외교부

 2006.10.2 및 10.4 헝가리 부다페스트에서 개최된 정보통신위원회 산하 정보보호작업반 회의 주요결과는 아래와 같음.

1. 핵심 요지

 가. 주요 회의결과

•  국경간 프라이버시법 집행 협력을 위한 향후 조치

- 개인정보의 국경간 유통이 증가함에 따라 프라이버시 보호를 위한 국가간 협력 필요성에 부응하기 위한 향후 조치에 대해 논의

- 향후 조치로서 (i) 프라이버시법 집행 국제협력의 핵심요소와 그 한계, 효과적인 협력을 위해 필요한 사항 등을 담은 정책 틀(policy framework)의 개발과 (ii) 실질적 도구(practical tools)의 개발(예 : contact list 구축, 협조요청 공문 양식 마련, 국경간 프라이버시 관련 민원신청 표준양식 마련, 사례보고서(case reports) 발간 및 보급, 프라이버시법 집행 당국간 모델양해각서(model MOU) 개발 등)을 추진키로 함

• 정보시스템 및 네트워크 보안

        ① 주요 정보통신기반시설 보호정책(CIIP; critical information infrastructure protection policies)

    - 자발적으로 연구에 참여한 4개국(한국, 캐나다, 미국, 영국)의 사례에 대한  보고가 있었으며, 한국이 국무총리를 위원장으로 하는 정보통신기반보호위원회를 운영하는 등 정부의 역할과 책임에 관한 모범사례로 소개됨

    - 기존 자발적 참여국(volunteer countries) 4개국 이외에 타 국가도 기반  보호에 대한 관심이 증가함에 따라 호주, 포르투갈, 독일, 일본 4개국이 새로 자발적 참여의사를 밝힘

    - 분명한 국가적 전략과 정책, 일련의 보안표준과 지침 마련 및 집행책임기관 명확화, 위험관리전략, 국내 및 국제적 정보공유, 국제협력 강화 등이 중요한 요소로 제시됨

   

② 악성소프트웨어(Malware) 및 ID 도용

    - 2007년중 Malware에 대한 전반적인 내용(ID 도용 문제 포함)에 대해 연구를 해 나가기로 하고, APEC과의 협력도 추진키로 함

    - 사이버 공간에서의 안전을 위해서는 기술적인 해법뿐 아니라 사이버 공간 상의 여러 주체들(ISP, 전자상거래업체, 이용자 등)의 경제적 입장을 고려한 시장측면의 접근이 필요하다는데 인식을 같이함

• 전자인증 및 ID 관리

        ① 전자인증지침(guidance for e-authentification)

    - 디지털 환경하에서 전자상거래 및 전자정부를 촉진하는데 필수적인 요소인 신뢰 구축 및 ID 보호를 위해 전자인증 지침(guidance)을 마련

    - 동 지침은 (i) 인증방법의 사용 및 실행에 관한 지침을 제공하는 근본원칙(Foundation Principles)과, (ii) 모든 이용자, 그리고 인증서비스 및 제품의 설계, 개발, 보급에 관련된 자들에 대한 지침을 제공하는 운영원칙(Operational Principles)으로 구분

    - 동 지침은 회원국의 추가의견을 수렴하여 금년말까지 서면에 의한 문서공개 절차를 밟기로 함

 

        ② 디지털 ID 관리

    - 2007~2008년 정보보호작업반이 수행할 과제인 디지털 ID 관리(IDM ; Digital ID Management)와 관련, IDM 기술 및 정책적 이슈의 주요내용을 논의함 

    -  ‘07년 4월중(4.19～20일 또는 4.24～25일 예정) 노르웨이 트론트하임(Trondheim)에서 IDM을 주제로 워크샵을 개최키로 함 

    - 사무국에서는 2007~2008년 IDM 작업과제의 개발과 워크샵 조직을 위해 소규모 자발적 참여국 그룹(volunteer group, 6-8개국)을 구성할 것을 제안한 바, 우리 대표단은 동 그룹에 참여의사를 표명함

• RFID, Pervasive 센서 및 네트워크

- 전파식별(RFID ; Radio Frequency Identification) 관련 보안 및 프라이버시 관련 문제점(RFID 태그?리더를 통한 권한 없는 정보 습득?복제, RFID 수집 정보가 저장된 DB 보안, RFID가 Malware, 스파이웨어 등에 감염되는 문제 등)을 토의하고,

- 2007년중 1차적으로 RFID 관련 프라이버시 및 보안에 관한 보고서를, 2차적으로 Pervasive 센서 및 네트워크에 관련된 프라이버시 및 보안에 관한 보고서를 작성하기로 하였으며, 동 결과물은 2008년 개최예정인 OECD 정보통신장관회의에서 논의할 의제중 한 요소로 검토키로 함

