지능정보사회로의 진전은 모든 사람과 사물을 네트워크로 연결시키고 이는 필연적으로 정보통신망에 대한 공격으로부터 안전을 확보하기 위한 사이버안보의 필요성을 증대시키고 있다. 사이버안보는 이제 국가안보 차원의 이슈로서 정부의 핵심 아젠다가 되고 있다. 무엇보다도 중요한 것은 사이버안보 법제와 거버넌스(governance)를 정립하는 것이다.
세계 각국이 사이버안보를 국가안보와 국익추구 차원에서 통합적인 법제와 거버넌스를 확립해 나가고 있는 상황이지만, 한국은 아직 공공부문은 국가정보원, 민간은 과학기술정보통신부가 맡는 식으로 시스템이 이원화돼 있었다. 미국이 2015년 사이버안보법을 제정했고, 일본도 2014년 사이버시큐리티기본법을 제정한 것에 비하면 이미 많이 늦었다.
한국의 경우에도 미국 사이버안보법과 같이 공공과 민간을 아우르는 통합 기본법 체계를 확립할 필요가 있다. 현행 사이버안보 법체계는 관련된 법령도 다양할 뿐만 아니라 관련 규정도 여기저기 산재되어 있는 문제점을 갖고 있으며, 추진체계와 관련하여 통일적인 조직을 갖고 있지 않다. 정부와 민간이 함께 협력하여 국가차원에서 체계적이고 일원화된 사이버공격 예방・대응 업무를 수행하기 위해 통합법 제정을 고려해야 한다.
다음 관련 부처에 관리책임을 이전하는 분산형 사이버안보 관리체계를 구축을 검토하되, 다만, 통합적 의사결정을 위한 대통령을 의장으로 하는 국가사이버안보위원회나 위기 발생 시 대책본부 등 일부 사항에 대해서는 집중형 관리체계를 도입하는 것이 필요하다. 국무총리가 위원장인 정보통신기반보호위원회는 국가사이버안보위원회의 분과위원회로 둠으로써 거버넌스의 체계성과 효율성을 기할 수 있을 것이다. 또한 국회, 법원, 헌법재판소 등 공공기관의 범위에서 제외된 헌법기관의 경우에도 국가사이버안보위원회의 구성원이 되도록 함으로써, 사이버안보의 사각지대를 없앨 필요가 있다.
현재로서는 민간과 공공을 통합한 통합법제를 구축하되, 거버넌스에 대해서는 국가안전보장회의, 국가사이버안보위원회가 실질적인 컨트롤타워의 역할을 하면서, 국가 사이버보안 정책의 효율적 추진을 위해 부문별 정책주관기관을 명확히 할 필요는 있다. 국정원이 공공부문, 과기정통부가 민간부문, 정보통신기반시설은 국정원과 과기정통부 공동의 주관기관이 되는 것이 타당할 것이다.
The progress toward an intelligent information society is connecting all people and things with a network, which inevitably increases the need for cybersecurity to secure safety from attacks on information and communication networks. Cybersecurity is now an issue at the national security level and has become a key agenda of the government. The most important thing is to establish cybersecurity legislation and governance.
Although countries around the world are establishing an integrated legal system and governance in terms of national security and national interest, in Korea, the public sector is still in charge of the National Intelligence Service and the private sector is in charge of the Ministry of Science and ICT. Compared to the United States enacting the Cyber Security Act in 2015 and Japan enacting the Cyber Security Framework Act in 2014, Korea is already too late.
In the case of Korea, too, it is necessary to establish an integrated basic law system that encompasses the public and private sectors, such as the US Cyber Security Act and Japan's Cyber Security Framework Act. The current cybersecurity legal system has problems in that related laws and regulations are diverse as well as related regulations are scattered here and there, and there is no unified organization in relation to the promotion system.
The government and the private sector should consider enacting an integrated law in order to perform systematic and unified cyber attack prevention and response tasks at the national level in cooperation.
Establishment of a distributed cybersecurity management system that transfers management responsibilities to relevant ministries should be considered. However, for crisis situations or integrated decision-making, it is necessary to introduce a centralized management system such as the National Cyber Security Committee chaired by the president.
By having the Information and Communication Infrastructure Protection Committee chaired by the Prime Minister as a subcommittee of the National Cyber Security Committee, systemicity and efficiency of governance can be ensured. Also, constitutional institutions excluded from the scope of public institutions such as the National Assembly, the courts, and the Constitutional Court should become members of the National Cyber Security Committee, thereby eliminating the blind spot in cyber security.
For now, an integrated legal system that integrates the private sector and the public should be established, but in terms of governance, the National Security Council and the National Cyber Security Committee should play the role of a practical control tower. However, for the efficient implementation of national cybersecurity policies, it is necessary to clarify the policy authority for each sector. It would be reasonable for the National Intelligence Service to be the public sector, the Ministry of Science and ICT to the private sector, and the Information and Communication Infrastructure to be jointly administered by the National Intelligence Service and the Ministry of Science and ICT.