2006.10.2 및 10.4 헝가리 부다페스트에서 개최된 정보통신위원회 산하 정보보호작업반 회의 주요결과는 아래와 같음.
1. 핵심 요지
가. 주요 회의결과
- 개인정보의 국경간 유통이 증가함에 따라 프라이버시 보호를 위한 국가간 협력 필요성에 부응하기 위한 향후 조치에 대해 논의
- 향후 조치로서 (i) 프라이버시법 집행 국제협력의 핵심요소와 그 한계, 효과적인 협력을 위해 필요한 사항 등을 담은 정책 틀(policy framework)의 개발과 (ii) 실질적 도구(practical tools)의 개발(예 : contact list 구축, 협조요청 공문 양식 마련, 국경간 프라이버시 관련 민원신청 표준양식 마련, 사례보고서(case reports) 발간 및 보급, 프라이버시법 집행 당국간 모델양해각서(model MOU) 개발 등)을 추진키로 함
① 주요 정보통신기반시설 보호정책(CIIP; critical information infrastructure protection policies)
- 자발적으로 연구에 참여한 4개국(한국, 캐나다, 미국, 영국)의 사례에 대한 보고가 있었으며, 한국이 국무총리를 위원장으로 하는 정보통신기반보호위원회를 운영하는 등 정부의 역할과 책임에 관한 모범사례로 소개됨
- 기존 자발적 참여국(volunteer countries) 4개국 이외에 타 국가도 기반 보호에 대한 관심이 증가함에 따라 호주, 포르투갈, 독일, 일본 4개국이 새로 자발적 참여의사를 밝힘
- 분명한 국가적 전략과 정책, 일련의 보안표준과 지침 마련 및 집행책임기관 명확화, 위험관리전략, 국내 및 국제적 정보공유, 국제협력 강화 등이 중요한 요소로 제시됨
② 악성소프트웨어(Malware) 및 ID 도용
- 2007년중 Malware에 대한 전반적인 내용(ID 도용 문제 포함)에 대해 연구를 해 나가기로 하고, APEC과의 협력도 추진키로 함
- 사이버 공간에서의 안전을 위해서는 기술적인 해법뿐 아니라 사이버 공간 상의 여러 주체들(ISP, 전자상거래업체, 이용자 등)의 경제적 입장을 고려한 시장측면의 접근이 필요하다는데 인식을 같이함
① 전자인증지침(guidance for e-authentification)
- 디지털 환경하에서 전자상거래 및 전자정부를 촉진하는데 필수적인 요소인 신뢰 구축 및 ID 보호를 위해 전자인증 지침(guidance)을 마련
- 동 지침은 (i) 인증방법의 사용 및 실행에 관한 지침을 제공하는 근본원칙(Foundation Principles)과, (ii) 모든 이용자, 그리고 인증서비스 및 제품의 설계, 개발, 보급에 관련된 자들에 대한 지침을 제공하는 운영원칙(Operational Principles)으로 구분
- 동 지침은 회원국의 추가의견을 수렴하여 금년말까지 서면에 의한 문서공개 절차를 밟기로 함
② 디지털 ID 관리
- 2007~2008년 정보보호작업반이 수행할 과제인 디지털 ID 관리(IDM ; Digital ID Management)와 관련, IDM 기술 및 정책적 이슈의 주요내용을 논의함
- ‘07년 4월중(4.19~20일 또는 4.24~25일 예정) 노르웨이 트론트하임(Trondheim)에서 IDM을 주제로 워크샵을 개최키로 함
- 사무국에서는 2007~2008년 IDM 작업과제의 개발과 워크샵 조직을 위해 소규모 자발적 참여국 그룹(volunteer group, 6-8개국)을 구성할 것을 제안한 바, 우리 대표단은 동 그룹에 참여의사를 표명함