• OECD 암호정책 지침(OECD Guidelines for Cryptography Policy)

- 지난 1997년 채택된 암호정책 지침은 매 5년마다 재검토(review)토록 되어 있는 바, 지난 2002년에 이어 두 번째로 2007년에 다시 개정 필요성을 검토하게 됨

- 이를 위해 동 지침 재검토를 위한 회원국 대상 설문서 문항을 논의하고, 2007년 3월까지 각 회원국의 의견을 종합하여 지침 개정 여부를 토의 하기로 함

• 보안 및 프라이버시 이행을 위한 통합 프레임워크 관련, BIAC 및 ISF(Information Security Forum)에서 추진중인 작업의 진행경과가 소개됨

- 동 프로젝트는 각국의 보안 및 프라이버시 관련 입법과 규제현황을 목록화하여 쉽게 이용할 수 있도록 DB를 만들어 제공하려는 것임  

- 향후 각 회원국은 BIAC이 종합한 자료의 정확성, 완전성 여부등을 검토하기로 함

• APEC 전기통신실무그룹(APEC TEL) 의장인 우리나라의 정인억 박사는 APEC-OECD간 협력 필요성을 강조하고, 뉴질랜드에서 개최되는 APEC TEL 회의에 OECD 회원국의 적극적인 참여를 당부함

 나. 관찰 및 평가

• 각국은 주요 정보통신기반시설 정책과 관련하여 기반보호에 대한 중요성을 인식하고 있으며,

- 특히, 기반보호의 우수사례로서 한국이 소개됨으로써, 한국의 기반보호 정책이 긍정적으로 평가되었고, 이에 대한 각국의 벤치마킹 등 관심이 증가할  것으로 예상되므로 향후 이 분야에서 보다 주도적인 역할을 수행할 필요가 있음

• 2007.4월 노르웨이에서 개최될 IDM(ID Management) 관련 워크샵에 관련 정책담당자 및 전문가를 참여시켜 디지털 환경하에서 그 중요성이 점증하고 있는 온라인상의 신뢰 구축방안 및 ID 관리 정책에 관한 국제적 논의과정에 적극 참여하고, 이 분야에 있어서 향후 국내정책 수립에 참고할 필요가 있음

2. 상세 논의내용

 가. 사무국 발표

• 사무국은 구두보고를 통해 작업반 통폐합 등 OECD 전체 작업반에 대한 재조정이 있을 예정이라는 점을 소개하고, 정보보호작업반의 경우 산출물의 질적 수준과 회원국의 평가에 있어 OECD 전체 작업반 중상위에 있다고 밝힘 

 나. '인터넷의 미래에 관한 장관회의‘에 대한 WPISP의 기여

• 사무국은 WPISP가 중점을 두어야 할 영역을 다음과 같이 소개하면서 수평적인 협력(Horizontal Cooperation)을 강조함

-  Malware 및 온라인 ID 도용

-  법집행 협력(Law Enforcement Cooperation)

-  RFID, 센서 및 네트워크

-  디지털 ID 관리(ID Management)

-  참여형 웹(Participatory Web)에서의 프라이버시

-  기타(모바일 상거래, 사용자 교육 등)

• 핀란드 등 일부 국가는 모바일 상거래의 프라이버시에 대한 영향을 강조함

 다. 프라이버시법 집행 협력을 위한 제안

• 국경간 프라이버시법 집행 협력을 촉진하기 위한 향후 조치에 대하여 논의하고, 정책 프레임워크(policy framework) 및 실질적 도구의 개발을 추진키로 함

- 국가간 법집행 협력을 위하여 회원국간 정치적 합의, OECD 권고안 등의 형태로 정책 프레임워크를 개발할 필요성에 공감함

- 국가간 협조를 위한 실질적 도구로서 contact list 구축, 협조요청 공문 양식 마련, 국경간 프라이버시 관련 민원신청 표준양식 마련, 사례 보고서(case reports) 발간 및 보급, 프라이버시법 집행당국간 모델양해각서(model MOU) 개발 등에 대해 논의함

• 국가별 개인정보보호 현황 설문결과 보고

-  현재 대부분의 OECD 국가가 관련 법제 및 법집행을 위한 전담기관을 두고 있음

     ※ 1980년에는 OECD 국가의 1/3 수준만 전담기관 보유

     ※ 국가별로 관련 기관의 성격(정부기관, 독립 감독기구 등) 및 기능(민원처리, 법률 규제 등) 등이 매우 다양하여 법집행 공조시 해당 국가에 미칠 영향에 대한 고려가 있어야  한다는 의견이 제기됨

