국가 사이버안보 기본법 제정(안) 입법예고

⊙국가정보원공고제2016-3호

 

국가 사이버안보 기본법안을 제정함에 있어 국민에게 미리 알려 의견을 듣고자 그 제정 취지와 주요내용을 행정절차법 제41조의 규정에 따라 다음과 같이 공고합니다.

2016년 9월 1일

국가정보원장

 

 

 

국가 사이버안보 기본법 제정(안) 입법예고

 

 

 

1. 제정이유

 

 

우리나라의 사이버공간을 대상으로 한 북한의 사이버공격은 막대한 경제적 피해와 사회 혼란을 유발하고 있음.

 

특히, 국가ㆍ공공기관은 물론 농협(’11), 금융ㆍ방송ㆍ신문사(’13), 서울메트로ㆍ한수원(’14.12), 스마트폰(’16) 등 상대적으로 보안이 취약한 민간의 정보통신망을 대상으로 자행되는 북한의 사이버공격이 크게 증가하고 있으나, 우리의 국가적 대응활동은 공공ㆍ민간 부문이 제각각 분리, 독립적으로 대응하고 있어 광범위한 사이버공격 위협에 효율적 대처가 불가한 실정임.

 

공공 부문은 대통령훈령인「국가사이버안전관리규정」에 근거하고 있어 행정기관 이외 입법ㆍ사법기관은 적용범위에서 제외되어 있고, 민간 부문은 사이버공격 예방 및 대응을 위한 법률 미흡으로 사이버공격 징후를 실시간 탐지ㆍ차단하거나 신속한 사고 대응에 한계가 있음. 비록 정보통신기반 보호법ㆍ산업기술의 유출방지 및 보호에 관한 법률ㆍ방위산업기술 보호법 등 유관법률이 산재해 있으나 법률마다 주관기관과 보호 방법ㆍ절차가 달라 대규모 공격 발생시 신속하고 일관된 대응이 곤란한 실정임.

 

따라서 정부와 민간이 함께 협력하여 국가차원에서 체계적이고 일원화된 사이버공격 예방ㆍ대응 업무를 수행하기 위해서는 사이버안보에 관한 기본법 제정이 필요함.

 

 

 

2. 주요내용

 

 

가. 책임기관 (안 제2조, 제9조)

 

○ 국가적으로 중요한 사이버공간을 운영하고 있는 아래 기관들을 책임기관으로 지정하여 이 법의 규정에 따라 보호함

 

1)국회ㆍ법원ㆍ헌법재판소ㆍ중앙선거관리위원회의 행정사무를 처리하는 기관 및 그 소속 기관, 중앙행정기관 및 그 소속 기관, 특별시, 광역시, 특별자치시, 도, 특별자치도와 시ㆍ군ㆍ구 및 그 소속 기관, 시ㆍ도 교육청과 교육지원청 및 그 소속기관

 

2)「국군조직법」에 따른 합동참모본부, 각 군 및 국방부 직할 부대ㆍ기관

 

3)「공공기관의 운영에 관한 법률」에 따른 공공기관과「지방공기업법」에 따른 지방공사 및 지방공단

 

4)「정보통신기반 보호법」제5조에 따른 주요정보통신기반시설을 관리하는 기관

 

5)「산업기술의 유출방지 및 보호에 관한 법률」제9조에 따른 국가핵심기술을 보유한 기업체나 연구기관

 

6)「방위사업법」제3조에 따른 방위산업체 및 전문연구기관

 

7)「방위산업기술 보호법」제7조에 따른 방위산업기술 보유기관

 

8) 기타 국가사이버안보위원회의 의결을 거쳐 “책임기관”으로 지정한 기관

 

 

나. 지원기관 (안 제2조, 제16조 및 제17조)

 

○ 책임기관이 이 법에 따라 소관 사이버공간을 보호하는 데 필요한 기술적 지원을 위해 아래 기관들을 지원기관으로 지정함

 

1)「과학기술분야 정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」제8조에 따른 한국전자통신연구원의 국가보안기술 연구ㆍ개발을 전담하는 부설연구소

 

2)「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제52조에 따른 한국인터넷진흥원

 

3)「전자정부법」제72조에 따른 한국지역정보개발원

 

4)「한국교육학술정보원법」에 따른 한국교육학술정보원

 

5)「한국재정정보원법」에 따른 한국재정정보원

 

6)「전자금융거래법」제21조의6 제1항 제4호에 따라 금융위원회가 지정한 기관

 

7)「산업기술의 유출 방지 및 보호에 관한 법률」제16조에 따른 산업기술보호협회

 

8) 법안 제16조에 따라 미래창조과학부장관이 지정하는 사이버안보 전문업체

 

9) 기타 국가사이버안보위원회의 의결을 거쳐 “지원기관”으로 지정한 기관

 

 

다. 국가사이버안보위원회 (안 제5조 및 제6조)

 

1) 사이버안보와 관련한 주요 전략ㆍ정책을 심의하기 위해 대통령 소속하에 ‘국가사이버안보위원회’를 둠

 

2) 위원회의 위원장은 국가안보실장이 되고 위원은 관계 중앙행정기관 등의 차관급 공무원과 위원장이 위촉하는 자가 됨

 

3) 위원회의 운영을 지원하기 위해 국가안보실장과 국가정보원장이 공동으로 운영하는 ‘국가사이버안보실무위원회’를 둠

 

 

