4차 산업혁명과 IoT 활성화에 대비한 법제도 개선 주장
사이버보안 강화를 위한 법제도 현안과 전망 토론회

[보안뉴스 원병철 기자] 최근 워너크라이와 인터넷나야나 사건 등 사이버 공격이 일상화되고 있지만, 이에 대한 대응과 해결, 책임은 명쾌하지 않아 많은 사람들의 우려를 사고 있다. 인터넷법제도포럼과 홍익대학교 법학연구소. 그리고 한국인터넷진흥원은 정보보호의 달 기념 ‘사이버보안 강화를 위한 법제도 현안과 전망’ 토론회를 개최하고 법안 마련에 대한 논의를 진행했다.

▲ 사이버보안 강화를 위한 법제도 현안과 전망 토론회[사진=보안뉴스]

황창근 인터넷법제도포럼 회장은 인사말에서 “4차 산업혁명에 대비해 정보보호와 관련된 법제 개선방안이 필요하다”면서 “오늘 발제자는 모두 관련 분야의 전문가로 최신 정보와 의견을 나누면서 해답을 얻었으면 좋겠다”고 말했다.

첫 번째 발제자로 나선 동국대학교 이창범 교수는 ‘IoT 기반 보안 강화를 위한 법제도 개선방안’이라는 주제로 강연을 시작했다. 이 교수는 “기술의 발달은 우리에게 편리함을 주지만, 과도한 의존으로 인한 문제도 조금씩 늘고 있다”면서 “기술에 의존하면 그만큼 리스크도 늘어난다”고 설명했다. 특히, 최근 IoT 활용 및 기기의 증가로 관련 분야에 대한 보안이슈 역시 늘고 있다고 이 교수는 설명했다.

“IoT는 주로 센서와 카메라, 마이크 등을 통해 정보를 수집하고, 이를 전송하고 있습니다. 문제는 IoT 기기의 컴퓨팅 파워가 약하고 전원 문제가 있어 보안기술 채택에 한계가 있다는 점입니다.”

이 교수는 이러한 IoT 기기들을 관리하기 위해 미국과 유럽, 우리나라 등 세계 각국에서는 관련 규정 마련과 법제화에 노력하고 있다고 설명했다. 미국은 2008년부터 IoT를 6대 혁신 기술 중 하나로 선정하고 관련 가이드라인을 만들고 있으며, 유럽 역시 IoT를 ‘The Digital Agenda for Europe’의 최우선 과제로 지정하고 연구와 제도 마련에 노력하고 있다는 것. 우리나라 역시 그에 못지 않다. 미래창조과학부는 2014년 ‘IoT 정보보호 로드맵’을 마련하고 3대 추진 전략을 채택했으며, 다양한 관련 제도 마련에 앞장서고 있다.

문제는 IoT에 대한 공격 역시 늘고 있다는 점이다. 스마트TV 등 IoT 기기에 신용카드 정보와 계좌정보 등을 저장하는 사람들을 공격해 정보를 탈취하려는 시도가 늘고 있고, 디도스 공격에 사용하기 위한 숙주로 만들기 위한 공격 시도도 늘고 있다. 또한, 물리적인 안전에 대한 위험도 증가하고 있는데, 예를 들면 의료기기나 스마트 카에 대한 공격으로 사람이 실질적인 피해를 입을 수 있다는 얘기다.

이에 따른 보안문제는 IoT 기기 제조사와 플랫폼 제공자에게 각각 책임을 요구하고 있다. 하지만 PC와 다르게 컴퓨팅 능력이 낮은 IoT 기기의 특성상 보안 시스템을 구축하는 것도 쉽지 않은 상황이다.

이에 이 교수는 “IoT 디바이스와 서비스의 설계 초기부터 개인정보보호 및 정보보안 관점을 반영해 정보보호 원칙을 충족하지 못한 제품의 유통을 제한해야 한다”고 주장했다. 또한, 보안인증제를 도입해 Privacy by Design, Security by Default 원칙을 지키도록 하고, 보안등급제를 도입해 소비자가 IoT 제품을 구입할 때 분별력을 제공할 수 있도록 하자고 제안했다.

두 번째 발제자는 한국교원대학교 정필운 교수로 ‘제4차 산업혁명 대비 정보보호 법제 개선방안’이라는 주제로 강연을 이어갔다. 정 교수는 “IoT와 클라우드, 빅데이터와 인공지능 등 기술의 발전은 정보보호에 많은 영향을 미치고 있다”며, “이렇게 받은 영향으로 정보보호는 변화하고 있지만, 우리 정보보호법은 이러한 변화에 적절하게 대응할 수 있는 지 생각해봐야 한다”고 설명했다.