 

-  국가간 상호 협력과 집행력 확보, 국가간 공통적인 법집행 우선순위 확인, 지속적인 정보 공유 등이 중요한 고려사항이라는 점이 지적됨

-  국가간 정보 이전 관련 사례는 많지 않으나 국가간 정보이전 관련한 협력은 증가하는 추세임

     ※ 예 : 호주-뉴질랜드, 스페인-미국 등은 국가간 정보이전 관련 양해각서(MOU)를 체결

     ※ 또한, 국제적으로 EU Directive 95/46/EC, APEC Privacy Framework 등 관련 지침 및 IWGDPT(International Working Group on Data Protection in Telecommunications), APPA(Asia Pacific Privacy Authorities Forum) 등 비공식적인 협력체계가 있음

• 아울러, 프라이버시 보호와 관련하여 지금까지는 주로 기술적인 관점에서 논의되어 왔으나, 앞으로는 사회?경제적인 접근이 필요하다는데 공감함

 라. 정보시스템 및 네트워크 보안

  (1) 주요 정보통신기반시설 보호정책

• 사무국은 자발적 참여 4개국(한국, 캐나다, 영국, 미국)을 대상으로 조사한 주요 정보통신기반시설 보호(CIIP ; Critical Information Infrastructure Protection) 정책을 설명하고, CII 관련 국가적 전략 및 정책에 있어서 한국을 모범사례로 소개함

-  한국은 국가적으로 중요한 기반시설을 보호하기 위한 정부의 명확한 정책과 조직이 있으며, 가시적인 지원을 하고 있으며,

-  특히, 국무총리가 위원장인 정보통신기반보호위원회 설치사례를 들어 기반시설에 대한 국가의 역할과 책임의 중요성을 설명함

•  조사대상 4개국에서의 기반보호에 대한 범위 및 정의가 상이하여 CII를 설명할 수 있는 3가지 요소를 제시함

-  CII(Critical Information Infrastructure)는 i) CI(Critical Infrastructure)를 지원, ii) 정부의 전자적 업무처리(electronic business)에 필수적인 요소들을 지원, iii) 국가 경제에 필수적인 사이버 인프라를 구성

• CII 위험관리에 대한 정부의 역할과 관련, 사무국은 참여국의 위험관리 사례를 분석하여 아래와 같은 정책 방향을 제시함

-  효과적인 국가적 위험관리 전략은 정부 최고위층에서부터 개별 CII 소유자 및 운영자에게까지 적용되는 일련의 정책 및 목적에 의해 좌우됨

-  효과적인 국가적 위험관리 프레임워크는 정책집행의 각 수준별로 자세한 조직, 도구, 모니터링 등을 제공해야 함

-  위험관리 우선순위는 효과적인 위험관리 프레임워크의 산물임

• CIIP에 대한 정보공유

-  국내적 및 국제적 정보공유에 있어서 CERT(Computer Emergency Response Team)간 운영수준에서의 정보공유가 매우 강력하고 효과적이며, 정부 고위수준에서의 정보공유는 위기에 효과적으로 대응할 수 있는 메커니즘이 마련되어 있지 않을 경우 상당히 어려울 것임

-  정부와 민간부문간 CIIP 정보공유는 대부분이 비공식적인 채널로 이루어지고 있는 바, 상호신뢰하며 정보를 공유할 수 있는 지침 등을 고려할  필요가 있음

• 기반시설 보호와 관련하여 국가간 협력 필요성이 인정됨
• 주요 정보통신기반시설 보호정책은 향후 작업반의 계속 작업과제로 진행될 예정이며, 특히 기존의 4개국 외에 호주, 포르투갈, 독일, 일본 4개국이  새로 자발적 참여의사를 표명함
• 주요 토론 및 의견

-  캐나다는 각 국가의 문화, 상황 등이 조금씩 다르나 대부분의 국가에서는 기반보호에 대한 유사성을 가지고 있으며, 이번 작업을 통하여 각 국가의 협조에 대한 인식이 이루어졌음을 언급함

-  미국은 이번 작업은 매우 유용한 작업이라 생각되며, 우수사례를 발굴하는 것도 중요하지만 보다 많은 나라가 참여하는 것이 보다 중요함을 언급

-  한국은 기존 4개국 대상 작업에 대한 다른 나라의 다양한 검토를 거쳐 보다 구체적이고 세부적인 내용을 발굴하는 작업이 필요하다고 언급함

-  일본은 자국의 국가 정보보호 현황에 대하여 간략하게 설명함

-  노르웨이는 모든 나라는 기반시설을 가지고 있으며, 각 국가마다 기반시설의 범위 및 정의가 다르므로 기반보호 관련 연구를 확대하는 것이 필요하다는 입장을 밝힘

