발간물
연구자료
목록으로
사이버안보는 군사안보, 에너지 안보, 경제안보와 같은 국가안보의 하위 개념이다. 사이버안보는 디지털화의 영향으로 국가 핵심 기반시설이 운영되는 안보 중심이 된 사이버공간을 사이버상 공격 또는 위협으로부터 방어하여 적절히 기능하게 함으로써 국가와 국민의 안전이 보장되는 상태 또는 활동이라고 정의할 수 있다. 이때 사이버공간은 ‘정보시스템’과 여기에 저장된 ‘정보’로 구성된다.
사이버안보 규범에 관한 국제적 논의 과정에서는 미국을 중심으로 한 서방 자유민주 국가와 러시아 및 중국 사이의 견해 대립이 계속되었다. 그럼에도 UN 차원에서는 정부 전문가 그룹(UNGGE)이 2004년부터 활동하고 있다. UNGGE의 제3차 보고서에서는 사이버공간에 국제법이 적용된다는 원칙을 처음 확인했고, 국가의 영역관리 책임을 노력 의무로 인정하는 등 제한적이나마 성과가 있었다.
미국 등 서방 국가는 사이버공간을 별도 영역으로 인정하는 태도를 보인다고 평가할 수 있는 한편, 현행 국제법이 사이버공간에 그대로 적용될 수 있다고 주장한다. 러시아와 중국 등 비서방 진영은 사이버공간이 별도 영역이 아니라는 태도를 보인다고 평가할 수 있는 한편, 시스템 등 물리적인 ICT 기반시설 또는 정보가 저장된 서버의 위치가 국내이면 국내법이, 외국이면 외국법이 적용될 뿐 국제법은 적용되지 않는다고 주장한다.
주요국의 사이버안보 정책을 전략과 법률로 나누어 조사한 결과는 다음과 같다. 미국의 2023년 「국가 사이버안보 전략」에 따라 민간시설에 대한 사이버안보의 최소 요건이 권고되었다. 「CISA 전략계획 2023~2025」는 핵심 네트워크에 대한 침해가 발생하기 전에 능동적으로 위협을 완화한다는 내용을 포함한다. 또한 「2022년 핵심 기반시설 사이버사고 보고법」은 핵심 인프라 소유자에게 사이버사고 발생과 랜섬웨어 피해에 대해 각각 72시간, 24시간 내 보고의무를 부과했다. 여기서 미국 사이버안보 정책의 특징으로는 능동적 방어 전략을 택한 점, 그리고 상당수 인프라를 민간이 소유 또는 운영하는 점을 고려하여 민간과의 공조를 강화한 점을 들 수 있다.
EU는 2013년 「EU 사이버안보 전략」에서 안전하면서도 개방적인 사이버공간을 강조했으나, 2020년 동명의 전략에서는 복원력과 기술 주권을 강조했다. EU의 사이버안보 법률은 직접적인 수입 제한 조치보다는 인증 제도 또는 표시 제도와 같은 간접적인 조치를 취하는 특징이 있다. 2019년 「사이버안보법」을 제정하여 다양한 사이버보안 인증 제도를 마련하고 있다. 이에 따라 2024년에는 ICT 상품에 대한 EUCC 인증 시행법이 제정되었다. 클라우드컴퓨팅 서비스, 5G 통신, AI에 대한 인증도 준비하고 있다. 또한 2024년 「사이버복원력법」은 디지털 요소가 있는 소프트웨어 또는 하드웨어 상품에 이 법에 따른 보안 사항을 준수한다는 CE 표지를 부착할 법적 의무를 수입업자 또는 유통업자에 부과한다.
