사이버 안보법-독일
사이버 안보법 - 독일
독일은 사이버 안보의 실행을 위해 헌법적인 한계를 두고 포괄적으로 안보에 대해 접근하고 있다. 부처 원칙의 핵심은 명확한 업무의 분장으로 정치적 책임을 지고 담당 장관은 자 부처의 관할 문제에 어떤 방식으로 대응해야 하는지 결정하며 그에 따른 책임을 전적으로 진다. 협력을 위한 압력 또는 책임의 포기는 헌법의 아주 제한된 조건하에서만 가능하다. 또 정부의 합의 원칙과 수상의 국정방향설정권한을 통해서만 가능하다.
1. 법적 근거
가. 연방정보기술안정청설치법(1991)
정보통신기술시스템의 연구ㆍ개발, 정보통신시스템 안전성 검사, 인증서 발급, 국가기관 및 민간기관에 대한 기술 지원 및 자문제공
나. 국제테러대책법(2002)
테러대책을 위한 제정확보, 효율적인 테러기관의 권한강화, 신원확인, 주요시설의 보안강화
다. 정보통신법(2004)
정부기관의 기밀누설 방지, 데이터의 안전성 확보, 네트워크 침해사고 방지, 정보 요청 시 인터넷 통신사업자의 정보통신 서비스 제공자 정보 제공
라. 에너지법(2011)
에너지공급망 운영을 위한 정보기술 보안 의무 부여
마. 원자력법(2015)
핵연료와 기술, 시설 운영자 보안의무 부여
바. IT보안법(2015.7.25.)
기업 및 연방행정의 IT보안 수준을 향상, 정보통신망을 통한 시민보호 강화, 연방정부의 IT보안구축, 연방정보기술보안청(BSI)과 연방범죄수사청(BKA)의 역할 강화
1) 「정보기술 시스템 보안 증진에 관한 법률」 제정
가) 조항법률(Artikelgesetz)로서 IT보안과 관련하여 독일의 연방정보기술보안청 설치법, 에너지관리법, 텔레미디어법, 전기통신법, 연방범죄수사청법등 관련 법률을 변경하고 보충하는 법률.
독일에서 사이버 보안을 보장하기 위한 포괄적인 법적 틀을 처음으로 고안하고 시행한 것
나) 사이버 안보법은 조문법률이다. 기존에 존재하고 있는 법률들의 조항 중 관계되는 조문을 모아 해당 조문의 내용을 개정하여 내용적 측면에서 개선·강화한 옴니버스법안
다) 이들의 권한의 배분과 역할을 입법적으로 정리하고 주요 인프라 운영자들에게 의무를 부과하기 위해 필요한 법적 근거
2) 연방정보기술보안청 관련 법률
가) 연방정보기술보안청법: 연방정보기술보안 강화를 위한 법률(2009.08.20.발효)
- 연방정보기술보안청(BSI)의 법적 근거
① 1991년 ~ 2009년 연방정보기술보안청 설립에 관한 법률: 평가·인증업무와 함께 정보통신기술 시스템의 연구개발, 정보통신 시스템 안전성 검사, 동 시스템과 내용심사를 통한 안전성 위험 조사, 평가서 및 인증서 발급, 정보통신 시스템의 허가를 비롯한 국가기관 및 민간기관에 대한 기술지원과 자문제공을 규정
② 연방정보기술보안청법 제4조: IT보안에 대한 중앙신고기관으로서 정보기술 보안에 대한 새로운 침입방식과 보안결함에 대한 정보를 수집하고 이를 평가한다. 이로써 사이버 공간을 신뢰할 수 있는 상태로 만들어내고 외부의 공격을 일찍 발견하여 이에 대한 대책을 취할 수 있는 것
③ 연방정보기술보안청법 제5조: 프로토콜 데이터 및 연방통신기술 인터페이스에서 생성된 데이터를 수집, 평가, 저장, 사용 및 처리할 수 있는 권한을 갖게 되었다. 이를 통해 IT 공격 징후를 사전에 탐지하고 타겟 목표에 대처할 수 있게 되었다. 요컨대, 예방적 조치에 관한 권한을 강화한 것 → 연방정보기술보안청의 권한은 확대
④ 연방정보기술보안청법 제7조: 연방정보기술보안청은 정보기술 제 품과 서비스의 안전성 결함, 바이러스 프로그램에 대한 정보내용 및 경고 메시지 등 을 관련 기관이나 공중에 알려야 한다. 이때 우선적으로 사전에 제조자에게 알릴 의 무가 있고, 이어서 공중에게 공개해야 한다.
