정부가 정보보호 정책 수립 및 이행의 부처 역할을 법에 명확히 명시하지 않아 혼란을 빚고 있다. 범국가적 보안 위협이 고조된 상황에서 관련 법률 재정비가 시급하다는 지적이다.
22일 관련 기관에 따르면, 국가정보화기본법 등 관련법에 명시한 국가 정보보호 정책 수립 주체가 행정안전부와 국가정보원 등으로 혼재됐다. 전자정부법, 정보통신기반보호법은 조항마다 권한 부여가 다르다. 이렇다 보니 정책을 수립·집행하는 주무부처는 영향력이 큰 국가정보원 눈치만 본다.
국가정보화기본법 6조 4항은 행안부 장관이 국가정보화 정보보호 관련 정책을 작성 지침하고 국정원에 통보하도록 했다. 행안부가 국가 정보보호 정책의 주무부처임을 확실히 했다. 그런데 시행령은 국정원이 지침을 정해 행안부에 통보하도록 했다. 35조 1항에 `정보보호시스템 성능과 신뢰도 관련 평가나 인증, 세부지침 마련은 국정원과 협의하도록 하고, 국정원이 세부 지침을 정해 행안부에 통보하면 협의를 거친 것으로 본다`고 명시했다. 법과 시행령이 상충하는 셈이다.
전자정부법도 마찬가지다. 24조 1항에 `행안부 장관은 전자적 대민서비스 관련 보안대책을 국정원장과 사전 협의해야 한다`고 명시했다. 56조 3항과 시행령 69조엔 `국정원장이 모든 보안 조치와 이행여부를 확인하는 것은 물론이고 따로 지침도 정할 수 있다`고 했다. 국정원이 행안부와 협의 없이 별도로 지침을 마련할 수 있게 했다.
정보통신기반보호법도 그렇다. 행안부와 국정원이 주요 정보통신기반시설보호대책 이행 여부를 확인하도록 5조 2항에 명시했다. 7조 등엔 주요 시설은 국가정보원이 우선 조치를 취할 수 있는 법적 근거를 뒀다.
법 조항을 지나치게 확대 해석한다는 지적도 나왔다. 국가정보화기본법 시행령 35조에 명시한 국정원의 평가·인증 및 지침 마련 역할은 정보보호시스템에 한정했지만 정보보호 정책 전반으로 확대 해석한다. 전자정부법 시행령 69조에 명시한 국정원 역할도 전자문서의 보관·유통에 관한 보안조치인데 이 역시 보안 전체에 대한 조치로 받아들여진다. 실제로 국정원은 공공기관 정보보호 정책 전반에 걸쳐 컨트롤타워 역할을 수행한다.
정부 관계자는 “정보보호 법은 과거 국정원 영향력이 클 때 만들어져 그대로 유지됐다”면서 “대부분 제·개정이 쉬운 시행령에서 국정원 역할을 확대해 다뤘다”고 밝혔다.
김승주 고려대학교 사이버국방학과 교수는 “우리나라 정보보호 법은 정부부처 역할을 가치 중심이 아닌 영역으로 구분하려다 보니 역할이 상충되거나 모호해졌다”면서 “미국처럼 공공기관이라도 정보보호 대상에 따라 국정원과 행안부가 관여하는 정도가 달라야 한다”고 충고했다. 이어 김 교수는 “현실에 맞게 정보보호 관련 법·시행령을 시급히 정비해야 한다”고 덧붙였다.
주요 정보보호 법률 상충되는 내용
자료 : 법제처
신혜권기자 hkshin@etnews.com, 장윤정기자 linda@etnews.com