일본의 2022년 「국가안보전략」에서 제안된 ‘능동적인 사이버 방어’는 미국의 전략과 유사한 것으로 확인된다. 「경제안보추진법」을 근거로 한 기간 인프라 방호제도는 소관 부처에서 지정한 민간사업자를 대상으로 특정 중요 설비 도입 시 및 유지관리 등의 위탁 시 사전심사를 요구하며, 정부는 설비 도입 중지 명령권을 갖는다. 일본정부는 기업의 자발적 참여에 의한 인증 제도인 「IoT 제품에 대한 보안 적합성 평가제도」를 마련했다.
우리나라의 2024년 「국가 사이버안보 전략」은 자유·인권·법치 수호라는 민주적 가치를 표방한 점과 공세적 사이버 방어와 대응 전략을 도입한 점을 특징으로 볼 수 있다. 사이버안보 법률의 특징은 통합된 법률이 없이 관련 규정이 여러 법률에 흩어져 있다는 것이다. 이는 필연적으로 통합된 관리 조직의 출현을 어렵게 만든다. 그러나 클라우드컴퓨팅 등 변화하는 사이버안보 상황에 신속하게 대응하는 점은 돋보인다.
사이버안보 조치에 대한 국제통상법의 적용 가능성은 다음과 같다. 사이버안보 조치는 WTO 협정에 위반된다는 판단이 내려질 가능성이 크다. 국가안보 예외 규정을 다룬 WTO 판정례는 모두 전시 또는 국제 관계에서의 긴급상황에 관한 것이다. 평시의 조치가 국가안보 예외로 인정되려면 조치 당시에 목적을 인식했다는 주관적 증거와 실제로 군사시설 등에 간접적으로 공급한다는 증거가 있어야 한다는 견해가 있다. 패널은 당사국이 자국의 필수적 안보 이익의 보호를 위해 필요한 조치라고 신의성실하게 판단했는지를 심사할 수 있다. 국제투자중재 사건인 Seda v. Colombia에서도 결론은 같았다.
우리나라의 사이버안보 정책에 대한 시사점은 다음과 같다. 첫째, 사이버 무력공격에 이르지 않은 사이버 부당 이용 또는 사이버공격에 대해서는 자위권을 행사할 수 없다. 둘째, 공세적 방어 전략은 신중하게 추진되어야 한다. 임박한 무력공격을 대상으로 하는 선제적 자위가 국제관습법에 따라 허용된다는 견해가 있다. 그러나 임박성을 판단할 구체적 기준에 대한 논란이 있다. 셋째, 사이버공간에 대한 국가의 영역관리 책임 또는 상당 주의 의무라는 법리는 우리나라가 북한으로부터의 사이버 위협에 대응하는 데 유용하게 활용할 수 있다. 넷째, 통합된 사이버안보법을 마련할 필요가 있다.
우리나라의 통상 정책에 대한 시사점은 다음과 같다. 첫째, 주요국이 도입하는 사이버안보 조치를 지속적으로 관찰하여 우리 수출 기업이 받는 부정적 영향을 최소화해야 한다. 둘째, 우리 기업이 미국 또는 EU 시장 등에서 제3국과 경쟁할 때 사이버안보 관련 표지 및 인증 제도 등에서 유리한 위치에 설 수 있도록 우리 정부가 지원해야 한다. 셋째, 우리나라가 사이버보안 조치를 할 때는 통상규범에 저촉되지 않도록 정밀한 제도 설계와 운영이 필요하다. 넷째, 국가가 통상협정의 국가안보 예외 규정을 주장할 때도 신의칙에 따른 심사가 이루어진다.
사이버안보 규범에 관한 국제적 논의 과정에서는 미국을 중심으로 한 서방 자유민주 국가와 러시아 및 중국 사이의 견해 대립이 계속되었다. 그럼에도 UN 차원에서는 정부 전문가 그룹(UNGGE)이 2004년부터 활동하고 있다. UNGGE의 제3차 보고서에서는 사이버공간에 국제법이 적용된다는 원칙을 처음 확인했고, 국가의 영역관리 책임을 노력 의무로 인정하는 등 제한적이나마 성과가 있었다.
