야에 전방위적으로 관계된 문제이므로, 이러한 관점에서도 대통령 소속의 위원회 또는 조직이 최종적인 컨트롤 타워로서의 역할을 수행할 필요성이 긍정될 수 있다고 본다. 단 대통령 소속 위원회나 조직이 수행하는 컨트롤 타워의 기능은 말 그대로 조정(control), 즉 정부 부처 및 기관 사이에 이견이나 충돌이 있을 경우 이를 조정하는 기능에 국한되는 것이 타당하며 이를 뛰어넘어 사이버안보 전략이나 정책을 수립하는 것은 정부조직체계의 원리나 실제 예산, 인력, 조직, 권한 등 실행력에 비추어 볼 때 타당하지 않다고 생각한다.
사실 추진체계를 둘러싼 논란의 핵심은 국가정보원에 있다. 현행 체계에서 국가정보원은 대외적 규범력이 없는 대통령 훈령 형식의 행정규칙인 「국가사이버안전관리규정」에 따라 공공 부문의 사이버안보 정책 및 실무 권한만을 가지고 있으나, 이철우의원안 및 정부안이 국회를 통과하면 공공과 민간을 아우르는 사이버안보 정책 및 실무 집행 권한을 가지게 되는바,77) 설사 대통령 소속의 위원회 또는 조직이 컨트롤 타워로 신설된다 하더라도 이는 명목상 조직에 그칠 위험이 크고 정책 수립과 실무 집행권한을 다 쥐고 있는 국가정보원이 사실상 컨트롤 타워로 군림하게 될 것이 우려되기 때문이다.
국가정보원의 조직, 인력 및 전문성을 고려할 때 공공, 민간 구분 없이 사이버안보의 ‘실무’ - 사이버안보 위협의 탐지 및 역대응 등 - 를 국가정보원이 총괄 담당하는 것은 일응 타당한 측면이 있다. 그러나 실무 집행 차원을 넘어 이철우의원안 및 정부안이 규정한 것처럼 국가사회 전반의 사이버안보 정책 수립 권한까지 국가정보원이 가지는 것은 국가정책의 수립이 아니라 국가의 적대세력을 상정하고 그에 대한 대응 및 경쟁을 존립 이유로 삼는 정보기관의 본질에 부합하지 않는다.78) 헌법상 국무회의에서 의결권을 행사할 수 있는 국무위원이 관장하는 행정각부 중 적절한 부처에서 국가사회 전반의 사이버안보 계획 및 정책의 최종 수립 권한을 갖는 것이 타당하다고 생각된다. 이렇게 하더라도 국가정보원의 현행 권한이나 기능이 축소된다고 보기 어렵다. 오히려 정보기관의 권한 비대화, 시민 사찰 위험 등과 같은 시민단체 및 학계의 비판에서 벗어나 정보기관 본연의 업무인 정보 수집 및 안보위협 대응 업무에 충실할 수 있을 것으로 생각된다. 호주 역시 총리와 정치적 책임을 함께하는 내각의 일원인 내무장관이 관할하는 내무부에서 국가 차원의 사이버안보 전략 및 정책을 수립하고, 정보기관인 ASD 및 그 산하기관인 사이버안보센터는 실무 집행을 전담할 뿐 사이버안보 전략 및 정책 수립의 전면에 나서지 않는다는 점을 참고할 필요가 있다.
