제354회 제2차 과학기술정보방송통신위원회회의록 Page 5

회의 시작 날짜: 2017년 11월 29일



과학기술정보통신부제2차관 김용수
예, 그렇게 하겠습니다.

소위원장 신경민
그러면 의결을 좀 해야 되는데요.

변재일 위원
다 했어요, 이제?

소위원장 신경민
아니요, 아직 반 정도밖에 못 했습니다. 속도를 더 내야 되는데 일단 결과 정리 좀 하고 넘어가겠습니다. 5항부터 10항 그리고 17항은 계속 논의하기로 하고요. o 의사일정 추가상정의 건43. 전기통신사업법 일부개정법률안(대안) 번 안의 건 (13시55분)

소위원장 신경민
어제 법안심사소위에서 전기통신사업법 일부개정법률안(대안)을 의결했는데요. 다시 같은 법률안을 의결할 필요가 있을 때는 국회법 91조 2항과 제71조, 제57조7항에 따른 번안의결이 필요합니다. 그래서 1차 소위에서 의결한 바 있는 전기통신사업법 일부개정법률안(대안)을 의사일정 제43항으로 추가 상정하겠습니다. 의사일정 제11․12․13․14․15․16항과 43항, 이상 7건의 전기통신사업법 일부개정법률안을 각각 본회의에 부의하지 아니하기로 하고 이 안을 통합 조정한 대안을 우리 위원회안으로 제안하고자 합니다. 이의 없으시지요? (「없습니다」 하는 위원 있음) 가결되었습니다. 그러면 18항으로 넘어가지요. 18부터 26항까지를 같이 보도록 하겠습니다. 보고해 주시지요.

수석전문위원 권기원
말씀드리겠습니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 강효상 의원님안부터 보시겠습니다. 1쪽을 보시면 주요내용, 과학기술정보통신부가 수행하고 있는 소프트웨어 보안 취약점 신고포상제의 법률적 근거를 마련하는 것이 주요내용입니다. 다음 2쪽 검토보고 요약본 보시면, 소프트웨어 보안 취약점 보완은 개별 소프트웨어 기업의 핵심사항이지만 반면에 소프트웨어 보안 취약점을 이용한 대규모 해킹사고 발생 등 공익적 차원의 문제가 발생되고 있다는 의견이 있고, 대체토론에서는 소프트웨어 보안 취약점 신고 포상은 궁극적으로 민간이 민간의 자산인 소프트웨어의 보안 강화를 위해 자체적으로 추진하는 것이 당연하므로 법률에 포상금 지급 근거를 마련하는 것은 바람직하지 않다는 변재일 위원님 말씀이 있었습니다. 3쪽에 저희들이 수정의견을 준비했습니다. 개정안에서는 미래창조과학부령으로 정하는 바에 따라 포상금 할 수 있도록 했는데, 정부 예산이 한정되어 있기 때문에 예산의 범위에서 포상금을 지급할 수 있도록 하고 그다음에 지급 근거 및 지급 한도는 대통령령으로 정하는 것으로 다음 페이지 4쪽에 저희들이 수정의견을 냈습니다. 5항을 보시면 ‘구체적인 사항과 제4항에 따른 포상금의 지급 기준․방법 및 절차 등에 필요한 사항은 대통령령으로 정한다’ 이렇게 했습니다. 3쪽 비고란의 하단에 보시면, 게임산업진흥에 관한 법률이 있습니다. 제39조의2 제1항과 제2항에 거의 유사하게 규정되어 있는데 이 부분을 참조해서 거의 유사하게 그렇게 반영한 것입니다. 이상입니다. 다음 항목 계속 설명드릴까요?

소위원장 신경민
다음 계속해 주시지요.

