외교부

Ⅰ. 2003. 4. 24. ∼25. 양일간 파리에서 Peter Ferguson 신임 의장 주재로 개최된 표제 회의 결과는 아래와 같음.

Ⅱ. 주요 논의 결과 및 평가

 가. 주요 논의 결과

  o 사무국은 OECD 구조개혁이 예산, 조직구조, 세계사회에서의 역할, 의사결정절차 등을 내용으로 3단계로 나누어 진행되고 있음을 보고함

   - OECD 컨설턴트인 Nichoson의 위원회 개혁방안을 소개

  o 사무국은 정보사회를 위한 정상회담(WSIS) 참여계획을 밝히고, OECD관련 사안에 대한 회원국들의 적극적 참여 및 지지의사 표명을 요청함

  o 정보보호 가이드라인 이행계획 최종안이 회원국 의견 반영과 OECD 상주 대표 이사회의 의결을 거쳐 최종 확정('02.12.)되었음을 밝히고 각국의 이행 현황을 공유함

   - 우리나라는 가이드라인 이행활동의 일환으로 진행중인 "정보보호문화운동"을  Room Document로 작업반에 제출하고 이의 진행 현황을 소개

   - OECD 차원의 정보보호 관련 독립 웹사이트의 필요성 및 구축방안을 논의하였으며, 우선은 OECD 홈페이지를 활용하고 향후 예산확보 등을 통해 추진하도록 노력하기로 함

  o 정보보호 문화 확산의 일환으로 계획된 글로벌 정보보호문화 워크샵이 노르웨이 지원에 의해 '03. 10. 14.∼15. 오슬로에서 개최될 예정임을 밝힘

   - 동 워크샵은 비회원국 및 기업 부문의 CEO들도 참석할 예정

  o 생체인식 및 DNA 기반 기술에 대한 보고서 초안을 통해 생체인식 및 DNA기반 기술의 유용성 및 한계(개인정보침해), 생체정보와 프라이버시 보호, 관련 기술현황 등을 소개함

   - 미국은 생체인식과 관련, 국제 여행의 안전 강화 방안을 논의하기 위해 INSITE(Innovative Network Systems for Internationl Travel Security Enhancement) 컨퍼런스 개최를 제안하고 영국, 호주 등은 OECD의 역할, 컨퍼런스의 결과물 등이 명확히 정의되어야 함을 지적함

  o 13차 회의에서 제기된 APEC의 전자인증 체계 mapping 작업을 OECD에 적용하기로 하고, 이를 위해 APEC 방법론의 일부내용을 수정하여 회원국 설문조사를 실시하고 차기 회의에 그 결과를 보고하기로 함

  o 전자상거래에 있어서 신뢰의 중요성 및 프라이버시와 전자상거래의 상관관계 등에 대한 연구내용을 보고함

   - 우리나라는 보고내용 중 게임이론 적용의 일부 오류에 대해 지적

   - 핀란드는 신뢰의 경제와 관련한 워크샵을 '04년 겨울에 주관할 것을 제안

  o 스팸메일에 대응하기 위한 국제적 공조방안 마련의 필요성이 논의됨

 나. 관찰 및 평가

  o OECD는 '02년 정보보호가인드라인 개정 및 이행계획 마련에 이어 글로벌 정보보호 문화 워크샵을 준비하는 등 정보보호 문화 확산에 대한 적극적 의지를 보이고 있음

  - 미국, EU, BIAC 등 회원국들도 정부뿐 아니라 민간기업 차원에서의 우수사례 발굴, 결의안 채택 등 적극적 활동 중

  o OECD 및 회원국들은 정보보호 솔루션의 하나로 생체인식 기술을 기반으로 한 신분확인 및 인증 방안에 대해 깊은 관심을 보이고 있음

   - 현재는 관련 기술 현황 및 프라이버시와의 상충문제 등 기초적인 논의가 진행중이나 향후 제도화 및 국제 표준으로의 도입 등을 감안해 우리나라도 동 분야에 대한 법·제도적 검토를 강화하는 것이 필요   

  o 회원국들은 갈수록 심각해지는 스팸메일의 폐해에 대해 공감하고 국제 공조에 의한 스팸메일 대응방안 마련의 필요성을 강조함.