⑤ 연방정보기술보안청법 제8조: 연방행정에 대한 통일적이고 엄격한 보안표준을 정의하고 필요한 경우에는 적절한 제품을 개발 하거나 입찰을 제공할 수 있는 권한을 갖게 되었다. 이렇게 함으로써 적합하지 않은 곳에 부적절한 제품이 사용되거나 조작된 IT구성요소가 연방행정 및 정부망에서 사용되는 것을 방지할 수 있게 되었다.
나) IT보안법에 따라 개정된 연방정보기술보안청법
- 연방정보기술보안 강화를 위한 법률
① 연방정보기술보안청법 제7조: IT 제품의 안전성 결함 및 바이러스 프로그램에 대한 경고를 알리는 것 이외에도 데이터 손실 또는 데이터에 대한 무단 접근이 있었을 경우 이에 대한 경고를 발할 수 있게 되었다.
② 연방정보기술보안청법 제7조a: 판매중이거나 판매 예정인 IT 제품 및 정보 시스템의 안전성을 검사할 수 있고 제3자에게 검사를 위탁할 수도 있다. 이로써 사이버 보안에 관한 연방정보기술보안청의 권한이 더욱 강화되었다.
③ 연방정보기술보안청법 제8조a: 주요기반시설 운영자는 정보 시스템의 오류를 방지하기 위해 현재의 기술수준을 준수하고 기술적·관리적 조치를 강구해야 한다. 주요기반시설 운영자는 이렇게 현재의 기술수준에 따라 IT 보안을 구현하는 대책을 강구하고 있음을 연방정보기술보안청에 정기적으로 보고해야 하고 2년마다 인증을 받아야 한다. 보안결함이 발견되는 경우에는 연방정보기술보안청은 감독당국과 합의하여 결함을 해결할 것을 명령할 수 있다.
④ 연방정보기술보안청법 제8조b: 주요기반시설의 IT보안을 실현하기 위한 중앙신고기관 역할도 담당한다. IT보안에 관한 심각한 장애 요소가 중요한 서비스의 가용성에 영향을 끼칠 수 있는 경우에는, 주요기반시설 운영자는 연방정보기술보안청에 당해 IT장애사항을 신고해야 한다. 반대로 연방정보 기술보안청은 주요기반시설의 IT보안에 대한 공격을 방어하는 데 필요한 모든 관련 데이터를 수집·평가하고 여기서 획득한 정보를 다른 주요기반시설 운영자와 관할당국 및 감독당국에 제공해야 한다. 즉 ‘정보공유’를 해야 하고 IT장애사항이 신고의무가 있는 주요기반시설 운영자에게는 필요한 경우 해당 IT 제품 및 정보 시스템의 제조자에게 협력하도록 요청할 수 있다.
다) NIS지침에 따라 개정된 연방정보기술보안청법(2018.05.10.부터 시행)
① 개정 연방정보기술보안청법 제5조a: 연방정보기술보안청에 ‘모바일사고 대응팀’(Mobile Incident Response Teams: MIRTs)을 설치할 수 있는 법적 근거를 확보
② 개정 연방정보기술보안청법은 제8조c: 적용대상이 되는 주체가 확장됨(기존의 주요기반시설 운영자뿐만 아니라 독일에 있는 디지털 서비스 제공자, 독일 안에서 임명된 디지털 서비스 제공자 대표, 독일 안에서 디지털 서비스 제공을 위해 네트워크 및 정보 시스템을 운용하는 업체들까지 적용대상
③ 디지털 서비스 제공자가 개정 연방정보기술보안청법 기준을 충족하지 못하는 경우에는 최고 5만 유로에 달하는 과태료가 부과되고 주요기반시설 운영자가 보안과 관련된 감사, 점검, 인증과정에서 발견된 결함을 제거하지 않는 경우에는 최고 10만 유로의 과태료가 부과됨
3) 통신법
가) 연방망관리청의 권한에 관한 규율
- 연방망관리청의 법적 근거 : 통신법(Telekommunikationsgesetz: TKG)
- 연방망관리청의 책무를 효과적으로 현실화시키기 위해 제126조, 제127조에서 정보통신기업에 대한 일련의 개입 권한과 절차를 부여하고 있음
[통신법 제126조]
① 제1항: 연방망관리청은 사업자가 동법 등에 근거한 의무를 이행하지 않는다고 판단되는 경우에는 일정한 기한을 정하여 사업자가 사유서를 제시하고 문제를 해결하도록 요청할 수 있다. 일반 공중을 위해 통신망 운영자 및 통신서비스 제공자로 하여금 연방망관리청에 정보를 제공하도록 하는 의무를 부과하고 있다.