수석전문위원 권기원
신경민 의원님 대표발의안입니다, 의안번호 2201입니다. 1쪽을 보시면, 주요내용에서 정보통신서비스제공자의 접근권한의 설정이 해당 규정에 따라 이루어졌는지에 대해서 심사하고 시정조치를 명할 수 있도록 되어 있고, 접근권한이나 심사에 대한 세부기준은 대통령령으로 정하도록 그렇게 하고 있습니다. 그다음에 2쪽 하단의 검토보고 요지를 보시면, 스마트폰 앱이 과도한 접근권한을 요구하는 경우 이를 사후적으로 심사해 시정조치를 명할 수 있도록 보다 명확히 하는 취지로 개정안에 되어 있고, 스마트폰 앱 등록 개수가 약 200만 개이고 개별 앱의 서비스 특징이 다르며, 앱 접근권한의 분류나 성격 등은 모바일 운영체제 OS 사업자들이 수시로 변경되기 때문에 효율적인 방안을 강구할 필요가 있다고 보고드렸습니다. 그다음 수정의견으로 저희가 3쪽에 준비했습니다. 비고란에 보시면 법 집행의 실효성 확보를 위해서 용어를 명확히 하고 시정조치 권한은 현행법에 규정되어 있기 때문에 이를 반영해서 수정하는 것으로 했습니다. 여기 하단에 보면 실태조사 관련 입법례가 있는데 이 부분을 참고해 가지고 개정안에서는 제22조의2제4항에 ‘접근권한의 설정이 제1항부터 제3항까지의 규정에 따라 이루어졌는지에 대해 심사하고 시정조치를 명할 수 있다’ 이렇게 되어 있는데 수정의견으로는 ‘제1항부터 제3항까지의 규정에 따라 이루어졌는지 여부에 대하여 실태조사를 실시할 수 있다’ 해서 조금 보완을 했습니다. 4쪽의 수정의견으로, 세부 심사기준을 대통령령으로 정하게 할 경우에 신규 서비스 출시 및 앱 개발 기술의 변화 속도를 반영하기 어렵다는 과기부 부처의견이 있어서 수정의견으로 현행과 같이 개정안을 반영하지 않는 것으로 그렇게 했습니다. 다음 오세정 의원님안, 의안번호 3328입니다. 1쪽을 보시면 주요내용은 정보보호 최고책임자를 임원으로 지정․신고하고 최고책임자의 겸직을 금지하고 자격요건 등을 대통령령으로 정하도록 하는 것입니다. 검토의견으로서는 타 직위의 겸직 금지는 중소․영세기업에 부담이 될 우려가 있다는 사업자 의견이 있다고 적었고요. 그다음에 3쪽 이하 개정안 조문대비표를 첨부했습니다. 이 부분에 대해서는 정부 측에서 수정의견을 준비했다고 그럽니다. 나중에 보고해 주시기 바랍니다. 그다음에 신상진 의원님, 21항입니다. 의안번호 3987입니다. 1쪽의 주요내용 보시면 정보통신망을 이용하여 총포․화약류를 제조할 수 있는 방법이나 설계도 등의 정보 유통을 금지하는 것입니다. 저희들은 별문제 없다고 봐서 수정의견을 제시했는데…… 3쪽을 보시겠습니다. 3쪽에 보시면 개정안에서는 제9호라고 되어 있는데, 수정의견에서는 제6호의3으로 해서 위치를 변경했습니다. 비고란 오른쪽 아래쪽에 보시면, 제9호로 신설할 경우 같은 조 제3항의 적용을 받게 되어 중앙행정기관의 장의 요청이 있어야 방통위가 처리거부 등을 명할 수 있기 때문에 조항을 그렇게 좀 이동했습니다. 그 사항들은 6페이지, 7페이지의 현행법 조문을 참고하시면…… 6쪽에는 정보통신망법 제44조의7이 있고, 7쪽의 제3항제1호에 ‘관계 중앙행정기관의 장의 요청이 있었을 것’ 이런 부분이 있습니다. 그래서 이것을 연동시키기 위해서 호를 이동시킨 것입니다. 그다음 페이지 4쪽도 호 이동에 따라서 자구 정리한 사항이고, 그다음에 5쪽은 호를 이동하지 않기 때문에 역시 자구 정리한 사항입니다. 다음, 송희경 의원님 대표발의하신 안 말씀드리겠습니다. 4066번입니다. 1페이지 보시면, 주요내용은 자신의 의사에 따라 통신과금서비스가 제공되었는지 여부를 확인하기 위하여 필요한 경우 거래상대방에게 구매자의 정보 제공을 요청할 수 있도록 하고, 그다음 본인 여부를 확인하거나 고발 등을 위하여 관련 기관에 제출하기 위한 목적으로만 사용하도록 하고 있고, 통신과금서비스 자율분쟁 기관․단체가 이용자 동의를 받아 구매자의 정보 제공 요청을 대행할 수 있도록 하는 규정이 포함되어 있습니다. 2쪽의 검토의견은 참고하시고, 3쪽부터 수정의견 준비했습니다. 수정의견은 대부분 개정안과 유사한데 진하게 표시한 부분같이 ‘이름, 아이디’ 이 부분이 개정안에 포함되어 있는데 비고란에 보시면 본인 여부는 이름과 생년월일을 통해 확인 가능하기 때문에 아이디는 삭제가 필요하다는 의견이 있었고, 그래서 그 부분을 다 반영한 겁니다. 그리고 시급성을 고려해서 3일 이내에 구매자 정보를 제공하도록 하고…… 다음 쪽, 4쪽 보시겠습니다. 개정안에서 ‘정보’라고 표시한 부분은 앞의 ‘구매자 정보’로 약칭한 부분이 있습니다. 그래서 수정의견으로 ‘정보’ 대신에 ‘구매자 정보’라고 그렇게 하고, ‘고발’로 되어 있는 부분은 본인이 직접 소를 제기할 수 있는 경우를 포함해서 ‘고소․고발’ 그렇게 해서 고소를 포함하는 것으로 했고, ‘그 목적으로만 사용하여야 한다’ 이렇게 해서 이것은 자구를 법문 표현에 맞도록 정리했습니다. 그다음에 4쪽, 5쪽 이쪽은 특별히 수정의견 없이 개정안을 그대로 받는 것으로 그렇게 했습니다. 6쪽은 제7호의2 이 부분에서 고소가 추가됨에 따라서 그렇게 하고, ‘목적 외의 용도로’, 법문 표현에 맞도록 정리한 부분이 있습니다. 이 부분은 이 정도로 보고드리겠습니다. 그리고 다음, 고용진 의원님안 말씀드리겠습니다. 1쪽입니다. 정보통신서비스제공자 등의 손해배상책임 이행을 위하여 보험에 가입하거나 은행 등에 자산을 예탁하도록 하고 있습니다. 보험 가입 또는 자산의 예탁을 하지 아니한 자에 대해서 2000만 원 이하의 과태료 부과하도록 하고 있습니다. 보험료 부담이 좀 과다한 측면이 있고, 이렇게 해서 좀 보완할 필요가 있다고 보았습니다. 이하 개정안에는 조문 표현만 되어 있어서 이 부분에서는 정부 측에서 수정의견을 준비한 것으로 되어 있습니다. 추후에 배부해 드리겠습니다. 그리고 오세정 의원님안이 있습니다. 1쪽 보시겠습니다. 주요내용으로는 개인정보의 보호에 관하여 현행법과 개인정보 보호법의 적용이 경합하는 경우에 현행법을 우선 적용하도록 하는데, 이것 국회 일자리특위에서 이렇게 하도록 다 의결이 되어서 3쪽에 보시면 참고자료 있습니다. 그래서 망법이 개인정보 보호법에 우선한다는 것을 명확히 한다는 의미가 있어서 이것은 원안대로 저희들은 그렇게 보았습니다. 이상입니다.