Ⅲ. 회의 상세 내용

1. 의장단 선출(Election of the Bureau)

 o 현재 의장인 Peter Ford(호주), 부의장 Eivind Jahren(노르웨이)가 사임의사를 밝힘

 o 아래와 같이 의장 및 부의장이 선출됨

  - 의장 : Peter Ferguson(캐나다)

  - 부의장 : Patty Sefcik(미국), Katarina de Brisis(노르웨이), Prof. Horibe(일본), Geoff Smith(영국), Mikael Kiviniemi(핀란드)

2. 의제채택

 o 작업반은 사무국이 제시한 제14차 정보보호작업반 의제를 채택함

3. 제13차 정보보호작업반 회의 회의록 승인

 o 작업반은 사무국이 작성한 제13차 작업반 회의 ('02. 10. 24∼25) 회의록을 승인함

4. 사무국 발표

 □ OECD 구조개혁 진행현황 보고

  o John Drydon은 OECD 구조개혁이 아래의 3단계로 진행되고 있음을 밝힘  

   - 1 단계 : 예산, 위원회 조직구조, OECD와 산하단체

   - 2 단계 : 세계사회에서 OECD의 역할, 의사결정 절차, 업무범위의 확대

   - 3 단계 : OECD 작업에 대한 회원국들의 의견 조사, 작업의 우선순위

  o OECD 컨설턴트 Nichoson은 현행 ICCP, CIBE, CSTP를 통합하여 super 위원회로서 CSTG를 만들고, WPIE와 TISP를 통합 WP-ICT를 만들어 그 산하에 WPISP를 둘 것 등을 구조개혁방안으로 제안함

  - Nichoson의 보고서 : Maximizing the Impact of the OECD [SG(2003)1] ('03. 1. 15.)

 □ OECD-APEC Global Forum 결과보고

  o '03. 1. 14. ∼17일 하와이 호놀룰루에 개최되었으며 OECD, APEC 회원국을 중심으로(40개국 참가) 경제, 보안과 신뢰, 전세계적 참여라는 주제를 토대로 디지털 경제의 정책체계에 대해 논의함

 □ 정보사회를 위한 정상회담(WSIS)관련 OECD 참여 현황 및 향후계획 보고

  o WSIS는 '03. 12. 10.∼12일 스위스 제네바에서 개최될 예정이며 UN의 밀레니엄개발목표(MDGs) 달성을 위한 ICT의 역할 및 정보보호 등을 중점 논의할 예정임

  o 사무국은 Policy Brief 및 현재까지의 OECD 산출물을 중심으로 WSIS에 기여할 예정이나, WSIS 준비작업이 UN의 ITU를 중심으로 진행되고 있어 OECD의 역할이 한정될 수 밖에 없음을 밝힘

   - WSIS에 참여하는 OECD 회원국들이 자국의 ITU 대표단 등을 통해 OECD의 논의결과가 활용될 수 있도록 하여 줄 것을 요청함

 □ OECD 각료회의

  o '03. 4. 29. ∼30일 양일간 각료회의가 개최될 예정이며 동 회의와 연계하여 Forum 2003(4. 28.∼29.)이 '성장과 개발'을 주제로 개최될 것임을 밝힘

5. 2002 정보보호가이드라인 이행

 □ 2002년 정보보호 가이드라인의 이행계획

  o 가이드라인 이행계획의 초안이 제13차 작업반회의('02. 10.)에서 논의되었으며 이후 회원국들의 서면의견 반영과 OECD 상주대표 이사회의 의결을 거쳐 최종안이 확정('02. 12.)되었음을 밝힘

   - 이행계획은 향후 수정이 용이하도록 가이드라인 원문과는 분리된 Living Document로 작성

  o 정보보호작업반은 제13차 회의에서 결정된 바에 따라 OECD 및 회원국들의 가이드라인 이행 현황을 공유함

   - 한국대표는 정보보호가이드라인 이행활동의 일환으로 추진중인 "정보보호문화운동(Culture of Security Campaign)을 Room Document로 작업반에 제출하였으며 이의 진행 현황을 소개

   - 미국대표는 '03년 발표한 "National Strategy to Secure Cyberspace"를 CD롬으로 제공하였으며, FTC(공정거래위원회)의 정보보호웹페이지의 최근  내용을 책자로 제출