② 제2항: 사업자가 특정한 기간 안에 의무를 이행하지 못하면 연방망관리청은 일정한 기한을 정하여 의무를 이행하는데 필요한 조치를 명령할 수 있다.
③ 제3항: 사업자의 의무위반이 중대하거나 반복적인 방식으로 의무를 위반하는 경우에는 연방망관리청은 통신망 운영자 또는 통신서비스 제공자의 활동을 금지할 수 있다.
④ 제6항 및 제7항: 압류명령 및 조사명령에 관한 권한도 규율
⑤ 연방망관리청에 소속되어 있는 결정위원회의 권한에 관해 규율
첫째, 통신법 제2장에 의한 시장규제
(그 밖에 진입규제와 요금규제, 특별한 권한남용의 감독 및 그 밖의 의무)
둘째, 주파수 부족 시 그 교부절차에 관한 결정(제55조 제9항) 및 그 교부절차의 형성(제61조)
셋째, ‘주파수거래’의 형성(제62조)
넷째, 보편적 서비스 의무의 부담(제81조)
다섯째, 통신법 또는 동법에 따른 의무와 관련하여 공공통신망을 운영하는 주체 또는 공공에 대한 정보통신서비스 제공자들 간에 각종 분쟁이 발생하는 경우(제133조) 등의 사안을 결정
나) 통신비밀, 데이터보호, 공공안전에 관한 규율
[통신법 제2조 제2항]
① 통신 영역에서 이용자의 이익, 특히 소비자의 보호 및 통신비밀의 보장
② 공정한 경쟁의 담보와 통신서비스와 통신망의 영역 및 그에 속한 시설과 서비스, 모든 지역의 영역에서 지속적으로 경쟁지향적 통신시장의 지원
③ 효과적인 기간시설투자의 지원 및 혁신의 지원
④ EU 역내시장 발전의 지원
⑤ 모든 지역에서 적정한 가격에 의한 기본적 통신서비스(보편적 서비스 급부) 공급의 보장
⑥ 공공시설에서 통신서비스의 지원
⑦ 주파수의 효과적이고 방해 없는 이용의 담보, 방송의 이해도 고려
⑧ 번호부여 수단의 효과적 이용 보장
⑨ 공공안전 이익의 보장
[통신법 제7장]
통신비밀(제1절), 데이터보호(제2절), 공공안전(제3절)을 규율함으로써 사이버 보안에 대비
[통신법 제111조]
수사기관의 정보제공요청을 거부한 사건들과 관련하여 입법된 조항
① 제1항: “기타 연결정보” 또는 “고정된 네트워크 주소 또는 추측으로 식별 가능한 네트워크 주소”를 근거로 하여 통신법이 사이버 통신에도 적용될 수 있도록 하고 있다.
즉, 보안관청으로부터 정보제공을 요청받아 통신서비스에서 식별 가능한 정보를 제공하는 경우에는 ‘정보제공요청’과 관련하여 통신법 제112조 및 제113조가 규정하는 고지절차 등을 준수할 책임이 있다.