소위원장 신경민
다 하신 건가요?


소위원장 신경민
유승희 의원 것 있잖아요?

수석전문위원 권기원
임시조치에 관한 사항인데……

소위원장 신경민
임시조치는 이따가 하자고요?


소위원장 신경민
그러면 24번까지 일단 보고 들으셨습니다. 정부 측 의견.

과학기술정보통신부제2차관 김용수
먼저 18항 강효상 의원님 법안, 소프트웨어 보안 취약점 신고 포상제, 버그바운티라는 건데 이것은 이미 수행하고 있는 것을 하는, 법률적 근거를 마련하는 것이기 때문에 정부는 제정 취지에 동의하고 전문위원실에서 수정한 수정의견대로 하는 데 동의를 합니다.

방송통신위원회부위원장 허욱
19항도 전문위 원실에서 검토한 수정의견을 수용하겠습니다. 지금 현재 그 밑의 64조의 자료제출에 나와 있듯이 시정조치를 명할 수 있다는 내용이 있어서 실태조사를 실시할 수 있다는 내용을 받고요. 그 뒤의 4항에 관련되어서도 세부심사 기준까지 정하기에는 기술 변화나 서비스 출시 속도에 대응하기 좀 어려워서 현행과 같이 유지하는 그런 안으로 수용하겠습니다. 현행 안을 유지하기를 바랍니다.

과학기술정보통신부제2차관 김용수
다음에 20항은 오세정 의원님이 발의하신 법안입니다. 저희가 개정취지는 다 공감을 하고요. 다만 몇 가지 우려사항이 있어서 저희가 개정안을 좀 만들었습니다. 별지로 한 것을 좀 봐 주시면, 오세정 의원님이 하신 안은 정보보호 최고책임자를 지정해서 신고를 해라, 그다음에 아주 작은 데를 좀 빼 주고 이렇게 되어 있고, 저희 다 동의하고요. 그런데 3항을 보시면 이렇게 정보보호 책임자를 지정하도록 된 기업들에 대해서 반드시 다른 업무를 겸직할 수 없도록 그렇게 하셨는데, 저희도 그 취지는 동의를 하는데 이 지정하는 기업들에 중소하고 영세기업이 포함되어 있습니다. 그래서 그런 데는 인력 여건상 겸직을 안 하는 것은 좀 어려워서 저희들이 판단할 때는 부담을 좀 덜어 주기 위해서는 지정이 되더라도 일부 중소․영세 기업에 대해서는 좀 겸직 금지를 면제해 줄 수 있는 그런 조항이 필요하기 때문에 수정의견대로 문구 조정이 있어야 되지 않겠느냐 하는 게 첫 번째 의견이고요. 그다음에 7항을 보시면 ‘정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다’ 해서 상정되는 게 뭐냐 하면 정보보호 책임자가 되면 교육훈련을 받도록 하는 게 아마 오세정 의원님의 취지이신 것 같은데 저희가 유예기간을 한 1년 정도 달라는 것은 기존에 있는 기업들도 정보보호 최고책임자들이 보수 교육을 받아야 되면, 갑자기 법이 실행되면 사실은 없는 거나 마찬가지가 되거든요. 그래서 그 정도 교육훈련 시킬 수 있는 기간은 좀 줘야 되는 것 아니냐 해서, 그런 위반 상태가 본의 아니게 나오면 안 되겠다 그래서 유예기간 1년 정도를 줘야 되지 않겠냐 해서 부칙에다가 6개월 내지 1년 유예기간을 넣는 내용을 집어넣었습니다.