미국 등 서방 국가는 사이버공간을 별도 영역으로 인정하는 태도를 보인다고 평가할 수 있는 한편, 현행 국제법이 사이버공간에 그대로 적용될 수 있다고 주장한다. 러시아와 중국 등 비서방 진영은 사이버공간이 별도 영역이 아니라는 태도를 보인다고 평가할 수 있는 한편, 시스템 등 물리적인 ICT 기반시설 또는 정보가 저장된 서버의 위치가 국내이면 국내법이, 외국이면 외국법이 적용될 뿐 국제법은 적용되지 않는다고 주장한다.
주요국의 사이버안보 정책을 전략과 법률로 나누어 조사한 결과는 다음과 같다. 미국의 2023년 「국가 사이버안보 전략」에 따라 민간시설에 대한 사이버안보의 최소 요건이 권고되었다. 「CISA 전략계획 2023~2025」는 핵심 네트워크에 대한 침해가 발생하기 전에 능동적으로 위협을 완화한다는 내용을 포함한다. 또한 「2022년 핵심 기반시설 사이버사고 보고법」은 핵심 인프라 소유자에게 사이버사고 발생과 랜섬웨어 피해에 대해 각각 72시간, 24시간 내 보고의무를 부과했다. 여기서 미국 사이버안보 정책의 특징으로는 능동적 방어 전략을 택한 점, 그리고 상당수 인프라를 민간이 소유 또는 운영하는 점을 고려하여 민간과의 공조를 강화한 점을 들 수 있다.
EU는 2013년 「EU 사이버안보 전략」에서 안전하면서도 개방적인 사이버공간을 강조했으나, 2020년 동명의 전략에서는 복원력과 기술 주권을 강조했다. EU의 사이버안보 법률은 직접적인 수입 제한 조치보다는 인증 제도 또는 표시 제도와 같은 간접적인 조치를 취하는 특징이 있다. 2019년 「사이버안보법」을 제정하여 다양한 사이버보안 인증 제도를 마련하고 있다. 이에 따라 2024년에는 ICT 상품에 대한 EUCC 인증 시행법이 제정되었다. 클라우드컴퓨팅 서비스, 5G 통신, AI에 대한 인증도 준비하고 있다. 또한 2024년 「사이버복원력법」은 디지털 요소가 있는 소프트웨어 또는 하드웨어 상품에 이 법에 따른 보안 사항을 준수한다는 CE 표지를 부착할 법적 의무를 수입업자 또는 유통업자에 부과한다.
일본의 2022년 「국가안보전략」에서 제안된 ‘능동적인 사이버 방어’는 미국의 전략과 유사한 것으로 확인된다. 「경제안보추진법」을 근거로 한 기간 인프라 방호제도는 소관 부처에서 지정한 민간사업자를 대상으로 특정 중요 설비 도입 시 및 유지관리 등의 위탁 시 사전심사를 요구하며, 정부는 설비 도입 중지 명령권을 갖는다. 일본정부는 기업의 자발적 참여에 의한 인증 제도인 「IoT 제품에 대한 보안 적합성 평가제도」를 마련했다.
우리나라의 2024년 「국가 사이버안보 전략」은 자유·인권·법치 수호라는 민주적 가치를 표방한 점과 공세적 사이버 방어와 대응 전략을 도입한 점을 특징으로 볼 수 있다. 사이버안보 법률의 특징은 통합된 법률이 없이 관련 규정이 여러 법률에 흩어져 있다는 것이다. 이는 필연적으로 통합된 관리 조직의 출현을 어렵게 만든다. 그러나 클라우드컴퓨팅 등 변화하는 사이버안보 상황에 신속하게 대응하는 점은 돋보인다.