   - BIAC은 기업 CEO에 대한 정보보호 관련 주요 정보 제공을 목적으로 국제상공회의소(ICC - International Chamber of Commerce)와 공동으로 개발중인 "Information Security Assurance for Executives"의 초안을 소개

    · 동 문서에 대한 회원국 의견을 5월 31일 까지 접수할 것이며 이를 반영한 최종문서를 10월로 예정된 글로벌 정보보호문화 워크샵에 제공할 예정

   - 영국대표는 유럽의회에서 채택된 "네트워크 및 정보보호 문화에 대한 유럽의 접근방식에 대한 결의안"의 내용을 소개

   - 일본, BIAC, 미국 등은 OECD가 정보보호 및 프라이버시 관련 정보(회원국의 가이드라인 이행현황, 선도적인 활동, 모범사례, 정보보호관련 컨퍼런스 일정 등)를 제공하는 독립 웹사이트를 구축할 것을 촉구

   · 사무국은 우선 OECD 홈페이지 정보보호 부문에 관련 정보를 등재토록 하고 향후 독립 웹사이트 구축을 위해 예산 확보 등 적극적으로 노력할 것임을 밝힘

 □ 글로벌 정보보호문화 워크샵 의제 초안

  o 13차 회의에서 정보보호가이드라인 이행활동의 하나로 '04년 상반기 중  개최하기로 예정한 글로벌 정보보호문화 워크샵이 노르웨이 정부의 지원에 의해 '03년으로 당겨져 10. 14. ∼ 15일 양일간 노르웨이 오슬로에서 개최될 예정

   - 워크샵에 앞서 제15차 정보보호작업반회의를 오슬로에서 개최('03. 10. 13.)하기로 결정

     ※ 현재 노르웨이가 ICCP의 의장직을 수행중임

   - 동 워크샵은 APEC 회원국을 포함한 비회원국들에게도 개방될 예정이며 정부 및 기업부문 executive level 대표자들이 참석할 예정

   - OECD 정보보호가이드라인 개정 이후 1년 간의 이행작업을 정리하고 회원국들의 성과 및 추진방향을 공유하는 장으로 활용될 예정

  o 노르웨이는 수정된 워크삽 의제를 작업반에 소개

   - 사무국은 모범사례 조사를 위한 설문지를 회원국 의견수렴을 거쳐 5월말까지 완성하고, 7월말까지 회원국 설문조사를 수행하여 그 결과를 워크샵에 제출할 예정

   - BIAC, 스페인, 미국, EC 등은 동 워크샵의 초점 및 산출물이 명확하지 않음을 지적하였으며, 워크샵 의제에 정보보호관리(ISO 17799 등), 민·관협력체계, 사이버테러리즘 등을 포함시킬 것을 요구

   - 노르웨이 및 사무국은 회원국의 의견을 적극적으로 반영하여 의제를 최종화할 것임을 밝히고 회원국의 적극적인 의견 개진을 요청

 □ APEC Tel CERT 프로젝트 도입 제안(호주대표)

  o 호주대표는 현재 APEC Tel에서 진행중인 CERT 프로젝트를 소개하고 OECD에 도입할 것을 제안

   - 역내 국가 CERT의 능력향상을 목적으로 아래와 같이 3 단계 계획을 소개

   ·1단계 : 회원국들의 CERT에 대한 인식제고, 2003년 3월까지 CERT의 수립 및 운영에 대한 가이드라인 및 이에 대한 교육자료(Training Material) 개발

   ·2단계 : 가이드라인 및 교육자료에 기반해 역내국가에 CERT 수립을 위한 교육(5 days In-country Training)을 제공

   ·3단계 : 2003년 4월까지 전세계 권역별 CERT(미주, 아·태, 유럽) 간의 상호교류체계(Communication Framework)개발

   - 동 프로젝트의 진행현황을 OECD 회원국들이 인지하고, 프로젝트 결과물인 가이드라인 및 교육자료의 활용, 권역별 CERT 공동체간의 상호교류체계 구성(3단계) 참여 등을 제안

  o 동 프로젝트에 대해 회원국들은 전반적으로 동의를 표명했으나, 노르웨이, 프랑스 등은 CERT 뿐만 아니라 ISAC 등 다양한 형태의 사이버공격 대응 관련 조직에 대한 검토가 필요함을 지적