수석전문위원 권기원
거기에 조금 더 말씀드리면 수정의견 정보보호 최고책임자의 괄호 부분에 대통령령으로 위임하는 그런 걸 넣은 게 정부 측의 입장입니다. 이게 핵심인 걸로 보입니다.

방송통신위원회부위원장 허욱
21번, 신상진 의원님 발의……

박대출 위원
21번이라고 하지 말고 의원 이름을 말씀해 주세요. 양쪽 걸 보고 의사일정 보고 하니까 좀 버거워서요.

변재일 위원
이게 순서대로 있는 것도 아니고 원……

방송통신위원회부위원장 허욱
예, 그렇게 하겠습니다. 신상진 의원님 대표발의한 안에 대해서 설명드리겠습니다. 수정의견을 수용합니다. 총포․화약류에 관련된 내용들을 만약에 9조에 넣게 될 경우에 관계 중앙행정기관의 요청이 있어야 된다는 사항이 있습니다. 그래서 수정의견과 같이 6의3으로 수정하게 될 경우에는 곧바로 시행할 수 있어서 관련된 법안의 효과성을 훨씬 더높일 수 있을 것이라고 보입니다. 지금 44조의7 3항에 보면 불법정보의 유통금지 등에 1항의 7호부터 9호까지는 모두 관계행정기관의 장의 요청이 있어야 됩니다. 그래서 9호를 6의3으로 이동하는 것을 수용합니다.

수석전문위원 권기원
저희 자료 7쪽의 44조의7 3항 거기에 있는 ‘제1항제7호부터 제9호까지의 정보가……’ 이렇게 해서 제1호는 ‘관계 중앙행정기관의 장의 요청이 있었을 것’ 해서 그 위치를 앞으로 당겨야 된다는 말씀입니다.

변재일 위원
이제 다 한 거예요?

과학기술정보통신부제2차관 김용수
아니요, 22항 송희경 의원님이 발의하신 법안인데요. 그 내용은 우리가 많이 쓰는 통신과금서비스를 했을 경우에 구매자가 본의 아니게 피해자가 생깁니다. 그러니까 자기가 돈은 나갔는데 사 간 사람을 모르면 여러 가지 사법적 조치를 취할 때 너무 번거롭거든요, 개인정보 보호법 때문에. 그래서 송 의원님이 얘기하신 안은 과금서비스 주체는 판매자한테 과연 누가 사 갔는지 구매자 정보를 달라, 이런 절차를 정하자는 거기 때문에 저희가 그 개정 취지에 동의를 하고요. 전문위원실 의견대로 조문을 수정한 내용인데 그 수정의견대로 하는 데 동의를 합니다.

방송통신위원회부위원장 허욱
이어서 23항 고 용진 의원님 대표발의한 내용들에 관련된 사항입니다. 개정안에 의하면 손해배상의 보장이라고 되어 있는데 저희가 그래서 수정대안으로 여기 자료를 나눠 드렸습니다. 지금 ‘금융위원회의 설치 등에 관한 법률 제38조제1호부터 제8호까지의 기관에 자산을 예탁하여야 된다’라고 돼 있는데요. 이렇게 되면 중소사업자의 피해구제능력을 담보할 필요는 있다고 저희들이 봅니다. 그렇지만 사업자의 규모, 비용 부담 등을 고려해서 기준을 대통령령으로 차등화하여 적용하는 것이 필요하다고 보고요. 그래서 공제에 가입하거나 또 손해배상을 위한 준비금을 내부에 적립하는 등의 다양한 대안이 제시될 필요가 있다고 여겨집니다. 그래서 고용진 의원님하고 상의를 해서 그 옆에 수정대안, ‘손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다’ 그리고 2항에 ‘가입 대상 사업자의 범위와 기준 등 필요한 사항은 대통령령으로 정한다’라고 했고요. 그다음에 76조 2항 제4호의2에 보면 ‘보험 또는 공제 가입, 준비금 적립 등 필요한 조치를 취하지 아니하거나’라고 하는 식으로 자구를 수정했습니다. 그리고 부칙에 ‘6개월이 경과한 날부터 시행한다’로 돼 있는데 저희들로서의 준비 또 관련 업계에 내용을 통보하기 위해서는 적어도 1년 정도의 시간이 필요하다고 해서 ‘공포 후 1년’으로 이렇게 수정대안을 마련했습니다.

수석전문위원 권기원
제가 참고로 말씀드리면 설명드린 것 다음 페이지 보시면 오른쪽에 유사입법례 신용정보법 제3항이 있습니다. ‘제1항 각 호의 자가 보험 또는 공제 가입과 준비금 적립을 병행하는 경우’ 이렇게 해서 이 부분을 그대로 인용한 걸로 보입니다. 이상입니다.

소위원장 신경민
그러면 다 끝났나요?

방송통신위원회부위원장 허욱
이어서 24항 오세정 의원님이 발의한 내용들은 저희가 개인정보 보호법과 정보통신망법에, 원래는 특별법 우선이기 때문에 일반적으로 알고 있지만 그 내용을 보다 더 명확히 한다는 측면에서 이것은 그대로 수용하겠습니다.

