[기고] 개정된 정보통신망법, 융합보안 강화 첫 걸음

지난 5월말 정보통신망법 개정으로 국내 사물인터넷 관련 제품과 소프트웨어의 수요가 확대되고 수출 길도 확대될 전망이다.

이번 법 개정으로 ICT 융합 환경에서 정보보호 강화를 위해 사물인터넷(IoT) 기기 등에 대한 보안인증제가 도입되고, 정보보호 정책의 범 부처 확산을 위한 기반이 마련되는 등 안전한 ICT 융합 서비스 이용 환경 제공과 이를 통한 ICT 융합 산업의 경쟁력 강화를 위한 획기적인 계기가 마련되었다는 것이 학계와 업계의 평가이다.

그간 5G 상용화, ICT 융합 등으로 초연결이 가속화되면서 IP카메라, 지능형CCTV, 스마트홈, 자율주행차 등 ICT 융합 제품 및 서비스에 대한 보안 문제가 사회적 이슈로 등장하며 국민적 우려가 컸다.

그러나 현행 정보통신망법은 정보통신서비스 제공자만을 정보보호 규율대상으로 하는 탓에 융합 제품·기기 제조자는 정보보호 사각지대에 놓여 있었다. ICT 융합 산업의 유기적인 보안정책 추진을 위한 부처 간 협력과 효율적인 사고 대응을 위한 법적 근거가 미비하다는 비판도 받아 왔다.

세계 각국은 자국민의 생명·신체 및 재산의 안전과 산업 경쟁력 강화를 위해 경쟁적으로 ICT 융합 보안 강화를 위한 법제화를 추진 중이다. 미국 캘리포니아주는 올 초 IoT보안법(SB-327) 제정을 통해 IoT기기 등에 합당한 보안 기능 탑재를 요구하고 있다. 영국은 소비자 IoT 제품의 보안 요구 사항을 의무화함으로써 안전하지 않은 IoT기기로부터 소비자의 사생활과 온라인 보안을 강화하도록 법제화를 추진 중이다. 유럽 연합은 사이버보안법 제정을 통해 ICT 제품 및 서비스, ICT 프로세스 등에 대한 사이버보안 인증 프레임워크 도입을 하고 있다.

이번 통과된 개정 정보통신망법은 ▲정보보호 규율대상을 정보통신망 연결기기 등으로 확대 ▲정보보호 지침의 제정·권고 ▲개별법 상의 시험·인증 기준에 정보보호 지침 반영 근거 마련 ▲융합보안 관련 연구·실증사업 수행 지원 ▲정보통신망 연결기기 등 관련 침해사고 원인 분석 및 피해 확산 방지를 위한 부처 간 협력 ▲IoT기기 등 보안인증제 도입 등을 담고 있다.

학계는 이를 정보보호 정책의 큰 패러다임 변화로 받아들이고 있다. 즉 정보보호 대상이 서비스 제공자 중심에서 IoT기기 등 제조자·수입자로 확대되고, 정보보호 정책이 과학기술정보통신부 중심에서 범 부처로 확대됨을 의미한다.

정보보호 지침의 규율 대상에 정보통신망에 연결되어 정보를 송·수신할 수 있는 기기·설비·장비 등을 제조·수입하는 자가 추가되어 IP카메라, 지능형CCTV, 스마트가전, 스마트의료기기, 자율주행차 등의 제조·수입자도 규율대상으로 확대된다. 이에 따라 추후 정보보호 지침에 정보통신망 연결기기 등의 안전한 이용을 위한 설계, 제작, 유통, 유지보수 등의 기준이 마련되면 ICT 융합 제품에 대한 제조자 및 수입자의 자발적인 보안 내재화 노력이 촉진될 것으로 전망된다.

또한, IoT기기 등 보안인증제 도입으로 IoT기기 등에 대한 신뢰가 크게 확대될 것이다. 국내 IoT기기 등의 제조자들은 보안 위협에 대한 소비자들의 불안과 신뢰 부족으로 시장 확대 및 설득에 어려움을 겪어 왔다. 이에 따라 한국인터넷진흥원이 2017년부터 IoT기기 등에 대한 보안인증사업을 실시해 왔다. 그러나 업계에서는 법적으로 보장된 보다 확실한 보안인증제의 도입을 희망해 왔다. 보안인증제가 시행되면 보안 성능이 우수한 제품들은 마케팅 활동에서 보다 우월한 입장에 서게 될 것이다. 그렇게 되면 국내 시장도 값싼 수입산 제품들 간 가격 경쟁에서 보안 성능 경쟁으로 바뀌게 되고 소비자의 선택 폭도 확대될 것이다.