5G 환경에 적절한 사이버보안 법제를 마련해야 한다는 지적이 나왔다.
스마트홈, 자율주행차, 스마트팩토리 등 인터넷에 접속되는 기기가 폭넓게 보급되는 것은 해커의 공격에 방어해야 할 범위가 넓어진다는 것으로 이해할 수 있다.
정보보호 정책과 제도 관련 연구자들은 이런 상황에 맞는 세심한 접근이 필요하다고 봤다. 구체적으론 이전보다 증가하는 사물인터넷(IoT) 기기 사용과, 이와 비례해 증가하는 보안 취약점 정보에 대응하는 법안 도입이 필요하다는 주장이다.
14일 국회에서 열린 ICT 법제 이슈와 대응 세미나에 발표자로 참석한 박영우 한국인터넷진흥원(KISA) 연구위원, 권헌영 고려대학교 정보보호대학원 교수는 5G 시대에 필요한 사이버보안 대응 체계에 대해 발표했다.
■"IoT 기기 관리 법제 마련해야"
박영우 연구위원은 5G 환경에서의 사이버보안 법제에 필요한 항목을 살펴보기 위해 해외 법제 현황을 비교 분석했다.
미국의 경우 IoT 기기만을 대상으로 하는 연방 법률은 없다. 안전하다고 홍보한 IoT 기기에 대해 보안 허점이 존재하는 것으로 드러났을 때 시장 불공정 행위를 규제하는 연방거래위원회법이 적용될 수는 있다.
다만 미국 캘리포니아주에서는 IoT 기기에 대해 '합리적인 보안 기능'을 갖추도록 하는 법안을 따로 두고 내년 1월부터 시행할 예정이다. 합리적인 보안 기능인지 판단하는 것은 제조업자들의 몫으로 돌리고 있다.
유럽연합(EU)은 지난 2016년부터 전력망, 교통망 등 주요 정보통신기반시설 관련 산업의 사이버 보안 강화를 요구하는 '네트워크·정보 보안(NIS) 지침'을 시행하고 있다.
이어 지난 7월 '사이버보안법(cybersecurity act)'을 도입했다. 사이버보안법에서는 유럽 사이버보안 기관 'ENISA'의 권한을 강화하고, 임시 기관에서 상설 기관으로 변경했다. 인원과 예산도 각각 84명에서 125명으로, 1천100만 유로(약 141억원)에서 2천300만 유로(약 296억원)로 늘렸다.
이와 함께 특정 범주의 ICT 제품, 프로세스, 서비스에 대한 맞춤형 인증 체계 마련을 위해 EU 사이버보안 인증 프레임 워크를 설정하는 내용도 담았다. 인증을 획득하면 EU에서 유효한 인증서를 획득하게 된다.
독일 연방정부는 2016년 도입한 IT보안법의 2.0 도입을 추진하고 있다. 이 법안에서는 기존 에너지, 정보기술과 통신, 운송 및 교통, 건강, 물, 식량, 금융·보험 외 '폐기물 처리' 항목을 주요 기반 시설 범위에 넣는다. 이는 화학약품, 원자력 발전 폐기물 등 위험 물질에 대한 것으로, 폐기물 처리에 IT 인프라가 도입되는 추세를 반영한 것이다.
추가로 연방정보기술보안청(BSI) 역할을 강화하고, IT 보안 취약점 신고를 의무화하는 내용도 포함하고 있다.
일본은 2016년 사이버시큐리티기본법을 제정하고, 사이버시큐리티전략본부 중심으로 부정 통신을 감시·조사하고 있다. 일본 법제의 특징은 정보통신연구기구(NICT)로 하여금 IoT 취약점 조사를 위한 기기 접근을 오는 2024년까지 허용하고 있는 것이다. IoT 취약성 대응 체제를 정비하는 차원이다.
박 연구위원은 "한국의 사이버보안 인증 체계는 정보보호 제품 위주로 돼 있는데, 향후 소비자들이 많은 기기를 5G 위에서 사용하게 되면 현행 인증제 수준에 그쳐서는 안 된다"며 "향후 IoT 관련 법제를 살펴볼 때 IoT의 범위가 스마트홈 외 스마트팩토리, 자율주행차 등으로 넓다는 점, IoT 기기 보안 관리를 어떻게 해나갈지를 고려해야 될 것"이라고 조언했다.
■"취약점 정보 ·수집·공유하는 법적 근거 필요"
권헌영 고려대 교수는 "보안 위협은 발생한 경우 회복이 어렵다는 점과 피해의 규모가 상당하다"며 "사전 예방 체계를 보다 강화하는 방법으로 변화해야 한다"고 말했다.
현행 정보통신망법은 취약점 정보 수집, 분석에 대한 구체적인 규정 부재 등의 한계가 존재해 보안 사고를 사전에 예방하기 어려운 상황이라는 지적이다.
해당 법 제47조에서는 이용자 정보보호에 필요한 기준을 정해 이용자에게 권고하고, 침해 사고 예방과 확산 방지를 위해 취약점 점검, 기술 지원 등의 필요한 조치를 할 수 있다고 돼 있다. 이와 함께 보안 취약점을 보완하는 프로그램 제작 시 KISA에 이를 알리고, 이용자에게는 제작 시점으로부터 1개월 내 2회 이상 업데이트를 안내하라고 규정하고 있다.
권헌영 교수는 여기서 더 나아가 취약점 정보 수집, 분석 조치 등에 대해 구체화된 내용을 보완할 필요가 있다고 봤다. 또 취약점 보완 프로그램에 대해서도 제작 이후 내용 외 제작 과정에 대한 규율을 보충해야 한다고 주장했다.
구체적으로 법적 근거 마련이 필요한 부분들을 언급했다.
먼저 취약점 정보 수집을 위한 창구와 조정자 역할을 수행하는 기관을 선정하고, 권한 근거 마련할 것을 제안했다.
취약점 공개 정책으로 기업의 적극적인 대응을 이끌어내기 위해 일정 부분 대응 조치를 의무화하는 방안도 언급했다.
관련기사
- '세계 첫 지하발전소' 서울복합화력에 IoT안전시스템 도입2019.11.15
- 올 3분기까지 IoT 사이버공격 33% ↑2019.11.15
- 'IoT 기기 취약점 일괄 점검' 시행될까2019.11.15
- 3분기 사이버 공격 주요 대상은 '웹사이트'2019.11.15
아울러 침해 사고 예방을 위한 취약점 정보와 보완 조치를 공표하고, 취약점 데이터베이스를 구축하는 동시에 취약점 신고 제도 운영을 위한 절차와 방식을 명확히 하기 위한 법제 준비를 촉구했다.
이와 함께 불법적인 취약점 블랙마켓 거래 유통 규제, 선의의 연구자를 보호하기 위한 구성 요건 해당성 배제, 위법성 조각 등 정당행위 요건도 필요하다고 봤다.