정 교수는 우선 현행 정보보호 법제의 문제로 용어의 정립을 꼽았다. “현행 정보보호 관련 법제는 총 9개로 주무부처와 부문에 따라 각각 제정 및 사용되고 있습니다. 이렇게 주체와 관련법이 여러 개가 사용되면서 용어에 대한 정립이 명확하지 않아 문제가 되고 있습니다.”

예를 들어 정보보안과 정보보호가 혼용되고 있는데, ‘정보보안’은 정보의 비밀성, 무결성, 이용가능성을 유지하기 위해 권한 없는 접속, 이용, 공개, 방해, 변경 및 파괴로부터 정보, 정보시스템 및 정보통신망을 보호하는 것이며, ‘정보보호’는 개인정보보호와 정보보안을 포괄하는 상위개념인데, 한편으로 정보보안의 또 다른 이름으로 사용되고 있다고 정 교수는 설명했다.

“법제의 큰 변화를 가져오지 않는다면 정보보호로 보는 것이 좋다. 다만 보호와 시큐리티를 구분하는 것이 중요하다”는 의견을 제시한 정 교수는 두 번째로 ‘정보보안’과 ‘사이버보안’의 용어 문제를 제기했다.

“사이버보안은 정보보안보다 작은 집합이라고 생각합니다. 특히, 물리적 보안이 다시 대두되면서 사이버보안보다는 정보보안을 쓰는 것이 더 맞다고 생각합니다. 물론 인터넷 환경에서 사이버보안의 영역은 나름 존재하며, 안보법제라는 측면에서 사이버보안이라는 용어는 공존해서 사용이 가능합니다.”

용어 정립에 이어 정 교수가 제시한 쟁점은 중소기업과 비영리 행위자에게 정보보호 활동 의무를 부여할 것인가였다. 그는 비록 중소기업과 비영리 행위자가 당장 정보보호에 투자할 여력이 없다고 할지라도, 사건사고 발생시 벌어지는 피해는 고스란히 일반 사용자에게 가며, 그 규모 역시 크기 때문에 정보보호를 위한 활동 의무는 부과되어야 한다고 주장했다.

마지막으로 정 교수는 “정보보호에 대한 문제는 부각되지만 관련법은 큰 변화가 없어 몸은 자랐지만 옷은 그대로인 형국”이라면서 “이에 법령 내용의 변화를 넘어 법제 변화를 요구하는 목소리가 커지고 있다”고 강조했다. “저는 개인적으로 현행 정보통신망법과 기반보호법, 진흥법 등을 합해 통합 정보보호법을 만들 것을 제안합니다.”

▲ 토론회 패널. 좌측부터 이동근 단장, 홍승표 단장, 강용석 본부장, 곽진 교수,
황창근 회장, 김성천 교수, 이상직 변호사, 이창범 교수, 정필운 교수

이어진 시간에는 황창근 회장을 좌장으로 강용석 SK인포섹 본부장, 곽 진 아주대 교수, 김성천 중앙대 교수, 이동근 KISA 단장, 이상직 태평양 변호사, 홍승표 정보통신기술진흥센터 단장 등이 패널로 참석해 토론회를 진행했다.

홍승표 정보통신기술진흥센터 단장은 “기업들은 개인정보 활성화를 위한 규제를 풀어달라는 요청이 많다”면서 “4차 산업혁명 시대에 개인정보 활성화는 산업을 진흥시킬 것”이라고 말했다. 다만 그는 개인정보가 악용되지는 않아야 한다고 강조했다.

강용석 SK인포섹 본부장은 “최근 MS 등 세계적인 공룡기업들이 정보보호산업에 뛰어들고 있는데, 정부가 가이드라인이라는 이름으로 규제를 하게 되면 정말 감당이 힘들다”면서 “규제에 기대면 기술이 발전할 수 없다”고 말했다.

또한, 곽 진 아주대 교수는 “정보보안과 정보보호 구분은 우리나라만 있다”면서 “관련 부처, 담당, 영역 등 성격에 따라 바뀌는데, 통합이 필요하다고 본다”고 설명했다. “우리나라 정책과 제도는 내수시장 보호에 초점이 맞춰져 있어 기업들이 국내를 중심으로 사업을 하다보면 해외로 진출하기 어려워 합니다. CC 인증만 봐도 그렇죠. 국내CC와 국제CC가 다르기 때문에 각각 받아야 합니다.”

한편, 이동근 KISA 침해사고분석단 단장은 “경찰이 범죄를 예방하기 위해 순찰을 도는 것은 당연한 일이지만, 인터넷에서는 정당한 점검행위도 불법이기 때문에 자유롭지 못한 게 현실”이라면서 법제도의 변경이 필요하다고 주장했다.
[원병철 기자(boanone@boannews.com)]

* 원본기사 : http://www.boannews.com/media/view.asp?idx=55639&page=1&kind=2