소위원장 신경민
그러면 24항까지 끝났고요.25항, 26항도 법 이름은 같기 때문에 같이 보고를 받도록 하겠습니다. 유승희 의원안하고 정부 제출안이요.

수석전문위원 권기원
말씀드리겠습니다. 유승희 의원님 대표발의안과 정부 제출안, 의안번호 1495, 0546 이렇게 보시겠습니다. 목차 부분 보시면 2번은 조건부 임시조치고 3번은 온라인명예훼손분쟁조정위원회, 4번은 임의의 임시조치, 5번은 본인확인기관에 대해 업무정지를 갈음한 과징금 신설, 이건 정부안 쪽입니다. 1쪽 보시겠습니다. 주요 내용 부분을 보시면 조건부 임시조치(차단)에 대한 정보게재자의 이의신청(이의제기) 절차를 신설하고 있습니다. 유승희 의원님 안은 차단조치를 30일 이내에 정보게재자의 이의신청 시 해제하여야 하고 차단 등의 조치에 대해 보고서를 작성해서 방통위에 보고하도록 돼 있습니다. 정부안에서는 정보게재자의 이의제기가 있는 경우 직권조정 절차에 회부된 것으로 보도록 하고 있습니다. 임시조치는 유지하는 걸로 돼 있습니다. 다음, 2쪽 보시겠습니다. 정부안에서는 온라인명예훼손분쟁조정위원회 설치를 규정하고 있습니다. 그리고 그다음 항목의 임의의 임시조치 관련해서 유승희 의원님 안하고 정부안이 있는데 유승희 의원님 안은 정보통신서비스 제공자는 타인의 권리를 침해함이 명백한 인터넷 게시정보에 관하여는 임의로 해당 정보를 차단하거나 차단해제요청을 거부할 수 있으며 권리를 침해하지 아니함이 명백한 정보에 대하여는 차단요청을 거부하거나 차단조치된 게시물에 대한 해제조치를 할 수 있습니다. 아마 이건 해제에 더 방점이 있는 걸로 보입니다. 정부안에서는 정보통신서비스 제공자가 정보게재자에게 임의의 임시조치 관련 사항을 통지하도록 하고 임시조치 기간, 직권조정 절차 등은 조건부 임시조치 절차를 준용하도록 하고 있습니다. 그리고 그 밑에 본인확인기관에 대해 업무정지를 갈음한 과징금 조항을 신설하고 있습니다. 1억 원 이하의 과징금을 부과하는 사항입니다. 다음 항목에 대해서는 표를 참고해 주시기 바랍니다. 이상입니다.

소위원장 신경민
정부 의견 주십시오.

방송통신위원회부위원장 허욱
설명 들으셨듯이 쟁점들이 굉장히 많습니다. 그래서 유승희 의원님실하고 지금 상의를 해서 수정대안을 마련하고 있기 때문에 좀 보류를 해 주셨으면 좋겠습니다.

소위원장 신경민
이건 하여튼 논의가 더 필요하다는 거지요? 그러면 여기에 대해서 우리 의견 주십시오.

박대출 위원
보류하는 게 맞는 것 같습니다. 두 법안이 지금 충돌되는 법안이기 때문에 보류해서 조금 더 방향이 하나 정해져야 그걸 심사할 수 있을 것 같습니다.

김성태 위원
이게 워낙 광범위한 쟁점이 맞닿아 있기 때문에 보류가 맞을 것 같습니다.

김성태 위원
이게 워낙 광범위한 쟁점이 맞닿아 있기 때문에 보류가 맞을 것 같습니다.

소위원장 신경민
25, 26은 유승희 의원실하고 보류로 일단 결론이 났기 때문에 이건 더 이상 언급 안 하셔도 되고요. 18항부터 24항까지 의견이 있으시면 주시고요.

변재일 위원
오세정 의원이 발의한 정보보호 책임자 이거랑 관련해서 정보통신망법은 정보통신서비스 제공자만 규율하는 법이 아니잖아요. 그래서 정보보호 책임자를 지정하는 것을 정보통신서비스 제공자한테만 의무를 부여했다는 말이지요. 아니면 정보보호 책임자의 정보보호가 필요한 기관은 오히려 정보통신서비스 제공자 이외에 금융사업자라든지 전자거래사업자…… 전자거래사업자가 정보통신서비스 사업자로 되는지는 모르겠지만 다양한, 뭐 한전도 그렇고 전부 다 그런데 여기서 정보보호 책임자를 정보통신서비스 여기만 넣게 돼 있는 것이 다른 법하고 어떻게 되는지요?