- 전파식별(RFID ; Radio Frequency Identification) 관련 보안 및 프라이버시 관련 문제점(RFID 태그?리더를 통한 권한 없는 정보 습득?복제, RFID 수집 정보가 저장된 DB 보안, RFID가 Malware, 스파이웨어 등에 감염되는 문제 등)을 토의하고,
- 2007년중 1차적으로 RFID 관련 프라이버시 및 보안에 관한 보고서를, 2차적으로 Pervasive 센서 및 네트워크에 관련된 프라이버시 및 보안에 관한 보고서를 작성하기로 하였으며, 동 결과물은 2008년 개최예정인 OECD 정보통신장관회의에서 논의할 의제중 한 요소로 검토키로 함
- 지난 1997년 채택된 암호정책 지침은 매 5년마다 재검토(review)토록 되어 있는 바, 지난 2002년에 이어 두 번째로 2007년에 다시 개정 필요성을 검토하게 됨
- 이를 위해 동 지침 재검토를 위한 회원국 대상 설문서 문항을 논의하고, 2007년 3월까지 각 회원국의 의견을 종합하여 지침 개정 여부를 토의 하기로 함
- 동 프로젝트는 각국의 보안 및 프라이버시 관련 입법과 규제현황을 목록화하여 쉽게 이용할 수 있도록 DB를 만들어 제공하려는 것임
- 향후 각 회원국은 BIAC이 종합한 자료의 정확성, 완전성 여부등을 검토하기로 함
나. 관찰 및 평가
- 특히, 기반보호의 우수사례로서 한국이 소개됨으로써, 한국의 기반보호 정책이 긍정적으로 평가되었고, 이에 대한 각국의 벤치마킹 등 관심이 증가할 것으로 예상되므로 향후 이 분야에서 보다 주도적인 역할을 수행할 필요가 있음
2. 상세 논의내용
가. 사무국 발표
나. '인터넷의 미래에 관한 장관회의‘에 대한 WPISP의 기여
- Malware 및 온라인 ID 도용
- 법집행 협력(Law Enforcement Cooperation)
- RFID, 센서 및 네트워크
- 디지털 ID 관리(ID Management)
- 참여형 웹(Participatory Web)에서의 프라이버시
- 기타(모바일 상거래, 사용자 교육 등)
다. 프라이버시법 집행 협력을 위한 제안
- 국가간 법집행 협력을 위하여 회원국간 정치적 합의, OECD 권고안 등의 형태로 정책 프레임워크를 개발할 필요성에 공감함
- 국가간 협조를 위한 실질적 도구로서 contact list 구축, 협조요청 공문 양식 마련, 국경간 프라이버시 관련 민원신청 표준양식 마련, 사례 보고서(case reports) 발간 및 보급, 프라이버시법 집행당국간 모델양해각서(model MOU) 개발 등에 대해 논의함
- 현재 대부분의 OECD 국가가 관련 법제 및 법집행을 위한 전담기관을 두고 있음
※ 1980년에는 OECD 국가의 1/3 수준만 전담기관 보유
※ 국가별로 관련 기관의 성격(정부기관, 독립 감독기구 등) 및 기능(민원처리, 법률 규제 등) 등이 매우 다양하여 법집행 공조시 해당 국가에 미칠 영향에 대한 고려가 있어야 한다는 의견이 제기됨
- 국가간 상호 협력과 집행력 확보, 국가간 공통적인 법집행 우선순위 확인, 지속적인 정보 공유 등이 중요한 고려사항이라는 점이 지적됨
- 국가간 정보 이전 관련 사례는 많지 않으나 국가간 정보이전 관련한 협력은 증가하는 추세임
※ 예 : 호주-뉴질랜드, 스페인-미국 등은 국가간 정보이전 관련 양해각서(MOU)를 체결
※ 또한, 국제적으로 EU Directive 95/46/EC, APEC Privacy Framework 등 관련 지침 및 IWGDPT(International Working Group on Data Protection in Telecommunications), APPA(Asia Pacific Privacy Authorities Forum) 등 비공식적인 협력체계가 있음
