한국인터넷진흥원

요약

1. 제목
융합 ICT 환경에서의 보안취약점 대응 강화를 위한 정보보호법제 개선 방안 연구

2. 연구개발의 목적 및 중요성
본 연구는 IoT 기기 및 ICT 서비스 등 융합 환경의 보안취약점에 대응 하기 위해 국내외 유관 법제도 현황을 조사, 분석하여 국내 정보보호법제의 개선 방향을 도출하고자 한다. 보안취약점에 의한 사이버 위협 대응을 위해서는 사전 조사 및 점검 등 예방, 취약점 정보의 수집을 위한 전문 조직 활성화, 취약점 정보의 공개, 취약점 신고포상제의 운영, 민간 참여 장려 등 다양한 방안을 고려할 수 있으며 사회 전반의 관점에서는 취약점 정보가 불법적으로 거래, 유통되지 않도록 관리하고 선의의 대응기관들은 취약점 정보를 공개, 공유하여 체계적으로 대응할 수 있는 문화와 제도가 요구되고 있다. 이러한 관점에서 향후 국가사회의 보안성
강화를 위해 사물인터넷과 융합형 기술·산업의 특성을 반영한 합리적인 취약점 공개, 조사, 분석, 대응, 공유 등 일련의 취약점 관리제도를 수립할 수 있어야 한다.

3. 연구개발의 내용 및 범위
본 연구는 ICT 융합 현상에 대비하여 국내 정보보호법제의 개선방안을 제시하고자 보안취약점 대응방식의 변화 필요성을 제기하고 현행 대응방식을 이론적으로 살펴봄과 함께 국내외 유관 정책 및 제도 사례를 조사하여 구체적인 개선방안을 제시할 수 있도록 하였다. 이를 위해 먼저 현재 국내외 해킹 등 사이버위협 사례 및 보안업체 등의 전망 수치와 동향을 조사하고 국내외 보안취약점 관련 실태 현황 조사 및 각종 연구결과를 분석하여 보안취약점 관련 법적 쟁점을 도출하였다. 이어서 국내외 보안취약점 대응 관련 제도 및 정책 사례와 논의 현황 등을 조사하였다. 
특히 해외의 경우 국내와 달리 유연한 취약점 대응제도를 도입하고 있는 점을 인식하고 미국, 캐나다, 유럽 연합, 영국, 네덜란드, 독일, 프랑스, 일본, 중국, 싱가포르의 총 10개국을 대상으로 조사를 진행하였다. 조사는 구체적으로 취약점 개선 및 보완 조치 관련 사례, 취약점 정보의 수집 방안에 대한 이해와 제도화 필요성, 다양한 실효성 확보수단으로서 취약점 공개정책의 제도화, 취약점 점검의 위법성 여부, 정부 차원의 취약점 점검행위 예외 및 면책 규정, 정부 차원의 취약점 점검 범위를 기준으로 잡아 국가적 차원에서의 취약점 대응을 위한 실질적 관리가 이루어지고 있는지 살펴보았다. 또한 선의의 연구자 등의 취약점 점검, 쇼단 등과 유사한 형태의 취약점 점검이 가능한지 여부, 기타 정부 시스템, 정부사용 제품, 주요기반시설, 민간 제품 및 서비스, 그 외 특정 분야 등을 대상으로 취약점 점검을 하고 있는지 여부 및 근거와 관련 논의가 있는지에 관한 조사를 진행하였다. 이처럼 조사, 수집 및 점검 제도에서 나아가 취약점 대응의 일환으로 취약점 정보를 거래하거나 유통하는 행위를 규제하는 사례는 없는지도 함께 살피고자 하였다.
이러한 이론적 접근 및 국내외 제도의 비교분석을 통해 보안취약점 관리정책의 개선 방향을 도출하고 국내에 도입 가능한 제도의 마련 방안을 제안하기 위해 본 연구는 취약점 점검, 해킹 등 기술 전문가와 관련 사항을 이해하고 법적으로 해석할 수 있는 법학 전문가, 실제 실무 경험을 가진 현장 전문가 등으로 연구반을 구성하여 실용적인 결론을 마련하고자 하였다.