사이버안보의 핵심은 민간과 정부 사이의 정보 공유 및 협력이다.79) 이를 이끌어 내기 위해서는 다른 무엇보다도 민간이 정부에 정보를 공유하고 협력하여도 정부가 이를 오남용하지 않을 것이라는 신뢰가 축적되어야 한다. 사이버안보 추진체계와 관련하여 시민단체가 제기하는 국가정보원의 권한 남용, 개인정보보호 위협, 민간 사찰 등의 문제는 사실 정보기관에 대한 뿌리 깊은 불신과 두려움에서 비롯된 것이다. 이를 간과한 채 민간을 대상으로 사이버안보 정보의 공유 및 협력을 강권하고, 나아가 법률을 통하여 제도화하더라도 실질적인 참여와 협력을 기대하기 어렵다.80)
민간의 신뢰를 이끌어내는 방안으로 호주의 ‘정보기관 감사관’ 사례를 참고하여 최소한 사이버안보 관련 정보공유 및 협력에 관한 부분만이라도 객관성과 중립성이 담보되는 독립기관의 상시적 감시 및 통제를 받는 방안을 고려할 필요가 있다.81) 현행 정부조직체계상 이론적으로는 감사원이 국가정보원에 대한 감사권을 행사할 수 있으므로 별도의 독립기관의 설치가 불필요하다는 견해도 가능하다. 그러나 헌정사를 살펴보면 실제로 감사원이 국가정보원을 감사한 경우는 정부 수립 이후 단 한 차례 밖에 없는바, 감사원의 감사기능을 통한 국가정보원의 통제는 사실상 기대하기 어렵다.82) 물론 국회 정보위원회에서 국가정보원에 대한 감시 및 통제권을 일정 부분 행사하기는 하나 국회 위원회라는 본질상 전문성이나 상시성을 기대하기 어렵다는 한계를 노정하고 있다. 국회 정보위원회와 별도로 정부 차원에서 별도의 감시 기구를 두어 행정부와 입법부 양 쪽의 통제를 받도록 할 경우 국민의 기본권이 보다 두텁게 보장될 수 있다는 측면에서 정보기관을 감시할 제3의 독립 기구를 둘 실익을 찾을 수 있다고 생각된다. 새로운 감독 기구의 신설이 어렵다면 대안으로 독립기구인 국가인권위원회나 심의기구에서 정부조직법상 행정위원회로 개편될 것이 예정된 개인정보보호위원회에 사이버안보 관련 정보 공유 과정에서의 인권 및 프라이버시 침해 여부에 관한 조사 및 감독 권한을 부여하는 방안을 생각해 볼 수 있다.83) 다만 기밀성과 밀행성을 본질로 하는 정보기관에 대한 광범위한 감독은 자칫 정보기관 본연의 업무 수행을 저해할 수 있으므로, 독립적 감시 기구를 설치하더라도 그 기구의 설치 근거, 구성, 조사 및 감독 권한의 범위와 한계 또한 명확히 법률에 규정되고 그에 따라 적법하게 이루어져야 할 것이다.
사이버안보를 체계적, 효율적으로 추진하기 위해서는 범정부적 사이버안보 거버넌스 구축, 민관 협력과 소통, 정보공유와 같은 제도의 구현과 이를 뒷받침하는 법률의 정비가 필요하다. 그러나 호주 사례에서 살펴보았듯이 법률 정비를 위하여 반드시 ‘기본법’을 제정해야 하는 것은 아니다. 사이버안보 법제 강화 방안으로는 기본법의 제정, 기존 법률의 개정·정비, 현행 법제 운용의 정상화 등 다양한 방식이 가능하다. 어떠한 방식을 채택할 것인지는 기존 법제도의 현황 및 문제점, 정치·사회적 여건, 향후 지향점 등을 종합적으로 고려하여 상황에 맞게 탄력적으로 결정할 문제이다. 그럼에도 불구하고 우리나라는 2000년대 이후 ‘기본법’의 제정에 초점을 맞추어 왔고, 그 제정 추진 과정에서 국가정보원의 권한 강화, 민간 사찰 우려와 같은 정치적으로 민감한 문제가 대두되면서 결국 법 제정에 이르지 못하고 국회 회기 만료로 법안이 자동 폐기되는 악순환을 반복해왔다.
사이버안보 관련 법률이 여러 부처에 산재해있고 소관 기능도 분산되어 있는 우리나라 현실을 고려할 때 궁극적으로는 사이버안보를 통합적으로 규율하는 기본법을 제정할 필요가 있다는 점은 어느 정도 수긍할 수 있으나, 정치적으로 민감한 쟁점을 다수 포함하고 있는 사이버안보 기본법의 제정이 현 상황에서 쉽지 않다는 점을 감안하면, 기본법의 제정은 사회적 공감대가 형성되기 전까지는 장기적 과제로 지속적으로 추진하되, 기본법 제정시까지의 대안으로 현행 법률 중 사이버안보와 관련된 법률들 – 정보통신망법, 정보통신기반보호법, 「통신비밀보호법」, 「국민보호와 공공안전을 위한 테러방지법」(이하 ‘테러방지법’) 등 – 이 병존하는 현재의 개별법 체계를 최대한 일관되고 통일성있게 정비하는 한편 현행 법제도상으로 가능한 부분은 최대한 적극적으로 시행함으로써 하루가 다르게 진화하는 사이버안보 위협에 신속하고 탄력적으로 대응할 필요가 있다.