   - CERT는 일정규모 이상의 조직에만 해당되는 경우가 대부분이므로 동 프로젝트를 CERT로 한정하지 않는 것이 바람직함을 주장

   - 프랑스, 핀란드 등은 동 프로젝트를 진행함에 있어 FIRST등 관련 조직간의 국제협력 활동을 주목할 필요가 있음을 지적

   - BIAC은 권역별 CERT 공동체간의 상호교류체계를 구성함에 있어 공유되는 정보의 보호에 대한 논의가 필요함을 지적

   - 의장은 회원국들의 지지의사를 확인하고 동 프로젝트를 작업반의 의제로 지속적으로 논의할 것임을 밝힘

6. 전자인증

 o OECD 회원국의 전자인증서비스 법률적·정책적 체계에 대한 조사를 제안

  - 캐나다대표는 13차 회의에서 APEC Tel에서 진행중인 전자인증 Mapping 프로젝트를 OECD에서 도입·실시할 것을 제안

     ※ Mapping 프로젝트 : 인증서비스의 분석의 틀(Framework)을 제공하고, 이를 기준으로 현재 회원국들의 인증서비스 체계(Scheme)를 분석함으로써, 각 회원국 인증체계의 공통점과 차이점, 향후 국가간 상호인증의 장애요소 등을 도출하고자 함

  - 13차 회의에서 APEC과 OECD 회원국간 전자인증 체계에 차이가 있으므로 동일한 기술 및 운영 모델을 적용하는 것은 무리라는 점을 지적

 o 사무국은 APEC의 설문내용을 일부 수정하여 법·제도적 체계를 주요 내용으로 하는 설문지 초안을 작업반에 제출하고, 설문조사에 근거하여 회원국의 전자인증 서비스를 비교·분석하는 Mapping 작업을 수행할 예정임을 밝힘

  - BIAC은 Mapping 작업의 취지를 살리기 위해서는 APEC과 동일한 모델을 사용하여 작업 결과가 상호 비교 가능한 것이 되어야 함을 지적하고, 이를 위해 OECD, APEC간 Joint Task Group을 구성의 필요성을 주장

  - EC는 동 프로젝트와 현재 진행중인 유럽의회의 전자서명지침 개정작업이 상호간에 기여하는 바가 있을 것임을 밝힘

  - 사무국은 회원국의 의견을 반영하여 6월말까지 설문지를 최종화하고 9월말까지 설문조사를 완료하여 10월에 개최될 예정인 차기회의에 보고할 예정임을 밝힘

7. 생체인식

 □ 생체인식 및 DNA 기반 기술에 대한 보고서 초안

  o 동 보고서는 생체인식 및 DNA기반 기술의 유용성 및 한계(개인정보침해)에 대한 기초적인 정보를 제공

   - 사무국은 OECD 컨설턴트인 Peter Hope-Tindall(캐나다)와의 공동작업을 통해 동 보고서를 작성했으며 Peter Hope- Tindall은 비디오 컨퍼런스를 통해 동 보고서의 주요내용을 소개

   - 노르웨이, 미국, 일본 등은 동 보고서에 현재 활용되고 있는 생체인식 적용사례(application)들이 더욱 폭넓게 포함될 필요가 있음을 주장하고, 이에 대한 회원국들의 적용 사례 제공을 제안

 □ 국제여행 보안을 위한 네트워크 시스템 컨펀런스 제안

  o 미국대표는 개인정보 보호와 국제거래를 저해하지 않으면서 국제 여행의 안전을 강화할 수 있는 방안을 논의하기 위해 INSITE(Innovative Network Systems for Internationl Travel Security Enhancement) 컨퍼런스의 개최를 제안

   - 동 컨퍼런스는 Model Architecture 및 Implementation Principles의 개발, 비회원국에 대한 홍보, 전문가 및 vendor 간의 네트워크 구성 등이 목적