4. 연구결과
보안취약점 대응제도는 크게 취약점 신고 및 접수제도의 공식화, 취약점 점검 및 실효성의 확보, 취약점 정보의 체계적 관리 및 공유로 구분하여 제안하였다. 이에 따라 정부와 기업들은 취약점을 상시 제보받을 수 있도록 상세한 신고 절차를 마련할 수 있어야 하며 이를 법률로 강제하기 어려우므로 민간이 자율적으로 시행할 수 있도록 정책을 장려할 수 있어야 한다. 또한 위협이 존재하는 경우에는 취약점을 점검하여 문제가 없는지 확인하고, 문제가 있는 경우 이를 시정할 수 있도록 해야 하며 그 실효성을 확보하기 위해 강제할 수 있는 시정명령, 공표, 과태료 등 행정적 수단들을 도입하여야 한다. 아울러 취약점 신고포상제와 취약점 공개
정책을 활성화할 경우 보안 생태계 전반의 선순환 구조를 확립할 수 있다. 나아가 이렇게 확보된 다양한 취약점 정보들을 체계적으로 관리, 분석하기 위해 취약점 데이터베이스의 구축도 필요할 것이다.

5. 활용에 대한 건의
취약점 대응정책의 유형 및 해외 사례에 관한 연구결과는 관련 정책을 시행하기 위한 토대 자료로 기능할 수 있다. 또한 구체적인 법안 개선안을 제시함으로써 필요한 조문을 구성하여 실질적인 법령 개선작업에 활용할 수 있을 것이다. 추후에는 국제적 협력체계도 고려하여 취약점의 실시간 공유 및 수집, 취약점 관리체계의 표준, 적정 시장가격의 형성 등
도 고려해 볼 수 있다.

6. 기대효과
취약점 신고제도를 활성화하고 취약점 공개정책과 신고포상제를 일반화하는 경우 ICT 제품 및 서비스 등 융합 환경의 보안성을 향상할 수 있고 생태계 전반의 선순환 구조를 확립할 수 있을 것이다. 나아가 화이트 해커 등에 대한 사회의 인식을 혁신하고 함께 대응할 수 있는 구조를 만들어 근본적인 해결책으로 기능할 수 있다.

목차

제 1 장 서 론 ······················································································· 1
제 1 절 연구의 필요성과 목표 ······················································ 1
1. 연구의 배경 ··············································································· 1
2. 연구의 목표 ··············································································· 8
제 2 절 연구의 내용과 범위 ·························································· 8
1. 연구의 주요 내용 ····································································· 8
2. 연구의 범위 ··············································································· 9
제 2 장 융합시대의 도래와 보안위협의 현상 및 쟁점 12
제 1 절 ICT 융합의 고도화와 보안 관점에서 초연결시대의 이해 12
1. ICT 융합시대의 도래와 특징 ··············································· 12
2. 초연결시대 보안 환경의 변화 ············································· 15
제 2 절 보안취약점 일반화에 따른 사이버위협 증가 ············ 18
1. ICT 융합 환경의 사이버위협 동향 및 전망 ····················· 18
2. 보안취약점 관련 사이버위협 사고 및 연구 사례 ··········· 28
제 3 절 보안취약점 대응 관련 국가사회적 이슈와 법적 쟁점 36
1. 보안취약점 대응방식에 관한 논의 ····································· 36
2. 보안취약점 대응방식별 법적 쟁점 ····································· 50
제 3 장 보안취약점 대응 관련 국내외 법제도 현황 비교분석 ·············································································································· 59
제 1 절 국내 보안취약점 대응 관련 법제와 한계 ························· 59
1. 소비자보호 법리의 준용 ·······················································226
2. 정보통신망법의 개정방안과 해설 ·······································227
3. 취약점 공개정책의 설계 ·······················································237
4. 취약점 대응환경 혁신을 위한 전문기관의 역할 강화 ···240
제 3 절 보안취약점 대응정책의 중장기 추진 전략 ·············· 242
1. 보안연구자 및 화이트해커에 관한 인식 개선 ·················242
2. 취약점 시장의 규제 필요성과 전문기관의 역할 강화 ···244
3. 취약점 데이터베이스의 실용화 및 관리체계 정립 ·········247
4. 중소기업의 보안성 강화를 위한 지원역량 확보 ·············249
제 5 장 결 론 ··················································································· 250
참고문헌 252