‘정보시스템 등 기반보호에 관한 법률’로 재정비… “기반시설 정보보호 체계 강화 기대”

2001년 정보통신부 주도하에 제정, 운영되어 온 '정보통신기반보호법'이 7년여 만에 행정안전부에 의해 '정보시스템 등 기반보호에 관한 법률'로 옷을 갈아입는다. 기존 정보통신기반보호법이 기반 시설에 대한 지정 및 관리가 미흡하다는 점이 개정의 배경이다.

과거 정부는 정보통신기반보호법에 의해 국가적으로 중요한 정보시스템 및 정보통신망을 주요정보통신기반시설로 지정해, 취약점 분석/평가와 보호대책 및 보호계획 수립 등의 조치를 취하도록 했다. 기반시설 지정 대상은 인터넷접속망, 인터넷뱅킹시스템, 공항운영시스템, 선거시스템 등 보안사고 발생 시 국가 사회적인 혼란(위기)을 초래할 수 있는 특별관리가 필요한 시설들이다.

기존 법, 부처장의 자율적 관리에 의존
기존 법은 기반시설은 각 부처 중앙행정기관 장에 의해 자율적으로 ▲정보통신기반시설 중에 해당 관리기관이 수행하는 업무의 국가 사회적 중요성 ▲관리기관이 수행하는 업무의 정보통신기반시설에 대한 의존도 ▲다른 정보통신기반시설과의 상호 연계성 ▲침해사고가 발생한 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위 ▲침해사고의 발생가능성 및 복구의 용이성을 기준으로 전자적 침해로부터 보호해야할 필요가 있다고 인정되는 시설을 지정하고 관리하는 업무를 관장하는 역할을 수행하도록 되어 있다.

이처럼 기반 시설에 대한 정의가 명확하지 않은 데다 중앙부처의 자율에 맡겨지다 보니 주요 기반시설 지정에 소극적일 수 밖에 없었던 게 사실이다. 2001년 4개부처 23개 시설에서, 2007년 11월 기준으로 11개 부처 시설을 보유한 73개 관리기관, 101개 기반시설이 지정되어 있다. 올해는 신규 지정, 폐지되는 곳이 2곳 정도며 행정안전부 광주통합전산센터가 추가 지정될 계획이다.

특히, 2년에 한번 이뤄지는 지정시설에 대한 취약점 분석 평가 방법의 경우 시설 자체 전담반을 구성해 수행 가능하며 반드시 전문 컨설팅 업체를 통해 수행할 필요도 없다. 자체 수행 여력이 없는 곳만 정보보호 전문 컨설팅업체, 한국정보보호진흥원, 국가보안연구소 중 한 곳을 택해 수행하도록 되어 있다. 굳이 수행을 안해도 중앙행정기관 장이 경고 조치를 받는 수준이지, 보안 사고가 나지 않는 한 패널티나 과태료를 물 일도 없었다.

한국정보보호진흥원 관계자는 "정보통신기반보호법은 만병 통치약이 아니다. 금융보호법 등의 제도와 중첩되는 부분이 많아 민간 분야까지 통제하기는 한계가 있는 게 사실"이라며 "다른 법 제도들과의 상호 보완 제도라고 봐야 하며 민간회사 임에도 불구하고 공공성을 지닌 네트워크를 보유하고 있는 곳이 주요 지정 대상이다"고 말했다. 또한 "취약점 분석 평가 및 대책 수립 등은 기반시설들이 국가 사회적으로 적지 않은 영향을 미치고 있는 만큼, 의무적인 사항이다. 시설들이 자발적으로 하기 위해 지원이 필요하기 때문에 기술적 지원 등 간접, 직접적 지원이 이뤄질 수 있도록 체계를 정비하고 있다"고 밝혔다.

지정권고제, 이행점검 등 도입으로 변화 모색
이 같은 문제점들을 감안해 정보통신기반보호법은 2007년 12월 기반시설 확대를 위한 지정권고제와 현실화된 관리를 위한 이행점검이 새롭게 도입되는 등 최종 변경된 바 있다.

