사이버안보 위협 대응체계의 법적 정비 방안 — 일본의 「사이버 대처능력 강화법」에 대한 비교법적 검토를 중심으로 —
Legal Reform Measures for the Cyber Security Threat Response System — Focusing on a Comparative Legal Review of Japan’s “Cyber Response Capability Enhancement Act” —
김정숙(독립연구자)
43권 1호, 137~163쪽
초록
현대 사회는 정보통신기술(ICT)의 비약적 발달로 사이버공간이 에너지・교통・금융 등 국가 핵심 기능을 지탱하는 필수 인프라로 전환되었다. 그러나 최근 발생한 해킹 등 침해 사고 사례에서 확인되듯, 사이버 위협은 단일 서비스 피해를 넘어 사회 전체의 연쇄적 마비를 초래하는 시스템 위험(Systemic Risk)의 성격을 지닌다. 이처럼 위험의 불확실성과 비대칭성이 심화되고 있음에도 불구하고, 현행 우리 법제는 여전히 영역별로 분절된 규율과 사후 제재 중심의 체계에 머물러 있어 국가적 위험 관리 기반이 미흡한 실정이다. 따라서 본 연구는 행정법적 관점에서 규제법의 역할을 전통적인 행위 통제에서 규제 체계의 설정으로 전환해야 한다는 문제의식 아래, 한국 사이버안보 대응체계의 법적 정비 방안을 도출하는 것을 목적으로 한다. 이를 위해 일본의 사이버안보 관련 최신 입법례를 비교법적으로 검토하여 구체적인 제도 설계 방향을 제시하였다. 향후 사이버안보 위협에 대응하는 법적 체계는 다음과 같은 네 가지 핵심 내용을 포함해야 한다. 첫째, 공공과 민간으로 이원화된 현행 대응 체계를 통합하고 전략적 조정을 수행할 국가 차원의 컨트롤타워를 법제화해야 한다. 둘째, 사이버 공간의 민간 의존성을 고려하여 민・관・군 및 다양한 이해관계자가 참여하고 정보를 공유하는 협력적 거버넌스를 구축해야 한다. 셋째, 억제 중심의 프레임을 넘어 위험의 중대성에 따라 규제 수준을 차등화하는 위험기반 규제 제도를 도입하고 운영 주체의 권한과 책임을 명확히 해야 한다. 넷째, 능동적 방어 등 권한 강화에 따른 오남용을 방지하기 위해 독립적 감독 기구를 설치하고 절차적 정당성을 확보하는 등 기본권 안전장치를 내재화해야 한다. 결론적으로 사이버안보 위협에 대한 대응을 위하여 사이버 위험 관리를 위한 행정 작용이 합법적이고 정당하게 작동하도록 국가 시스템을 구축할 필요가 있다.
Abstract
In modern society, the rapid development of Information and Communication Technology (ICT) has transformed cyberspace into an essential infrastructure supporting core national functions such as energy, transportation, and finance. However, as evidenced by recent hacking incidents, cyber threats take on the nature of systemic risks that go beyond damage to a single service to cause the chain reaction of paralysis across society. Despite the deepening uncertainty and asymmetry of these risks, our current legal framework remains fragmented by sector and centered on ex-post sanctions, resulting in an inadequate foundation for national risk management. Therefore, this study aims to derive legal reform measures for Korea's cyber security response system, based on the premise that the role of regulatory law must shift from traditional behavioral control to the establishment of a regulatory framework from an administrative law perspective. To this end, the study presents specific institutional design directions by conducting a comparative legal review of Japan's latest cyber security legislation. The legal framework for responding to future cyber security threats must include the following four key elements. First, a national-level control tower must be legislated to integrate the current dual response system between the public and private sectors and to carry out strategic coordination. Second, considering the dependence of the private sector on cyberspace, a collaborative governance structure involving the public, private, and military sectors, as well as various stakeholders, must be established to share information. Third, moving beyond a deterrence-centered framework, a risk-based regulatory system that differentiates regulatory levels according to the severity of risks must be introduced, and the authority and responsibility of operating entities must be clearly defined. Fourth, to prevent misuse resulting from enhanced authority, such as active defense, safeguards for fundamental rights must be internalized, including the establishment of an independent supervisory body and ensuring procedural legitimacy. In conclusion, to respond to cyber security threats, it is necessary to establish a national system that ensures administrative actions for cyber risk management operate in a lawful and legitimate manner.
- 발행기관:
- 법학연구소
- 분류:
- 법학