<해설> OECD보안가이드라인 수정 의미와 전망

 

 지난 92년 마련된 OECD 정보보호(시큐리티) 가이드라인이 제정된지 무려 10년만에 개정된다. 정보보호 가이드라인은 통상적으로 5년마다 수정하도록 돼 있지만 지난 97년에는 회원국들의 무관심으로 해를 넘겼다.

 이에 따라 그동안 급속히 발전한 정보기술이 이번 수정 정보보호 가이드라인에 반영될 것으로 보여 변화가 예상된다. 특히 이번 수정작업에는 지난해 9·11 테러를 겪으면서 보안의 필요성을 절감한 미국이 주도적으로 나서고 있다는 점에서 OECD 각국의 관심이 모아지고 있다.

 ◇OECD 정보보호 가이드라인이란=OECD산하 정보·컴퓨터·커뮤니케이션 정책위원회(ICCP)에 소속된 정보보호작업반(WPISP:the Working Party on Information Security and Privacy)이 지난 92년 안전한 네트워크 환경을 조성하기 위해 규정한 일종의 정보보호관련 지침이다.

 글로벌 네트워크에서의 신뢰구축, 특히 정보보호 분야와 프라이버시 및 개인정보보호 분야와 관련한 문제를 다루며 OECD 회원국의 정부와 민간부문 대표로 구성돼 운영된다.

 정보보호와 관련해서는 지난 92년과 97년 각각 정보시스템에 대한 보안가이드라인과 암호정책가이드라인을 제정했으며 최근에는 전자인증 분야와 개인정보 및 프라이버시 보호에 집중하고 있다.

 ◇개정안의 쟁점=정보보호 가이드라인은 보안원칙과 해설서로 구성돼 있다. 이번 수정작업은 정보보호 원칙을 중심으로 진행되고 있다. 정보시스템 관련자들의 인지·책임·윤리·민주주의·협력 등 모두 9개 항목으로 구성돼 있으며 이 가운데 인지(Awareness)와 책임(Responsibility) 두 항목이 쟁점으로 떠오르고 있다.

 미국은 개발자뿐만 아니라 판매자·사용자들도 교육·훈련·주의 등을 통해 보안의 위험성을 인식해야 한다고 주장하고 있으며 책임소재는 모든 관계자들에게 있음을 강조하고 있다.

 이와 관련해 프랑스 등 유럽 국가들은 정보시스템 개발자들이 사용자들에게 보안취약성 등 적절한 정보를 제공함으로써 사용자들이 위험성을 인지하도록 해야 한다는 점을 강조하고 있으며, 책임과 관련해서는 대체적으로 미국과 비슷한 시각이지만 개발자쪽에 무게를 두고 있다.

 업계에서는 미국의 이같은 주장에 대해 “미국이 정보시스템 개발을 주도하고 있기 때문에 개발자뿐만 아니라 판매자·사용자에게까지 인지와 책임을 연대하려는 것”이라고 분석하고 있다. 지난해 9·11 테러 이후 미국에서 보안의 중요성이 부각된 탓도 있지만 사실은 이 때문에 미국이 보안가이드라인 수정작업에 적극적으로 나서고 있다는 것이다.

 미국측의 주장이 관철된다면 정보보호시스템에서 발생할 수 있는 보안 위험성에 대해 개발자들은 다소간 책임을 면할 수 있을 것으로 보여 미국 정보시스템 업체들에는 희소식이 될 전망이다. 9개 항목 가운데 나머지 항목에 대해서는 국가간 의견차가 크지 않았다.

 ◇일정=지난달 제12차 정보보호작업반 회의때 초안이 배포됐다. 작업반은 이에 대해 회원국들의 의견수렴을 거쳐 15일 1차 수정안을 만들고 오는 22일 회의를 거치는 등 6월 말까지 각국의 의견을 수렴할 계획이다. 최종 수정안은 9월 말까지 마련해 각료회의에 상정한 뒤 10월 초 발표할 계획이다. 이와 함께 작업반은 보안가이드라인 수정작업이 끝나는 대로 캐나다가 제안한 전자인증 매핑(mapping) 프로젝트를 진행할 예정이다.

 ◇우리나라 입장=정통부는 OECD가 마련하는 보안가이드라인이 국내 정보기술 정책에 영향을 미칠 수 있다고 보고 OECD정보보호 작업반의 움직임을 예의주시할 계획이다. 정통부는 이를 위해 KISA 내에 정보보호작업반을 두고 정보보호작업반 관련실무를 지속적으로 수행토록 하는 한편 필요에 따라 대응방안을 마련키로 했다.

 정통부 관계자는 “보안가이드라인은 의무적인 것 같지는 않아 아직 구체적인 대응방안은 마련하지 않은 상태지만 조만간 관련기관과 전문가들과 협의를 거쳐 정부의 방침을 결정할 것”이라고 밝혔다.

 <박영하기자 yhpark@etnews.co.kr>