과학기술정보통신부제2차관 김용수
지금 사실 개별법에서, 금융관계법에는 지정할 수 있는 제도가 이미 있습니다. 전자금융법이나 이런 데에 돼 있고요. 사실은 아마 실제 운영을 할 때는…… 정보통신서비스가 확대되지 않습니까, 위원님? 그러니까 서비스 제공이 온라인 기업으로 많이 올라타기 때문에, 그래서 아마 저희가 실제로 운영할 때는 타 법에서 하고 있는 것들은 아마 당연히 면제를 해야 될 것 같고요. 그다음에 그렇지 않고 정보서비스 부분에 그게 해당되지 않는 부분들은 저희들한테 신고를 해야 되고, 지정해서 신고해야 되는 그런 시스템을 가지고 있는 것 같습니다.

변재일 위원
그러니까 제가 말씀드리는 것은 정보보호에 대한 총괄책임기관으로서 과학기술정보통신부가 정보통신기반 보호법도 가지고 있고 다 가지고 있는데 우리나라의 전반적인 정보보호책임체제를 어떻게 갖고 갈 것이냐. 여기서 일반법적이고 총괄적인 규정이 돼 있고 그중에서 정보통신서비스 제공자는 그 법에 따라서 적용돼야 될 거라고 보는데 이게 망법에서 결정하면서 정보통신서비스 제공자에게만 이렇게 해 놓으니까 우리가 다른 업종에서는 정보보호 관련 제도가 어떻게 돼 있는지를 모르겠다 이 소리거든요.

과학기술정보통신부제2차관 김용수
그건 자료를 제출하겠습니다. 저희가 조사해 놓은 게 있고요. 지금 보니까 개인정보 보호법, 기반 보호법, 전자금융거래법, 신용정보법, 주로 금융회사 쪽에 개별법을 갖고 있습니다.

변재일 위원
정보보호제도를 어떻게 할 것인가를 개별법에 맡겨 놓겠다, 개별 부처하고 개별 상임위원회에. 그렇게 하기에는 정보보호 총괄기관으로서의 과학기술정보통신부의 책임이 너무 소홀한 것 같다 이런 취지입니다. 그래서 이걸 의결하기 전에 우리나라가 민간 부문에서, 정보통신기반 보호법에 따라서 주요 정보통신 기반으로 된 경우에는 체제가 있겠지만 기타 거기에 적용되지 않는 공공이나 민간 사업자한테 정보보호를 어떻게 하고 있나, 이것이 함께 보고되면서 처리됐으면 좋겠다 이런 취지입니다.

송희경 위원
저도 좀 비슷한 의견인데요. 정보보호에 관련돼서 이렇게 망법에 맡긴다는 게 조금 문제가 될 것 같고…… 예를 들면 이런 거지요. 개인정보를 많이 취해서 하는 배달어플, 온라인으로 전환되어 있는 업체라든가 또 개인정보를 갖고 있는 의류쇼핑몰이라든가 온라인쇼핑몰이라든가 많이 있거든요. 거기까지 지금 이걸 다 하겠다는 거지 않습니까, 정부에서 의견을 주신 건? 아, 그 부분이 지금 빠져 있지요.

과학기술정보통신부제2차관 김용수
현재는 하고 있는데 오세정 의원님이 개정을 하신 겁니다, 좀 강화시키는 걸로.

송희경 위원
예, 하자는 건데 그런데 영세한 업체에서 무조건 CSO를 만들고 그걸 신고하도록 하는 것이 과연 실현이 될 수 있을까, 그런 부분이 있기 때문에 상위법이 뭔가 있어야 되지 않나. 정보보호에 관련된 전체적인 그림 속에서……

변재일 위원
전체 그림을 그려야지.

송희경 위원
어떤 기준이 되는 산업 분류는 이렇게 해야 되고 어떤 기준은 이렇게 해야 된다는 그런 조금 더 디테일한 게 필요하지 않나 하는 생각이 저도 듭니다.

과학기술정보통신부제2차관 김용수
기본적으로 지금 정보통신망법 자체가 정의 규정을 보시면 대상 사업자는 정보통신서비스업체에 국한은 됩니다, 처음 1항에 보시면 그걸 대상으로 하고 있고요. 그다음에 지금 최고 책임자 문제에 대해서는 사실 기존의 법에서 운영을 하고 있습니다. 운영을 하고 있는데 지금 오세정 의원님은 좀 더 강화해야 되겠다, 그러니까 겸직 금지를 한다든가 이런 것들이 있고요. 저희도 이 부분은 많이 고민을 하고 있습니다. 그래서 저희가 2항에서 대통령령으로 예외를 인정해 달라고 했던 것들도 중소나 영세 부분까지도 강한 규제가 갈 것 같아서 그 부분을 좀 올리려고 그럽니다. 시행령을 개정하는 과정에서 그것을 수용할 수 있을 정도로 조직 규모를 갖고 있는 기업에 대해서만 그걸 부과하고 그렇지 않은 데에서는 어쨌든 간에 지정하고 이런 것들은…… 최소한 또 그 의미를 각성할 필요는 있거든요, 기업들이 굉장히 중요하다는 사항을. 그래서 그런 부분을 양해해 주셨으면 좋겠습니다.