최근 행안부에서 정보보호 중기 종합계획을 발표하며 국가 주요정보통신기반시설의 정보보호체계 강화의 일환으로 2012년 까지 현재 101개 보호 대상시설을 300개로 확대 지정하고 취약점 점검 주기를 2년에서 1년으로 단축하겠다고 밝혔다.

이를 위해 정보통신기반보호위원회 위원장의 직위를 국무총리에서 국무조정실장으로 조정하고 기반보호실무위원회를 공공 및 민간분야로 이원화 구성, 운영하도록 최종 개정됐다. 정통부장관(행안부 장관)과 국정원장이 각각 민간과 공공 분야의 기반시설을 지정토록 권고하고 이행 여부를 확인할 수 있도록 함으로써 기반시설 지정이 활성화되고 현실화된 기반시설 관리를 하기 위한 것이다.

행안부는 "올해 당장 신규 규정들이 도입되긴 어렵고, 제대로 도입되도록 각 중앙행정기관들과 협의를 통해 이행점검 가이드라인 등 세부 기준 마련에 비중을 두고 있다"고 전했다. 또 "취약점 점검 결과가 기관별 보호대책을 세우기 위한 근거가 되는데, 기반시설로 지정된 기업, 정부기관의 담당자들이 예산을 받기 용이하다는 점 때문에 취약점 평가 주기를 1년에 한 번으로 변경 해달라고 요구해 왔다"고 덧붙였다.

민간, 공공 분야의 기반시설 담당자들은 취약점 평가 분석 후 대책을 세워 관계중앙 행정기관에 제출하고, 중앙 부처들은 보호대책을 총괄 취합해 보호 계획을 수립하게 된다. 정보통신기반보호위원회에서 최종 심의를 거쳐 다음 해 보호 계획으로 인정해 주는 프로세스를 가지고 있었다. 앞으로 이행점검을 하게 되면 기반보호위원회에서 보호 대책에 따른 진행 사항 재점검하고 미비한 점은 수정 보완하게 된다.

정보화 촉진기본법 등에 뒤섞여 '기반보호법 퇴색 우려'
행안부가 새롭게 발표한 '정보시스템 등 기반보호에 관한 법률'은 기존 정보통신기반보호법의 주요정보 기반보호에 대한 규정을 유지하도록 되어 있다.

하지만 기존 정보통신기반보호법, 정보화 촉진기본법, 전자정부법에 의해 각각 진행되어 온 주요정보통신기반시설 보호계획, 정보화촉진기본계획, 전자정부대민서비스보안대책이 앞으로는 정보보호 종합계획 하에 통합 추진될 예정이다. 통합 체계로 전환하며 기반시설들의 지정 및 관리 등에 얼마나 힘이 실릴 지는 의문이라는 게 업계 지적이다.

정보통신기반보호위원회, 전자정부서비스보안위원회, 공인인증정책심의위원회 통․폐합되어 정보기반보호위원회(위원장: 국무총리실장, 간사: 행안부 정보기반보호 담당 고위공무원, 위원: 중앙행정기관 차관급 공무원, 민간)를 운영하게 된다. 행안부는 "정보기반보호위원회에서 분야별 정보보호대책의 총괄 협의․조정을 위한 역할을 수행하게 되며 종합적인 정보계획이 수립될 것"이라고 전했다.

행정/공공기관의 정보보호관리체계 인증제도 신설, 행정정보보호용시스템 인증 규정 등을 비롯해 주요정보기반으로 지정된 정보기반운영자, 정보공유․분석센터 등의 침해정보 공유 활성화 규정을 신설했다.

「정보통신기반보호법」상의 주요정보통신기반시설 보호계획 및 지침 수립, 취약점 분석․평가, 보호대책 이행여부 확인 조항 등을 이관하고 「전자정부법」상의 행정전자서명 규정과 「전자서명법」 상의 공인전자서명 관련 조항 통합․정비한다는 방침이다.

행안부 관계자는 "새로운 법률 제정으로 기존 법 제도의 미흡했던 사항을 개선하고 기존과 확연히 비교 가능한 변곡점을 찍을 수 있을 것으로 기대한다"고 말했다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지