KCI등재
위험분배의 관점에 기초한 정보통신기반보호법 개선 방안 = Recommendations on Reforming Critical Information Infrastructure Protection Act of Korea with a View from Risk Allocation
저자
발행기관
학술지명
권호사항
발행연도
2014
작성언어
Korean
주제어
등재정보
KCI등재
자료형태
학술저널
수록면
293-327(35쪽)
KCI 피인용횟수
4
제공처
소장기관
사이버 위험은, 과학기술의 진보가 전혀 의도하지 않았던 현대적 위험 가운데 하나로서, 사이버 공간이 존재하는 한 존재하는 위험이다. 사이버 위험은 위험의 지배자에게 위험이 배분되어야 한다는 점에서 사이버 공간의 모든 이용자들에게 적절하게 분배되어야 한다. 그러나 사이버 위험은 위험의 결과를 즉시 알 수 없고, 원인규명을 명확하게 할 수 없는 경우가 많으며, 사이버 보안에 대한 무임승차의 동인 및 투자대비 효용에 대한 명백한 자료와 데이터가 부재함으로 인하여 민간 자율에 의해 분배되기에는 곤란한 측면이 있다. 따라서 국가가 개입하여 사이버 위험에 대한 위험분배를 결정하고, 적합한 보안 수준 등을 지정함으로써 국가 전체적인 사이버 보안 수준을 향상 시켜야 한다. 특히 민간 기업들이 전력, 통신, 도로, 항공 등 국가의 핵심시설의 운영과 관련되어 있는 경우, 국가는 보다 적극적으로 사이버 위험에 대한 위험분배에 개입할 수밖에 없다. 우리의 경우 정보통신기반보호법을 통해 국가의 핵심 기능에 대한 사이버 위험에 대한 위험분배를 하고 있다. 이 법은 주요정보통신기반시설에 대한 사이버 위험이 관리기관에게 우선적으로 분배되도록 하고 있다. 즉 관리기관으로 하여금 자신의 비용과 부담으로 취약성 분석 평가를 통하여 사이버 위험을 식별하고 이를 기반으로 보호대책을 수립하여 보고하도록 하고 있다. 다만, 관리기관의 장은 보호대책의 수립과 관련하여 일정한 경우 기술적 지원을 요청할 수 있으며, 국가는 관리기관에 대한 지원 대책을 수립할 수 있다. 그런데 정보통신기반보호법이 국가안보에 관한 법률이며 사이버 보안은 국민 생활의 안정을 위하여 국가가 담보하여야 하는 점 등을 고려할 때, 사이버 위험은 국가가 우선적으로 분배받고, 관련 비용도 부담하여야 한다. 따라서 선언적으로 규정되어 있는 이 법 제25조의 관리기관에 대한 국가의 지원의무를 관리기관에 대한 “재정”지원으로 개정하고, “국가는 관리기관이 주요정보통 신기반시설보호대책의 수립, 제11조에 따른 보호조치 이행권고의 이행, 침해사고 예방 및 복구 등을 수행함에 있어 재정적 지원이 필요하다고 인정하면 대통령령으로 정하는 바에 따라 그 관리기관에게 필요한 자금의 일부를 보조하거나 융자할 수 있다.”고 개정하여야 한다. 아울러 정보통신기반보호법 제25조의2를 신설하여 관리기관 공제조합 설립의 근거를 마련하고, 국가로 하여금 일정 금액을 출연하거나 지원 할 수 있는 근거 규정을 마련하여야 한다. 한편 관리기관은 정보통신기반보호법 제7조에 따라 기술적 지원을 요청할 수 있는 데, 개인정보를 포함하고 있는 정보통신기발시설에 대해서는 국가정보원의 기술적 지원을 사실상 받을 수 없게 되어 있다. 이는 국가 핵심기능에 대한 사이버 위험을 국가가 부담하여야 한하는 위험분배의 관점에 반한다. 따라서 정보통신기반보호법 제7조를 개정하여 국가정보원으로 하여금 관리기관에 대한 기술적 지원을 원만하게 수행하도록 하여야 한다. 다만 개인정보 보호의 강화를 위해 제7조의2를 신설하여 국가정보원으로 하여금, 개인정보 보호조치를 취할 의무를 부담하도록 하고, 개인정보 보호조치 및 기술적 지원에 대하여 국회의 통제를 받도록 하여야 한다.
더보기Risks shall be allocated to a person, an institute or an organization which would have a power to control them. Cyber risks including cyber attacks, cyber threats and cyber crimes shall not be assigned to a person, institute an institute or an organization because cyber space shall not be controled. Cyber security, responding and making measures standards and policies against cyber risks, shall be regarded as public good and under market failures. A person, an institute or an organization will not be willing to take actions against cyber risks. Therefore, cyber risks shall be allocated to a state. In Korea, to protect critical information infrastructures from cyber risks, “Critical Information Infrastructure Protection Act” has been enacted since 2002. According to the Act, cyber risks on critical information infrastructures shall be allocated to the Management Agencies, some of which are from public parts but others are form private sectors. However, cyber risks shall be distributed to a state, under the principle of the risk allocation. In considering the principle, the Act shall describe duties of a state in order to support the Management Agencies especially from the private parts. Article 25 of the Act depicts that a state shall support the Management Agencies by providing equipments, technical assistance and other supports to protect critical information infrastructures. This article shall not illustrate any detailed procedures and programs. Therefore, the Management Agencies shall not have any actions or claims against a state to enforce the duties. In this paper, I recommend amending the title of this article to “financial support to the Management Agencies” and insert clauses with which state shall provide “government subsidies” and “loans” directly to the Agencies. Furthermore, I recommend establishing Mutual Benefit Association of the Agencies to support each other. The Management Agencies have a right to require ‘technical assistance’ to authorities of a state, such as ‘Ministry of Science, ICT and Future Planning’, ‘National Intelligence Service(NIS)’ and other institutions, when they suffer from cyber risks and prepare to establish Responding Plan or taken ‘vulnerability analysis and assessment according to the article 7 of the Act. However, the NIS, the best expert technical authority on cyber security in Korean government, shall be excluded on technical assistance when a required Management Agency has a critical information infrastructure including personal information. It is because all of the Management Agencies’ critical information infrastructures contain personal information, NIS shall not aid ‘technical assistance’ even if it has a technical priority on this field. Therefore, I advocate to amend the article 7, allowing NIS to make technical assistance. Additionally, I recommend a new clause to the article 7-2 which mandates a duty for NIS to maintain and protect personal information comprised in the critical information infrastructures. Under the article 7-2, I recommend describing other clauses that National Assembly shall control the technical assistance activities made by NIS, to depend personal information.
더보기분석정보
연월일 | 이력구분 | 이력상세 | 등재구분 |
---|---|---|---|
2022 | 평가예정 | 재인증평가 신청대상 (재인증) | |
2019-01-01 | 평가 | 등재학술지 유지 (계속평가) | KCI등재 |
2016-01-01 | 평가 | 등재학술지 유지 (계속평가) | KCI등재 |
2012-01-01 | 평가 | 등재학술지 선정 (등재후보2차) | KCI등재 |
2011-01-01 | 평가 | 등재후보 1차 PASS (등재후보1차) | KCI후보 |
2010-01-01 | 평가 | 등재후보학술지 유지 (등재후보1차) | KCI후보 |
2008-01-01 | 평가 | 등재후보학술지 선정 (신규평가) | KCI후보 |
기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
---|---|---|---|
2016 | 0.81 | 0.81 | 0.78 |
KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
0.75 | 0.68 | 0.998 | 0.2 |
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)