추혜선 위원
저도 의견을 내겠습니다. 관련해서 검토해 보면 이견이 없는데요. 오세정 의원님이 발의한 부분을 동의한다는 취지입니다. 정보보호의 어떤 책임을 강화한다는 측면에서, 이걸 더 명확히 한다는 측면에서 당연한 조치라고 보고요. 우리가 인터넷신문사 같은 경우에도 아주 영세하더라도 청소년 보호에 책임을 지는 담당자를 꼭 한 명씩 두게 돼 있습니다. 그래서 그런 사회적인 어떤 책무에 따라서 이렇게 의무조항을 두고 있는데 정보를 관리하는 측면에서도 그런 사회적 책무 못지않다 하는 부분에서 보면 중소․영세사업자한테 부담이 되더라도 이 부분은 책임으로서 부여를 해야 된다 이런 생각입니다.

소위원장 신경민
의견 다 말씀하셨어요? 또 있어요?

변재일 위원
그리고 강효상 의원이 대표발의한 내용 ‘소프트웨어에 대한 보안 취약점을 신고한 사람에게 포상금을 지급할 수 있다’ 이것은 지난번에 국정감사에서도 논의가 됐던 내용인데 이 법이 적용되면 포상금을 지급하는 과정에서 지금 여러 가지 몇 개 대형업자들은 자체부담금을 해서 포상을 하고 있잖아요?


변재일 위원
그런데 그것도 정부가 다 부담해 주겠다?

과학기술정보통신부제2차관 김용수
그런 취지는 아니고요, 중소사업자에 대해서 운용할 수 있는 얘기입니다.

변재일 위원
글쎄, 법적 근거는 그 사람들한테도 해 주자는 저기가 되고. 이렇게 되는 경우에 논란의 소지가, 현재까지는 보안 취약점의 신고에 대해서 포상금이 지급되는데도 불구하고 어느 소프트웨어는 무슨 보안성이 지적됐다는 것을 소비자한테 알려 주지 않고 있다는 말이지요. 그것은 소비자한테 공개가 의무화되어야 됩니다. 그렇게 하고 그런 보안 취약점이 있는 소프트웨어 업체는 보안 취약점을 개선․보완하도록 명령을 내려야 됩니다, 법에 근거가 된다면.

과학기술정보통신부정보보호정책관 송정수
지금 현재 법에 되어 있습니다.

변재일 위원
어느 법에?


변재일 위원
망법에서 이렇게 되는 경우에……

과학기술정보통신부정보보호정책관 송정수
신고포상제가 아니고, 그러니까 취약점이 있어서 공격이 발생해서 피해를 야기하면 그에 대해서 정부가 보완 조치하도록 요청할 수 있도록 되어 있습니다.

변재일 위원
피해가 발생한 경우인데, 이 경우는 피해가 없어도 문제점은 발견된 것 아닙니까? 그러니까 피해가 있을 경우에는 배상하도록 되어 있는 거다 이거지요, 포상제도가 아니고. 그다음에 소프트웨어 자체에 문제가 있다고 해서 ‘소프트웨어 자체에 문제가 있음’이라는 것이 밝혀졌다는 말이지요. 밝혀진 것 아니에요? 그래서 상까지 줬다 이거야. 그러면 이용자들한테는 ‘이 소프트웨어는 문제가 있다는 것이 밝혀졌습니다’를 알려 줘야 되는 거야. 그렇지요? 그래서 이용자들이 그 소프트웨어를 구매하지 않도록 해야 되는 거야. 그렇게 하고 그 소프트웨어는 피해자가 있든 없든지 간에 정부가 문제가 있다고 인정해서 포상금까지 줬으면 개선명령을 내려 줘야 돼요. 최소한도 그 두 가지가 가지 않으면 정부가 돈까지 줘 가면서 그것을 할 필요는 없다 이거지.

과학기술정보통신부제2차관 김용수
위원님, 이 부분이 지금 우리 국장이 설명했듯이 문제가 생겨서, 소프트웨어의 흠결로 인해서 배상을 해야 되는 것은 법률상 준비가 되어 있고요. 이 버그바운티 제도는 어떤 우수 시장을, 그 기업 소프트웨어가 잘 됐다고…… 그런 것은 아니고요. 그러니까 소프트웨어의 흠결을 미리 잡아내기가 쉽지 않지 않습니까, 사고가 나기 전에? 그래서 그것을 발견하는 사람을 칭찬해 주는 겁니다, 그 사람한테.

변재일 위원
발견한 사람을 칭찬해 주는데, 소비자한테 그 문제점 있는 소프트웨어를 쓰지 말라고까지 해 줘야 된다 이거지. 시장의 개입 때문에 그것을 못 하겠다는 소리인데, 그렇게 한다면 정부에서는 그 소프트웨어가 보안 취약점이 있는지 알면서도 시장에서 소비자가 그것을 사도록 방임하는 결과가 됩니다. 그리고 정부에서는 문제가 있다는 것을 알면서도, 그래서 그것을 신고한 사람한테 보상을 주고서도 그 소프트웨어 제작자한테 개선명령을 안 내린다는 것이 앞뒤가 안 맞는 거지.

