[능동적 사이버 방어(ACD)] 도입을 위한 법안 제시 (출처 : 언론보도)
o 정부는 1.16. 사이버 공격을 미연에 방지하는 [능동적 사이버 방어(ACD)] 도입을 위해 24일 소집되는 정기국회에 제출할 법안의 개요를 자민당에 제시함
- 통신 정보의 수집 및 공격원 서버에 대한 침입·무해화를 가능하게 하는 등 정부의 권한을 크게 강화하는 내용임
o ACD는 정부가 평시부터 인터넷 공간을 감시해 사이버 공격의 징후를 탐색, 사전에 대응을 취하는 구조임
- (1) 관민 제휴의 강화 (2) 통신 정보의 이용 (3) 침입·무해화 조치의 실시를 가능하게 함
o 구체적으로는 전기, 철도, 통신, 금융 등 중요 인프라를 운영하는 사업자로부터 사이버 공격을 받았을 경우에 보고를 의무화
- 관민이 정보를 공유하는 협의회 신설. 공격에 대처하기 위해 사업자 등으로부터 취득한 통신정보를 분석하고, 필요에 따라 외국 정부에도 정보를 제공
- 정부에 의한 통신 정보의 수집은 프라이버시 침해라는 염려가 뿌리 깊기 때문에 운용을 감시하는 독립기관 설치, 정부 직원에 의한 정보의 부정 이용이나 누설에는 벌칙을 부과할 방침
o 경찰과 자위대가 공격원 서버 등에 침입해 무해화하는 조치를 취할 수 있도록 함
- <지극히 고도로 조직적이고 계획적>인 공격에는 자위대의 새로운 임무로서 창설하는 <통신 방호 조치> 를 총리가 명하는 규정도 마련
- 침입·무해화 조치는 독립기관의 사전 승인을 원칙으로 함
o 이러한 안에 대해 자민당은 승낙할 것으로 보이지만, 프라이버시 침해 및 통신 정보의 유용에 대한 우려도 강하다고 아사히 신문은 보도함
o ACD를 둘러싼 최대의 논점은 헌법 21조가 정하는 통신 비밀 보호와의 정합성임
- 정부는 작년 6월, 전문가 회의를 설치해 ACD의 과제를 정리하였음
- 회의에서는 사이버 공격의 방어라고 하는 공공의 복지를 위해 "필요하고 합리적"인 범위에서 「통신 비밀」의 제한을 용인한다고 제언을 정리했으며, 정부의 법안 개요는 이 제언에 따라 내용을 마련함
o 법안 개요에서는 정부가 수집·분석하는 정보의 범위를 한정함
- 국내의 기업이나 개인간의 내내통신은 원칙적으로 수집하지 않으며, 수집 대상은 주로 외국에서 발신돼 일본을 거쳐 다른 나라에서 수신되는 외외통신임
- 정부에 따르면 일본에서 확인되는 사이버 공격의 발신원은 99%이상이 외국이고, 공격의 징후는 이 정보를 분석하는 것으로 파악할 가능성이 높아진다고 함
o 분석의 대상은 「커뮤니케이션의 본질적인 내용이 아닌」정보로 하고 있음
- 구체적으로는 IP주소나 송신 일시 등 부속 정보(메타 데이터)가 중심이고, 메일의 내용이나 건명, IP전화의 통화 내용 등 본질적인 내용은 분석하지 않음
o 수집된 정보는 인간이 관여하지 않는 자동적인 방법으로 선별해 분석하고, 분석 대상 이외의 정보는「즉시 소거한다」라고 함
- 다만, 자동적인 방법의 구체적인 내용은 법안 개요에서 밝히고 있지 않음
o 통신 비밀을 배려한 제도에서도 운용면에서의 우려는 남는다고 아사히 신문은 지적함
- 법안은 정부의 운용 상황을 감시할 독립기관 신설을 포함시키고 있음. 독립기관은 국가행정조직법 3조에 근거한 조직으로 원자력규제위원회나 공정거래위원회와 마찬가지로 소관 장관의 지휘 감독을 받지 않고 정부에 권고할 권한을 갖도록 하는 방향임
- 독립 기관의 체제 및 감시 수법 등의 상세내용은 현시점에서 미정, 정부의 수집과 분석 상황이 국민에게 어디까지 공표될지도 확실치 않음
o 법안에서는 사이버 공격의 징조를 파악했을 경우에는 경찰이나 자위대가 공격원의 서버에 침입해 공격에 사용되는 프로그램을 정지하는 등 무해화하는 것도 가능하게 하고 있음
- 침입·무해화 시에는 독립기관의 사전 승인을 얻는 것을 원칙으로 하되, 승인을 얻을 틈이 없는 경우에는 사후 통지도 된다는 예외 규정도 포함함
- 예외 규정이 남용돼 공격과 무관한 서버 등에 경찰이나 자위대가 침입할 우려가 있다는 지적도 있음
< ACD 법안 주요 내용 > 【민관 연계 강화】전기, 철도, 통신 등 주요 인프라 사업자에게 사이버 공격을 받았을 경우 보고 의무화, 피해 방지로 이어지는 정보를 공유하는 협의회 설치 【통신정보의 이용】국가가 평시부터 통신 감시 및 사이버 공격 징후 분석, 적절하게 운용되고 있는지 체크하는 독립기관 설치, 정보의 부정 이용 및 누설에 벌칙 【침입·무해화 조치】경찰·자위대가 독립기관 승인 받아 실시, 총리가 자위대에 '통신 방호조치' 명령도 가능하도록 함 【기타】총리를 수장으로 전 각료가 참여하는 회의체 설치, 차관급 내각 사이버관 신설 |
Copyright 2016 by GOVERNORS ASSOCIATION OF KOREA all rights reserved