라. 사이버안보 기본계획 및 시행계획의 수립 (안 제7조)

 

1) 국가정보원장은 사이버안보 업무를 효율적이고 체계적으로 추진하기 위하여 매 3년마다 사이버안보 기본계획을 수립함

 

2) 중앙행정기관, 국회ㆍ법원ㆍ헌법재판소ㆍ중앙선거관리위원회의 행정사무를 처리하는 기관, 시ㆍ도 및 시ㆍ도교육청(이하 “상급 책임기관”)은 기본계획에 따라 소관 분야의 시행계획을 수립ㆍ시행함

 

 

마. 사이버안보 실태의 평가 (안 제8조)

 

1) 국가정보원장은 국가ㆍ공공분야 책임기관을 대상으로 사이버안보 활동 및 사이버안보 기반조성 등에 관한 실태를 평가할 수 있음

 

2) 국가정보원장은 상기 실태평가의 효율적 수행과 실태평가에 관한 연구 또는 자문을 위하여 합동평가단을 구성ㆍ운영할 수 있음

 

 

바. 사이버공격의 탐지 및 대응 (안 제10조)

 

○ 책임기관은 자체 보안관제센터를 구축하거나 다른 기관의 보안 관제센터에 위탁하는 등 사이버공격을 탐지ㆍ분석ㆍ대응할 수 있는 체계를 구축하여야 함

 

 

사. 사이버위협정보의 공유 (안 제11조)

 

1) 책임기관 간의 사이버위협정보 공유를 위하여 국무조정실장 소속으로 사이버위협정보공유센터를 둠

 

2) 책임기관은 필요하다고 인정하는 경우 소관 사이버위협정보를 공유센터에게 제공할 수 있으며, 공유센터는 책임기관으로부터 제공받은 사이버위협정보를 다른 책임기관에게 제공하여야 함

 

3) 공유센터의 장은 책임기관 및 민간의 전문가 등이 참여하는 협의회를 구성하여 사이버위협정보의 공유 과정에서 발생할 수 있는 권리침해를 방지하기 위한 관리적ㆍ물리적ㆍ기술적 대책을 수립ㆍ시행하여야 함

 

 

아. 사이버공격 사고의 신고 및 조사 (안 제12조)

 

1) 책임기관은 사이버공격으로 인한 사고 발생시 상급 책임기관에 신고하여야 하고 국가안보를 위협하는 중대한 사고의 경우에는 국가정보원에도 신고하여 조사토록 하여야 함

 

2) 국가정보원장이 민간 영역의 책임기관의 국가안보를 위협하는 사이버공격 사고조사를 실시하는 경우에는 관계 중앙행정기관, 수사기관 및 지원기관 등으로 구성된 합동조사팀을 운영하여야 함

 

3) 상급 책임기관 및 국가정보원은 사고조사를 수행하는 과정에서 사이버공격과 관련된 악성프로그램이 포함된 컴퓨터, 웹사이트 또는 소프트웨어 등을 발견한 경우에는 그 관리자에게 관련 악성프로그램의 제공을 요청하거나 백신프로그램의 제공 등을 통하여 악성프로그램 등의 삭제 또는 차단을 요청할 수 있음

 

 

자. 대응훈련, 경보발령 및 대책본부 운영 (안 제13조부터 제15조)

 

1) 정부는 사이버위기에 체계적이고 효율적으로 대응하기 위하여 사이버위기 대응훈련을 실시하고 단계별 사이버위기 경보를 발령함

 

2) 경계단계 이상의 사이버 위기경보가 발령되거나 위원장이 필요하다고 판단하는 경우 상급 책임기관 또는 국가정보원은 국가안보실과 협의하여 사이버위기대책본부를 구성ㆍ운영할 수 있음

 

 

차. 사이버안보 기반 조성 (안 제18조부터 제21조)

 

○ 정부는 사이버안보 기반 조성을 위하여 연구개발, 산업육성, 인력양성, 교육홍보 및 국제협력 등의 시책을 적극 추진함

 

 

카. 포상금의 지급 및 벌칙ㆍ과태료의 부과 (안 제23조부터 제26조)

 

○ 정부는 다음 각 호에 대하여 예산의 범위 내에서 포상금을 지급할 수 있음

 

1) 사이버공격 기도에 관한 정보를 제공한 자

 

2) 사이버공격을 가한 자를 신고한 자

 

3) 사이버공격의 탐지 및 대응ㆍ복구에 공이 많은 자

 

4) 사이버공격의 예방 및 탐지ㆍ대응에 필요한 신기술을 개발한 자

 

5) 사이버위협정보 제공에 공이 많은 자

 

○ 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처함

 

1) 사이버위협정보를 사이버안보에 필요한 업무 이외에 영리 또는 부정한 목적으로 사용ㆍ관리한 자

 

2) 사고조사를 방해할 목적으로 사이버공격과 관련된 자료를 삭제ㆍ훼손ㆍ변조한 자

 

3) 직무상 알게 된 비밀을 타인에게 누설하거나 직무상 목적 외에 이용한 자

 

○ 사이버공격 사고를 신고하지 아니한 자는 1천만원 이하 과태료에 처함

 

 

타. 국방분야에 대한 특례 (안 제27조)

 

○ 국방부 본부를 제외한 합동참모본부, 각 군 및 국방부 직할 부대·기관은 軍특수성을 감안하여 실태평가, 사고조사, 경보발령, 국제협력 업무를 국방부장관이 위임받아 수행