사이버안보 역량 강화의 핵심은 민간과 정부의 정보 공유와 협력이다. 그러나 현행 법률은 이에 관한 법적 근거, 관련 절차 및 개인정보보호와 같은 사항이 매우 미흡하다. 일례로 정보통신기반보호법을 살펴보면 민관 정보공유 및 협력에 관한 근거조항으로는 ‘정보공유·분석센터를 둘 수 있다’는 단 1개의 조항만을 두고 있어(제16조) 정보공유의 절차, 공유되는 정보의 내용 및 범위와 한계, 공유정보의 오남용 방지 장치와 같은 사항에 관한 법적 규율이 사실상 공백(空白)인 상태이다. 반면 정보통신기반보호법에 대응하는 호주의 CIA 및 TA의 경우 민간에 대한 정부의 정보수집권 및 행정명령권을 규정하는 등 민관 정보 공유 및 협력에 관하여 우리나라에 비하여 상대적으로 상세한 규정을 두고 있고, 법률은 아니지만 민간과 공공의 신뢰에 기반한 파트너쉽을 통하여 사이버위협 정보를 민관이 활발히 공유하고 있다. 호주의 사례에 비추어 볼 때 정보통신기반보호법이나 정보통신망법을 개정하여 사이버안보 위협 정보의 민관 공유에 관한 원칙, 공유 및 분석 절차, 분석 결과의 환류, 개인정보보호에 관한 사항의 법적 근거를 규정하거나, 최소한 민관과 공공의 협력에 기한 파트너쉽을 촉진할 수 있는 근거 조항(민간에 대한 재정적 지원, 사이버위협 정보 제공에 관한 민간의 면책 등)을 두는 등 개별법의 정비 방안을 고민할 필요가 있다. 한편 하루가 다르게 진화하는 신종 사이버 공격에 대한 대응 체계를 강화하는 차원에서 호주의 TAA와 유사하게 통신사업자에게 암호화된 통신에 대한 자발적 지원이나 협조 의무를 규정할 필요에 관하여도 논의를 시작할 필요가 있다.
IV. 마치며
모든 사물과 사물이 네트워크로 연결되어 상호 통신하고 사회의 모든 활동이 네트워크를 매개로 한 가상 공간에서 이루어지는 초연결사회의 도래를 눈앞에 두고 있다. 이러한 사회적 변화 속에서 국가 안보의 패러다임도 국경·영토와 같은 기존의 전통적인 물리적 공간에서의 안보를 뛰어넘어 가상 공간에서의 안보로 진화하고 있다. 사이버안보 위협은 기존의 물리적 안보위협과 달리 군사력과 같은 재래식 전력을 요하지 않고, 시공간의 제약을 받지 않으며, 공격을 받았다는 사실 여부를 확인하기도 어렵고, 일단 공격이 성공하면 사회 전 영역에 치명적이고 광범위한 타격을 가할 수 있다는 등의 특징을 가지고 있어, 다른 어느 분야보다도 신속하고 체계적인 범국가적 대응 체계를 갖출 것이 요구된다. 그럼에도 불구하고 아직까지 사이버안보를 뒷받침할 수 있는 법제도는 미비한 상황이며, 국회 계류 중인 정부안과 이철우의원안에 대하여는 제대로 된 논의조차 이루어지지 않고 있는 것이 우리의 현실이다. 이처럼 사이버안보 법제도가 교착(deadlock) 상태에 빠진 주된 이유는 국가정보원의 위상과 역할을 둘러싼 정치적·사회적 갈등에 있다. 국회에 제출된 사이버안보 법제도 개편방안은 정보기관이 공공과 민간을 아우르는 컨트롤타워를 맡는 한편 실무 집행도 전담하는 구조로서 정보기관의 권한 비대화 우려 및 그로 인한 민간 사찰과 사생활 침해 논란에서 자유로울 수 없다는 내재적 한계를 가지고 있다. 논란과 우려를 불식시키기 위해서는 국가정보원이 컨트롤타워를 맡는 추진체계가 타당한지, 사이버안보 ‘기본법’의 제정이 필요한지 등에 관한 근본적인 고민과 진지한 논의가 필요하다. 본고에서 살펴본 호주의 사례에서 알 수 있듯이 사이버안보 컨트롤타워와 실무집행기관을 각 분리하는 이원화된 추진체계도 얼마든지 상정할 수 있으며, 사이버안보에 관련되어 기존에 제정, 시행중인 개별법을 탄력적으로 개정함으로써 사이버안보 위협에 신속하게 대응할 수 있는 측면이 있기 때문이다. 아무쪼록 국가정보원을 둘러싼 소모적인 논쟁에서 탈피하여 대한민국이 세계 최고 수준의 IT 강국이라는 위상에 걸맞은 혁신적이고 선도적인 사이버안보 체계를 하루속히 갖추기를 희망한다.