-  핀란드는 기반시설 보호는 현재 국가의 정책에 초점이 맞추어져 있어, 정보 공유, 모니터링 등에 대한 연구가 더 필요하다고 주장함

  (2) 악성소프트웨어(Malware) 및 ID 도용

• Malware 관련 연구는 2007~2008년에 걸쳐 WPCISP(Working Party on Communication Infrastructures and Services Policy)와 함께 공동으로 추진하고, APEC TEL의 SPSG(Security Prosperity Steering Group)과도 협력하기로 함
• 작업내용은 ID 도용 문제를 포함하여 Malware에 대한 전반적인 내용을 다루기로 하는 한편, 소비자정책위원회(CCP)와의 연구 중복을 피하기 위해 WPISP는 malware를 통한 ID 도용에 초점을 맞추기로 함
• 사이버 보안을 위해서는 기술적인 해법 뿐 아니라 사이버 공간상의 여러 주체들(ISP, 전자상거래업체, 이용자 등)의 경제적 입장을 고려한 시장 측면의 접근이 필요하다는데 공감함
• 주요 토론 및 의견

-  미국은 malware가 대부분 돈을 훔치는 등의 범죄사고에 관련된 경우가 많으므로 범죄사고에 초점을 맞추어 다루는 등 유연성 있는 접근 방법을 취하는 방안을 제안함 

-  핀란드는 경제적인 관점에서 초점을 맞추어 정보보호 정책이 진행되어야함을 언급함

 마. 전자인증 및 디지털 ID 관리

  (1) 전자인증 지침

• 전자인증에 대한 지침(guidance)을 근본원칙(Foundation Principles)과 운영원칙(Operational Principles)으로 구분

-  근본원칙은 인증방법의 사용 및 실행에 관한 지침을 제공

-  운영원칙은 모든 이용자, 그리고 인증서비스 및 제품의 설계, 개발, 보급에 관련된 자들에 대한 지침을 제공

• 동 지침은 회원국의 추가의견을 수렴하여 금년말까지 서면에 의한 문서공개 절차를 밟기로 함
• 대부분의 회원국들은 OECD 전자인증 지침(안)에 대한 이견이 없었으나, 미국은 동 지침이 각국에서 어떻게 적용되고 집행될 수 있는지에 대하여 검토가 필요함을 지적함

  (2) 디지털 ID 관리(IDM)

• 사무국은 2007-2008년 IDM 관련 추진예정 과제를 보고하고, ID 관리는 전자상거래 및 전자정부에서 핵심요소로 활용될 수 있다는 점과, IDM 과제 추진을 위해 개인정보 보호, 자료보안 등이 고려되어야 할 것이라고 설명함

-  사무국은 아울러 동 과제에 대한 6-8개의 자발적 참여국이 필요하다고 요청한 바, 우리나라는 동 작업에 참여할 의사를 표명함

• ‘07.4월 노르웨이 트론트하임(Trondheim)에서 IDM을 주제로 한 워크샵을 개최하는 방안이 제시되었음

-  이에 대해, 미국은 워크샵의 필요성을 인정하고 적극 지지한다는 입장을 표명하고, FTC(미국 연방거래위원회)에서도 내년 3월에 IDM 관련 워크샵 을 개최할 예정임을 소개함

-  영국은 워크샵 개최에 대해서 찬성하지만 논의의 범위에 대한 조정이 필요하다고 언급하고, 2008년 OECD 장관회의에서도 IDM 관련 내용이 포함될 되어야 한다는 입장을 표명함

-  독일은 ‘07년 3/4분기에 자국에서도 IDM 관련 워크샵을 개최할 예정임을 소개함

-  노르웨이는 워크샵이 실제 사례를 통해 이루어지고 실생활에 활용 가능한 측면에서 이루어져야 할 것이라는 점을 강조함

 바. RFID, Pervasive 센서 및 네트워크

• RFID 관련 보안 및 프라이버시 문제점 소개

-  사무국에서는 전파식별(RFID ; Radio Frequency Identification)과 관련, RFID 태그·리더를 통한 권한 없는 정보 습득ㄱ복제, RFID 수집 정보가 저장된 DB 보안, RFID가 Malware, 스파이웨어 등에 감염되는 문제 등의 보안 문제가 존재함을 소개함