사이버안보 조치에 대한 국제통상법의 적용 가능성은 다음과 같다. 사이버안보 조치는 WTO 협정에 위반된다는 판단이 내려질 가능성이 크다. 국가안보 예외 규정을 다룬 WTO 판정례는 모두 전시 또는 국제 관계에서의 긴급상황에 관한 것이다. 평시의 조치가 국가안보 예외로 인정되려면 조치 당시에 목적을 인식했다는 주관적 증거와 실제로 군사시설 등에 간접적으로 공급한다는 증거가 있어야 한다는 견해가 있다. 패널은 당사국이 자국의 필수적 안보 이익의 보호를 위해 필요한 조치라고 신의성실하게 판단했는지를 심사할 수 있다. 국제투자중재 사건인 Seda v. Colombia에서도 결론은 같았다.
우리나라의 사이버안보 정책에 대한 시사점은 다음과 같다. 첫째, 사이버 무력공격에 이르지 않은 사이버 부당 이용 또는 사이버공격에 대해서는 자위권을 행사할 수 없다. 둘째, 공세적 방어 전략은 신중하게 추진되어야 한다. 임박한 무력공격을 대상으로 하는 선제적 자위가 국제관습법에 따라 허용된다는 견해가 있다. 그러나 임박성을 판단할 구체적 기준에 대한 논란이 있다. 셋째, 사이버공간에 대한 국가의 영역관리 책임 또는 상당 주의 의무라는 법리는 우리나라가 북한으로부터의 사이버 위협에 대응하는 데 유용하게 활용할 수 있다. 넷째, 통합된 사이버안보법을 마련할 필요가 있다.
우리나라의 통상 정책에 대한 시사점은 다음과 같다. 첫째, 주요국이 도입하는 사이버안보 조치를 지속적으로 관찰하여 우리 수출 기업이 받는 부정적 영향을 최소화해야 한다. 둘째, 우리 기업이 미국 또는 EU 시장 등에서 제3국과 경쟁할 때 사이버안보 관련 표지 및 인증 제도 등에서 유리한 위치에 설 수 있도록 우리 정부가 지원해야 한다. 셋째, 우리나라가 사이버보안 조치를 할 때는 통상규범에 저촉되지 않도록 정밀한 제도 설계와 운영이 필요하다. 넷째, 국가가 통상협정의 국가안보 예외 규정을 주장할 때도 신의칙에 따른 심사가 이루어진다.
Cybersecurity can be defined as a state where national and citizen safety is guaranteed by defending against cyber attacks or threats, thereby ensuring proper functioning of cyberspace. Cyberspace is composed of ‘information systems’ and the ‘information’ stored within them.
International discussions on cybersecurity norms have continued, showing a standoff between Western liberal democratic countries led by the United States versus Russia and China. The United States and other Western nations recognize cyberspace as a separate domain and argue that international law can be directly applied to it. Non-Western countries like Russia and China contend that cyberspace is not a separate domain, and that domestic laws of the location of systems or information should apply.
The United States adopted an active defense strategy and strengthened collaboration with the private sector, considering that a significant portion of infrastructure is owned or operated privately. The EU implemented various voluntary certification systems and mandated labeling. Japan’s active cyber defense strategy is similar to the United States’, and it established a voluntary conformity assessment system for IoT products. South Korea also adopted an offensive cyber defense strategy in 2024. However, unlike major countries, we do not have a unified cybersecurity law.
The potential application of international trade law to cybersecurity measures is as follows. Even when arguing that cybersecurity measures do not apply to like products, such actions will likely be found by the panel as violations of WTO agreements. All WTO precedents addressing national security exceptions relate to wartime or emergency situations in international relations. There is a view that for measures during peacetime to be recognized under national security exceptions, there must be subjective evidence of understanding the purpose at the time of the measure and evidence of indirect supply to military facilities. Panels can assess whether parties have made good faith judgments about measures necessary to protect their essential security interests. A similar conclusion was reached in the international investment arbitration case of Seda v. Colombia.