라. 정보시스템 및 네트워크 보안
(1) 주요 정보통신기반시설 보호정책
- 한국은 국가적으로 중요한 기반시설을 보호하기 위한 정부의 명확한 정책과 조직이 있으며, 가시적인 지원을 하고 있으며,
- 특히, 국무총리가 위원장인 정보통신기반보호위원회 설치사례를 들어 기반시설에 대한 국가의 역할과 책임의 중요성을 설명함
- CII(Critical Information Infrastructure)는 i) CI(Critical Infrastructure)를 지원, ii) 정부의 전자적 업무처리(electronic business)에 필수적인 요소들을 지원, iii) 국가 경제에 필수적인 사이버 인프라를 구성
- 효과적인 국가적 위험관리 전략은 정부 최고위층에서부터 개별 CII 소유자 및 운영자에게까지 적용되는 일련의 정책 및 목적에 의해 좌우됨
- 효과적인 국가적 위험관리 프레임워크는 정책집행의 각 수준별로 자세한 조직, 도구, 모니터링 등을 제공해야 함
- 위험관리 우선순위는 효과적인 위험관리 프레임워크의 산물임
- 국내적 및 국제적 정보공유에 있어서 CERT(Computer Emergency Response Team)간 운영수준에서의 정보공유가 매우 강력하고 효과적이며, 정부 고위수준에서의 정보공유는 위기에 효과적으로 대응할 수 있는 메커니즘이 마련되어 있지 않을 경우 상당히 어려울 것임
- 정부와 민간부문간 CIIP 정보공유는 대부분이 비공식적인 채널로 이루어지고 있는 바, 상호신뢰하며 정보를 공유할 수 있는 지침 등을 고려할 필요가 있음
- 캐나다는 각 국가의 문화, 상황 등이 조금씩 다르나 대부분의 국가에서는 기반보호에 대한 유사성을 가지고 있으며, 이번 작업을 통하여 각 국가의 협조에 대한 인식이 이루어졌음을 언급함
- 미국은 이번 작업은 매우 유용한 작업이라 생각되며, 우수사례를 발굴하는 것도 중요하지만 보다 많은 나라가 참여하는 것이 보다 중요함을 언급
- 한국은 기존 4개국 대상 작업에 대한 다른 나라의 다양한 검토를 거쳐 보다 구체적이고 세부적인 내용을 발굴하는 작업이 필요하다고 언급함
- 일본은 자국의 국가 정보보호 현황에 대하여 간략하게 설명함
- 노르웨이는 모든 나라는 기반시설을 가지고 있으며, 각 국가마다 기반시설의 범위 및 정의가 다르므로 기반보호 관련 연구를 확대하는 것이 필요하다는 입장을 밝힘
- 핀란드는 기반시설 보호는 현재 국가의 정책에 초점이 맞추어져 있어, 정보 공유, 모니터링 등에 대한 연구가 더 필요하다고 주장함
(2) 악성소프트웨어(Malware) 및 ID 도용
- 미국은 malware가 대부분 돈을 훔치는 등의 범죄사고에 관련된 경우가 많으므로 범죄사고에 초점을 맞추어 다루는 등 유연성 있는 접근 방법을 취하는 방안을 제안함
- 핀란드는 경제적인 관점에서 초점을 맞추어 정보보호 정책이 진행되어야함을 언급함
마. 전자인증 및 디지털 ID 관리
(1) 전자인증 지침
- 근본원칙은 인증방법의 사용 및 실행에 관한 지침을 제공
- 운영원칙은 모든 이용자, 그리고 인증서비스 및 제품의 설계, 개발, 보급에 관련된 자들에 대한 지침을 제공
(2) 디지털 ID 관리(IDM)
- 사무국은 아울러 동 과제에 대한 6-8개의 자발적 참여국이 필요하다고 요청한 바, 우리나라는 동 작업에 참여할 의사를 표명함
- 이에 대해, 미국은 워크샵의 필요성을 인정하고 적극 지지한다는 입장을 표명하고, FTC(미국 연방거래위원회)에서도 내년 3월에 IDM 관련 워크샵 을 개최할 예정임을 소개함