   - 영국, 호주 등은 컨퍼런스 개최를 위해서는 OECD의 역할, 컨퍼런스의 결과물 등이 명확히 정의되어야 함을 지적

   - BIAC은 출입국관리 등에 생체인식, 정보네트워크 등이 이용됨으로써 발생할 수 있는 사회적 이슈 및 정책적 시사점 도출이 결과물이 될 수 있음을 지적

   o 이와 연계하여 사무국은 국제여행의 보안을 위한 생체인식 및 향상된 네트워크 시스템에 대한 Background Material을 소개

    - 선도적인 정책 및 법체계, 관련 기관, 현재 활용중이거나 개발중인 시스템, 생체인식의 활용, 관련 주요이슈 등을 소개

8. 신뢰의 경제

 □ 정보경제작업반(WPIE)과 정보보호작업반의 공동 프로젝트 제안

  o 제13차 작업반 회의에서 사무국은 전자상거래 시장에서 신뢰(Trust)의 중요성 및 편익에 대한 연구 Trust and The Information Economy를 2003년도 사업으로 제안

  o 정보경제작업반 사무국의 Graham Vickery는 회원국들의 의견을 반영한 수정된 사업제안서를 작업반에 보고

   - 신뢰와 정보경제에 관한 기존의 연구결과 및 관련 시장조사 등을 토대로 신뢰와 정보경제를 촉진시키는 경제·사회·기술·법적 요인과 구조, 시장실패의 발생여부 등에 대한 분석을 수행할 예정

   - 회원국들은 동 연구에 대해 전반적으로 동의의사를 표명하였으며 미국, 일본 등은 우선적으로 1차 기초조사를 수행한 후 작업반의 논의를 거처 향후 작업방향을 정하는 것이 바람직함을 강조

 □ 신뢰의 경제 프라이버시보호와 정보보호 이슈]

  o 사무국은 13차 회의에서 제안된 프라이버시와 전자성거래의 상관관계에 대한 연구의 일환으로 옥스퍼드대학 Bounded Rationality in Economic Behavior(BREB) Unit 및 Oxford Internet Institute(OII)가 공동으로 작성한 수정된 프로젝트 제안서를 작업반에 보고

   - 동보고서는 Identity, Security, Privacy의 상관관계, 전자상거래에 있어 신뢰가 가지는 경제적 의미,  e-economy에서의 신뢰제고 방안, 신뢰제고를 위한 제품현황 등으로 구성  

   - 회원국은 향후 동 프로젝트의 연구방향으로 신뢰의 경제적 영향에 대한 이해, 잠재적인 신뢰 형성 솔루션에 대한 평가, 신뢰-Identity-Privacy- security 간의 관계 분석, 신뢰의 사회적 영향에 대한 이해 등을 제안

 □ 신뢰의 경제 워크샵 제안

  o 핀란드 대표는 신뢰의 경제와 관련 한 논의를 가속화하기 위하여 2004년 겨울 관련 워크샵을 헬싱키에서 개최할 예정이며 위크샵의 의제 초안 등 관련 문서를  6월까지 사무국에 제출할 예정임을 밝힘

9. 스팸메일

 o 스팸메일 대응을 위한 민간 및 정부의 선도적 활동을 심도있게 고찰하고 국제 공조에 의한 대응방안을 검토하기 위한 프로젝트를 제안

   - 스팸의 명확한 개념 정의, OECD 회원국의 법적·제도적 접근 현황 조사, 자율규제 및 관련 단체 현황 조사, 전자마케팅(electronic Marketing)과 관련한 최신 솔루션 및 모범사례에 대한 조사 등을 제안

   - 회원국들은 동 프로젝트에 대해 전반적인 지지의사를 밝혔으며, 호주는 NOIE에서 작성한 SPAM 보고서를 참고자료로 배포

   - 미국대표는 FTC(공정거래위원회)의 주관하에 미국 워싱턴 D.C.에서 개최예정인 Spam Forum에 대해 소개

10. 2003 ∼ 2004 사업 우선순위 검토

 □  2003 ∼ 2004 정보보호작업반 사업계획 재검토

  o 사무국은 2003∼2004년 작업반 사업 내용 및 수행일정을 보고

 □ 개인정보보호와 관련한 향후 사업제안

  o 영국은 다국적 기업의 개인정보보호 행동강령(Codes of Practice)의 활용 및 행동강령 이행을 위한 국가 법집행기관간의 협력에 대한 연구를 새로운 사업으로 제안

   - 사무국은 현재 동 프로젝트와 관련해 다수의 다국적 기업과 기초작업을 수행하고 있으며 활용가능한 예산등을 고려해 프로젝트의 시작 시기를 결정할 예정임을 밝힘