Implications for South Korea’s cybersecurity policy are as follows. First, self-defense cannot be exercised for cyber misuse or cyber attacks that do not reach the level of armed cyber attacks. Second, offensive defense strategies must be pursued cautiously. While there is a view that preemptive self-defense targeting imminent armed attacks is permitted under international customary law, there are controversies regarding specific criteria for determining imminence. Third, the legal principle of state responsibility for domain management or due diligence in cyberspace can be usefully applied in responding to cyber threats from North South Korea. Fourth, there is a need to establish a unified cybersecurity law.
Implications for South Korea’s trade policy are as follows. First, South Korea Government must continuously observe cybersecurity measures introduced by major countries to minimize negative impacts on our export companies. Second, the government should support our companies to gain a competitive advantage regarding cybersecurity labels and certifications when competing with third countries in markets like the United States or EU. Third, when implementing cybersecurity measures, precise institutional design and operation are necessary to avoid conflicting with trade norms. Fourth, even when a country claims national security exceptions in trade agreements, review will be conducted in accordance with the principle of good faith.
International discussions on cybersecurity norms have continued, showing a standoff between Western liberal democratic countries led by the United States versus Russia and China. The United States and other Western nations recognize cyberspace as a separate domain and argue that international law can be directly applied to it. Non-Western countries like Russia and China contend that cyberspace is not a separate domain, and that domestic laws of the location of systems or information should apply.
The United States adopted an active defense strategy and strengthened collaboration with the private sector, considering that a significant portion of infrastructure is owned or operated privately. The EU implemented various voluntary certification systems and mandated labeling. Japan’s active cyber defense strategy is similar to the United States’, and it established a voluntary conformity assessment system for IoT products. South Korea also adopted an offensive cyber defense strategy in 2024. However, unlike major countries, we do not have a unified cybersecurity law.
The potential application of international trade law to cybersecurity measures is as follows. Even when arguing that cybersecurity measures do not apply to like products, such actions will likely be found by the panel as violations of WTO agreements. All WTO precedents addressing national security exceptions relate to wartime or emergency situations in international relations. There is a view that for measures during peacetime to be recognized under national security exceptions, there must be subjective evidence of understanding the purpose at the time of the measure and evidence of indirect supply to military facilities. Panels can assess whether parties have made good faith judgments about measures necessary to protect their essential security interests. A similar conclusion was reached in the international investment arbitration case of Seda v. Colombia.
Implications for South Korea’s cybersecurity policy are as follows. First, self-defense cannot be exercised for cyber misuse or cyber attacks that do not reach the level of armed cyber attacks. Second, offensive defense strategies must be pursued cautiously. While there is a view that preemptive self-defense targeting imminent armed attacks is permitted under international customary law, there are controversies regarding specific criteria for determining imminence. Third, the legal principle of state responsibility for domain management or due diligence in cyberspace can be usefully applied in responding to cyber threats from North South Korea. Fourth, there is a need to establish a unified cybersecurity law.
Implications for South Korea’s trade policy are as follows. First, South Korea Government must continuously observe cybersecurity measures introduced by major countries to minimize negative impacts on our export companies. Second, the government should support our companies to gain a competitive advantage regarding cybersecurity labels and certifications when competing with third countries in markets like the United States or EU. Third, when implementing cybersecurity measures, precise institutional design and operation are necessary to avoid conflicting with trade norms. Fourth, even when a country claims national security exceptions in trade agreements, review will be conducted in accordance with the principle of good faith.