- 영국은 워크샵 개최에 대해서 찬성하지만 논의의 범위에 대한 조정이 필요하다고 언급하고, 2008년 OECD 장관회의에서도 IDM 관련 내용이 포함될 되어야 한다는 입장을 표명함
- 독일은 ‘07년 3/4분기에 자국에서도 IDM 관련 워크샵을 개최할 예정임을 소개함
- 노르웨이는 워크샵이 실제 사례를 통해 이루어지고 실생활에 활용 가능한 측면에서 이루어져야 할 것이라는 점을 강조함
바. RFID, Pervasive 센서 및 네트워크
- 사무국에서는 전파식별(RFID ; Radio Frequency Identification)과 관련, RFID 태그·리더를 통한 권한 없는 정보 습득ㄱ복제, RFID 수집 정보가 저장된 DB 보안, RFID가 Malware, 스파이웨어 등에 감염되는 문제 등의 보안 문제가 존재함을 소개함
- 또한, RFID와 관련된 프라이버시 문제에는 RFID를 통한 보이지 않는 정보 수집, 개인위치 추적, 개인 프로필 노출 등이 있음
- 2007년중 1차적으로 RFID 관련 프라이버시 및 보안에 관한 보고서를, 2차적으로 Pervasive 센서 및 네트워크에 관련된 프라이버시 및 보안에 관한 보고서를 작성하기로 하였으며, 동 결과물은 2008년 개최예정인 OECD 정보통신장관회의에서 논의할 의제중 한 요소로 검토키로 함
- BIAC은 RFID 기술의 개념·범위를 명확히 할 필요가 있으며 마케팅 측면의 이용현실(월마트 등)을 반영하여야 할 것이라는 의견을 제시함
- 프랑스 및 CI(Consumer International)는 RFID가 단순히 기술적인 이슈를 넘어 사회?경제적 의미를 담고 있으므로 관련 기구·조직 등과의 협조 필요성을 제기함
- 미국의 경우 관련 연구를 진행 중이며 DHS(Department of Homeland Security)에서 관련 보고서가 곧 나올 예정임을 소개함
사. OECD 암호정책 지침(OECD Guidelines for Cryptography Policy)
아. 보안 및 프라이버시 이행을 위한 통합 프레임워크
- 동 프로젝트는 각국의 보안 및 프라이버시 관련 입법과 규제현황을 목록화하여 쉽게 이용할 수 있도록 DB를 만들어 제공하려는 것임
자. 국외여행 보안 및 프라이버시
- “Preliminary explorations of a common framework for information security and privacy and identity management : two reports"로 과제의명칭을 변경하고 PWB 2007-8에 반영하여 2007년말까지 추진키로 함
차. 정보보호와 프라이버시 관련 동향 및 이슈
- 일본 총무성(MIC ; Ministry of Internal Affairs and Communications)은 2004년 “유비쿼터스 네트워크 사회를 대비한 정책 라운드테이블”에서 “100가지 도전과제”를 도출하고, “u-Japan 정책”을 발표
- Dr. Masao Horibe를 중심으로 연구그룹을 만들어 유비쿼터스 네트워크 사회의 제도적 이슈에 대한 검토를 시작
- “2001 e-Japan 전략”과 “2003 e-Japan 전략 II”를 통해 브로드밴드 환경을 구축하고 사용하는 전략을 추진하였으며, “2006 u-Japan 정책”을 통해 유비쿼터스 사회를 실현하고자 함
- 법·제도적 조치를 통해 일본은 네트워크 관련 이슈를 다루고 있음
* “통합적 유비쿼터스 네트워크 법률” 제정
* 여러 가지 현존하는 가이드라인 검토
* 이용자 동의를 얻는 과정에서 이용자 스스로 결정할 수 있는 수단에 관한 연구 등
카. 수평적 협력활동(Horizontal Activities)