(고지대상이 되는 정보내용으로는 전화번호 및 기타 연결정보, 성명과 추측으로 식별 가능한 주소, 자 연인의 생일, 고정된 네트워크 주소 또는 추측으로 식별 가능한 네트워크 주소, 이동 단말기의 접속과 제공으로 이동단말기의 번호 식별이 가능한 경우의 단말기 사용계약 개시정보 등이 포함)
보안관청은 통신법 제112조 및 제113조가 규정하는 절차를 준수하는 경우에는 제111조에 따라 고객의 데이터를 확보할 수 있다. → 보안관청의 권한이 강화
다) IT 보안법에 따라 개정된 통신법
IT보안법은 시민을 더욱 안전하게 보호하기 위해 통신법상 통신사업자에게 다음과 같은 의무를 부여
[통신법 제109조 제1항과 제2항]
통신사업자는 개인정보보호뿐만 아니라 허가되지 않은 침입으로부터 기반시설을 보호하기 위해 현재의 기술수준에 따른 IT 보안조치(기술적·관리적 조치)를 취하고 유지해야 한다. IT보안책임자를 임명하여 IT보안대책도 수립해야 한다.
[통신법 제109조a 제4항]
통신서비스 제공자는 이용자에게 유해한 프로그램에 관한 정보와 당해 프로그램에 대한 장애 발견 및 제거에 관한 정보를 제공해야 한다.
[통신법 제109조 제5항]
중대한 IT장애사항은 연방망관리청뿐만 아니라 연방정보기술보안청에도 신고해야 한다. → 연방정보기술보안청의 역할이 확대
라) NIS지침에 따라 개정된 통신법
[통신법 제109조 제5항]
NIS지침의 독일법 전환 법률에 의해 연방정보기술보안청의 역할 확대하는 내용으로 개정
① 통신 네트워크 및 서비스의 결함 등은 연방망관리청뿐만 아니라 연방정보기술보안청에도 보고되어야 한다.
② 공공통신 네트워크를 운영하거나 공개적으로 이용 가능한 통신서비스를 제공하는 자는 연방정보기술보안청에 등록을 하도록 하였다.
③ 연방정보기술보안청은 공공 통신 네트워크를 운영하거나 공개적으로 이용 가능한 통신서비스를 제공하는 자가 정확한 신고를 하도록 보장할 수 있고 이들 통신서비스 제공자는 연방정보기술보안청의 상황정보 및 경고정보를 수신 받는 그룹에 포함되어 일련의 정보를 공유할 수 있게 되었다.
④ 통신서비스 제공자는 등록을 함으로써 시설을 보호하는데 도움이 되는 제품을 제공받을 수 있다.
4) 텔레미디어법(Telemediengesetz: TMG)
가) 텔레미디어법의 적용범위
[텔레미디어법 제1조]
① 통신법의 적용영역을 제외한 모든 전자적 정보와 통신서비스에 대해 텔레미디어법이 적용된다.(조세 영역은 적용에서 제외)
② 방송과 통신 네트워크뿐만 아니라 모든 융합서비스를 포괄한다. 인적 적용범위도 공영방송을 포함 한 모든 서비스 제공자들을 포괄한다. 방송이면 유료방송이든 무료방송이든 불문하고 적용된다.
나) 텔레미디어 이용에 대한 법률관계와 정보보호
① 서비스 제공자와 이용자의 관계를 규율할 때 ‘서비스 제공자가 일방향으로 방송하던 시대에서 쌍방향으로 방송하는 시대로 전환되는 변화’를 배경으로 하여 법률관계를 설명
② 서비스 제공자에게 는 정보는 특별히 정해진 목적을 위해서만 수집·처리·이용되어야 한다. → 연방정보보호법 제28조: ‘목적구속성(Zweckbindung)원칙’(정보보호법의 보편적인 원칙의 관련 내용을 규정)
다) IT보안법에 따라 개정된 텔레미디어법
[텔레미디어법 제13조 제7항]
① IT 보안법은 텔레미디어법에 대한 개정 내용도 일부 포함 → 텔레미디어법 제13조 제7항을 신설하여 서비스 제공자에게 기술적·관리적 조치를 이행하는 것을 의무화함
2. 정리
1) 독자적인 사이버 보안 관련 거버넌스
2) 사이버 보안에 관한 강력한 권한
3) 공적 영역과 사적 영역의 상호협력
4) 정보공유
5) 기술적·관리적 조치 강화
6) 독자적인 망 관리 거버넌스
※ 출처
양천수, 김중길. (2019). 독일의 사이버 보안법. 법제연구 제56호.