국문요약
제1장 서론
1. 연구 배경 및 필요성
2. 연구 목적과 범위
제2장 사이버안보 개념과 국제적 논의
1. 사이버안보의 개념
2. 사이버안보 규범에 관한 국제적 논의
3. 사이버안보 분야의 주요 쟁점
4. 소결
제3장 주요국의 사이버안보 정책
1. 미국
2. EU
3. 일본
4. 한국
5. 소결
제4장 사이버안보 조치와 국제통상법
1. 사이버안보 조치에 적용될 수 있는 통상협정
2. 안보 예외 규정
3. 소결
제5장 결론
1. 연구 내용 요약
2. 정책적 시사점
참고문헌
Executive Summary
제1장 서론
1. 연구 배경 및 필요성
2. 연구 목적과 범위
제2장 사이버안보 개념과 국제적 논의
1. 사이버안보의 개념
2. 사이버안보 규범에 관한 국제적 논의
3. 사이버안보 분야의 주요 쟁점
4. 소결
제3장 주요국의 사이버안보 정책
1. 미국
2. EU
3. 일본
4. 한국
5. 소결
제4장 사이버안보 조치와 국제통상법
1. 사이버안보 조치에 적용될 수 있는 통상협정
2. 안보 예외 규정
3. 소결
제5장 결론
1. 연구 내용 요약
2. 정책적 시사점
참고문헌
Executive Summary
판매정보
| 분량/크기 | 210 |
|---|---|
| 판매가격 | 10,000 원 |
같은 주제의 보고서
기본연구보고서
일본의 핵심광물자원 확보전략과 한ㆍ일 협력 시사점
2024-12-31
기본연구보고서
디지털 전환에 따른 인도의 사회ㆍ경제적 변화와 시사점
2024-12-31
기본연구보고서
한-아프리카 자원 협력을 통한 핵심광물 확보 전략
2024-12-30
기본연구보고서
전략적 투자보조금 정책이 다국적기업의 투자와 공급망에 미치는 영향
2024-12-30
연구자료
중국 첨단 반도체 혁신 역량 분석 연구: 고대역 메모리(HBM)와 3세대 반도체를 중심으로
2024-12-30
전략지역심층연구
러시아의 글로벌 사우스(Global South) 전략과 정책 시사점
2024-12-30
기본연구보고서
자국 중심의 경제안보 전략 대응을 위한 프레임워크 구축방안 연구
2024-12-30
연구자료
핵심광물협정의 주요 내용과 정책 시사점
2024-11-08
기본연구보고서
시진핑 시기 중국의 글로벌 영향력 강화 전략 평가와 시사점
2023-12-29
기본연구보고서
수출규제의 경제적 함의와 글로벌 공급망에 미치는 영향에 관한 연구
2023-12-30
기타
미중갈등과 경제안보: 닉슨-저우언라이 회담록을 통한 교훈
2024-07-30
연구보고서
미국의 대중 반도체 수출통제 확대의 경제적 영향과 대응 방안
2023-12-29
기본연구보고서
글로벌 경제안보 환경변화와 한국의 대응
2023-12-29
연구자료
중국 태양광·BESS 산업의 글로벌 시장 독점화와 주요국 대응
2023-12-29
기본연구보고서
인도태평양 시대 한ㆍ인도 경제협력의 방향과 과제
2023-12-29
연구보고서
유럽 주요국의 경제안보 분야 대중국 전략과 시사점
2023-12-29
기본연구보고서
일본의 글로벌 공급망 리스크 관리와 한·일 간 협력방안 연구
2023-12-29
연구자료
중국 전기차 배터리 기업의 해외 진출 사례 연구 및 시사점
2024-03-27
기본연구보고서
미국의 대중 금융제재 영향과 시사점
2022-12-30
세계지역전략연구
중동·북아프리카 식량위기에 대한 역내 인식과 대응 및 협력방안
2023-12-27
공공저작물 자유이용허락 표시기준 (공공누리, KOGL) 제4유형
대외경제정책연구원의 본 공공저작물은 "공공누리 제4유형 : 출처표시 + 상업적 금지 + 변경금지” 조건에 따라 이용할 수 있습니다. 저작권정책 참조
콘텐츠 만족도 조사
이 페이지에서 제공하는 정보에 대하여 만족하십니까?