-  또한, RFID와 관련된 프라이버시 문제에는 RFID를 통한 보이지 않는 정보 수집, 개인위치 추적, 개인 프로필 노출 등이 있음

• 향후 작업계획

-  2007년중 1차적으로 RFID 관련 프라이버시 및 보안에 관한 보고서를, 2차적으로 Pervasive 센서 및 네트워크에 관련된 프라이버시 및 보안에 관한 보고서를 작성하기로 하였으며, 동 결과물은 2008년 개최예정인 OECD 정보통신장관회의에서 논의할 의제중 한 요소로 검토키로 함

• 주요 토론 및 의견

-  BIAC은 RFID 기술의 개념·범위를 명확히 할 필요가 있으며 마케팅 측면의 이용현실(월마트 등)을 반영하여야 할 것이라는 의견을 제시함

-  프랑스 및 CI(Consumer International)는 RFID가 단순히 기술적인 이슈를 넘어 사회?경제적 의미를 담고 있으므로 관련 기구·조직 등과의 협조 필요성을  제기함

-  미국의 경우 관련 연구를 진행 중이며 DHS(Department of Homeland Security)에서 관련 보고서가 곧 나올 예정임을 소개함

 사. OECD 암호정책 지침(OECD Guidelines for Cryptography Policy)

• 지난 1997년 채택된 암호정책 지침은 매 5년마다 재검토(review)토록 되어 있는 바, 지난 2002년에 이어 두 번째로 2007년에 다시 개정 필요성을 검토하게 됨
• 이를 위해 동 지침 재검토를 위한 회원국 대상 설문서 문항을 논의하고, 2007년 3월까지 각 회원국의 의견을 종합하여 지침 개정 여부를 토의 하기로 함

 아. 보안 및 프라이버시 이행을 위한 통합 프레임워크

• BIAC 및 ISF(Information Security Forum)에서 추진중인 작업의 진행경과가 소개됨

-  동 프로젝트는 각국의 보안 및 프라이버시 관련 입법과 규제현황을 목록화하여 쉽게 이용할 수 있도록 DB를 만들어 제공하려는 것임  

• 향후 각 회원국은 BIAC이 종합한 자료의 정확성, 완전성 여부등을 검토하기로 함
• 노르웨이, 네덜란드 등 일부 회원국들은 동 작업에 대해 대체로 유용성을 인정하면서도 각국의 법률을 즉시 번역하고 현행화하는 작업에 어려움이 있을 것임을 지적함

 자. 국외여행 보안 및 프라이버시

• 2006년말까지 완료 예정이었던 산출물인 PWB 2005-6상의 “Policy and technical framework to assist with real-time data exchange and use of biometrics in travel documents" 과제는 주도국인 미국의 예상치 못한 기술적·조직적인 문제로 인해 추진이 지연됨에 따라

-  “Preliminary explorations of a common framework for information security and privacy and identity management : two reports"로 과제의명칭을 변경하고 PWB 2007-8에 반영하여 2007년말까지 추진키로 함

 차. 정보보호와 프라이버시 관련 동향 및 이슈

• 일본은 자국의 u-Japan 전략 추진현황을 소개함
• 발표 요지

- 일본 총무성(MIC ; Ministry of Internal Affairs and Communications)은 2004년 “유비쿼터스 네트워크 사회를 대비한 정책 라운드테이블”에서 “100가지 도전과제”를 도출하고, “u-Japan 정책”을 발표

-  Dr. Masao Horibe를 중심으로 연구그룹을 만들어 유비쿼터스 네트워크 사회의 제도적 이슈에 대한 검토를 시작

-  “2001 e-Japan 전략”과 “2003 e-Japan 전략 II”를 통해 브로드밴드 환경을 구축하고 사용하는 전략을 추진하였으며, “2006 u-Japan 정책”을 통해 유비쿼터스 사회를 실현하고자 함

-  법·제도적 조치를 통해 일본은 네트워크 관련 이슈를 다루고 있음

    * “통합적 유비쿼터스 네트워크 법률” 제정

    * 여러 가지 현존하는 가이드라인 검토

    * 이용자 동의를 얻는 과정에서 이용자 스스로 결정할 수 있는 수단에 관한 연구 등

 카. 수평적 협력활동(Horizontal Activities)

• APEC 전기통신실무그룹(APEC TEL) 의장인 우리나라의 정인억 박사는 APEC-OECD간 협력 필요성에 대한 공감에도 불구하고, 아직 가시적인 성과가 없음을 강조하고, 뉴질랜드에서 개최되는 APEC TEL 회의에 OECD 회원국의 적극적인 참여를 당부함