책임소재에 판매·사용자 포함 논란
경제협력개발기구(OECD)가 앞으로 전세계 국가에서 적용할 것으로 예상되는 정보보호(시큐리티) 가이드라인의 개정을 추진하고 있는 가운데 미국이 새로운 정보보호 가이드라인에 개발자 책임뿐만 아니라 판매자와 사용자의 책임을 명시해야 한다는 입장을 밝혀 우리나라는 물론 각국 정보시스템업계의 뜨거운 감자로 부각되고 있다.
9일 정보통신부 및 한국정보보호진흥원(KISA)에 따르면 OECD 정보보호작업반(WPISP)은 최근 프랑스 파리 OECD본부에서 제12차 회의를 열고 지난 92년 처음 제정된 정보보호 가이드라인의 최종 수정안을 오는 9월말까지 마련, 10월초 발표키로 했다.
이처럼 정보보호 가이드라인의 개정이 본격 추진되고 있는 것은 현행 정보보호 가이드라인으로는 정보기술(IT) 환경의 급속한 변화에 효과적으로 대처하지 못할 수 있다는 인식이 확산되고 있는 데 따른 것으로 풀이된다. 특히 지난해 9·11테러 이후 정보보호의 중요성이 전세계적으로 확산되고 있다.
이번 회의에서 미국은 보안문제 발생에 대한 책임소재를 개발자 외에 판매자와 사용자들로 확대해야 한다는 점을 가장 먼저 표명, 다른 OECD 국가들의 입장과 큰 차이를 보였다. 유럽 국가들은 정보시스템 개발자의 책임만을 강조한 것으로 전해졌다.
이번 수정작업에는 정보보호 부문의 정책과 관리를 언급한 정보보호 원칙이 주요 대상이 되고 있으며 이 가운데 정책 부문의 수정작업에 초점이 모아지고 있다. 특히 인지·책임·윤리·민주주의·협력 등 총 9개 항목 가운데 인지와 책임 부문이 쟁점사안으로 등장했다.
이에 따라 최종안이 마련되면 국내 정보보호시스템의 구축은 물론 관련 업계의 해외 진출에도 큰 영향을 미칠 것으로 보여 국가적 차원의 관심과 대응전략 수립이 필요할 것으로 보인다.
이번 OECD 정보보호 가이드라인 수정작업은 9·11테러로 아픔을 겪은 미국이 주도적으로 나서고 있어 향후 가이드라인의 개정방향에 대해 OECD 각국이 촉각을 곤두세우고 있다.
특히 이번에 배포된 수정안에는 정보시스템을 개발하는 메이커측과 사용자측의 책임소재가 핵심 사안으로 부각되고 있고 이와 관련한 각국의 입장이 달라 앞으로 어떻게 조율될지 주목된다.
OECD 국가들은 이 정보보호 가이드라인이 정보시스템 개발자는 물론 판매자·사용자의 역할 및 책임관계를 규정짓는 하나의 세계적인 기준이 될 것으로 보고, 가능하면 자국에 유리한 방향으로 개정되도록 의견을 개진하고 있다.
한편 OECD 정보보호 가이드라인은 지난 92년 제정된 후 97년 1차 수정이 검토됐으나 회원국들로부터 지지를 받지 못함에 따라 크게 수정된 부분이 없었다.
<박영하기자 yhpark@etnews.co.kr>