과학기술정보통신부정보보호정책관 송정수
그런 측면도 있습니다마는 만약에 의무적으로 공개하게 되면 기업들은 더욱더 숨기는 결과를 가져오기 때문에 예상치 않은 부작용이……

변재일 위원
숨기는 것이 아니라, 기업들은 공개되기 때문에 취약점이 없는 소프트웨어를 개발하도록 해야 되는 거지.

과학기술정보통신부제2차관 김용수
위원님, 아주 적절한 지적이시고요. 그런데 아마 이 제도의 취지를 다른 측면에서 보면, 지금 아시다시피 큰 기업들은 다 자체적으로 운영하고 있습니다. 자기들이 만날 잡아내려고 그러거든요. 그런데 사람이 다 완벽하지 않으니까…… 그 마이크로소프트, 훌륭한 인재가 있는데도 자기네가 다 못 잡아내요. 그러다가 해커들이 들어가서 화이트 해커들이 보면서 ‘이것 문제 있다’ 그러면 지원을 해 주는 거거든요. 그래서 그러한 피드백 기능이 분명히 필요하고요. 그런데 중소기업 같은 경우에는 성장을 하는 데 그럴 능력이나 여분이 잘 없지 않습니까? 그런데 이제 그것을 쓰게 되면, 그러니까 어떻게 보면 보상 이전에 가기 전에……

변재일 위원
그러면 최소한도 개선명령을 내려 줘야 된다 이거지요, 개선명령을. 왜냐하면 정부가 세금을 걷어서 그 소프트웨어가 문제가 있다는 것을 신고를 받아서 포상까지 했는데 그 소프트웨어가 그대로 가게끔 내버려 둔다는 게 말이 안 되는 거지. 최소한도 공개하는 것이 중소…… 사실 공개에 따른 개발사업자의 손익이 공개하지 않음으로써 이용자가 얻을 피해보다 어떤 것이 큰가는 다시 또 따져 봐야 될 문제야.

송희경 위원
저도 국감 때 이것을 지적했던 사항인데, KISA(인터넷진흥원)에서 버그바운티라고 해 가지고 취약성 발견하도록 포상제도 지금 하고 있는데 잘 운영이 안 되잖아요. 그러니까 아까 차관님 말씀하신 대로 보안 취약성 있는 취약성 코드를 했느냐, 안 했느냐…… 안 하면 이게 구멍이 나게 되어 있으니까 그 발견 자체를 많이 하게끔 하는 거잖아요. 발견이 되면 고지보다는 그냥 담당 소프트웨어에 시정명령 내지는 뭐 개선조치라든가 이런 것을 시행령으로 하면 안 되나요?

과학기술정보통신부제2차관 김용수
그런데 아마 버그바운티에 참여하는 기업들 자체가, 자기가 참여한다는 얘기는 당연히 들어오면 바로 고치는 것은 동의하고 들어오는 겁니다, 이렇게 캄퍼티션(competition)에 참여한다는 게. 그러니까 자기 소프트웨어를 내놓고 자기 것에 문제가 있으면 발견해라, 발견하면 돈은 주고 바로 고쳐야지요, 자기들 제품이니까. 성능이니까요.

송희경 위원
버그바운티는 그렇게 운영되는데……

변재일 위원
그런데 여기에서 주겠다는 것은 그렇게 자율적으로 참여한 자가 아닌 소프트웨어, 중소 소프트웨어도 그렇게 하겠다는 것 아니에요. 그것은 다른 개념이야.

소위원장 신경민
하여튼 공개와 개선에 대해서 동의를 완전히 하시지는 않는 것 같은데 제가 이해한 게 맞습니까? 지금 강효상 의원안……

과학기술정보통신부정보보호정책관 송정수
공 개하는 것은 조금 문제가 있을 것 같고요.

소위원장 신경민
공개는 문제가 있고, 개선은?

과학기술정보통신부정보보호정책관 송정수
개선은, 여기 참여하는 기업들은 자기들이 완벽하게 하기 위해서 스스로 공개하는 것이기 때문에……

소위원장 신경민
개선을 하고 그것을 정부가 확인해야 할 것 아닙니까, 개선이 됐는지 안 됐는지?

과학기술정보통신부정보보호정책관 송정수
그런 부분은 시행령에 구체적으로 정해서……

변재일 위원
원래 개선되기 전에는 판매를 중단시켜야 돼.

소위원장 신경민
그렇지요, 판매 중단 등 여러 가지 조치가 필요하잖아요.

금성태 위원
AS를 해 주는 겁니까, 그러면?

소위원장 신경민
필요하면 리콜도 해야 될 것이고……

송희경 위원
지금 이것 인터넷진흥원에다가 집행을 시키는 건가요, 아니면……

변재일 위원
판매 중단하고 개선명령 내려야 돼.

박대출 위원
이것은 개선을 어떻게 할 것인지, 개선명령 제도로 할 것이냐 뭐냐, 필요한 것은 의원님한테 따로 보고를 드리고 어쨌든 개선을 할 수 있도록 어떤 강제적인 조치는 필요할 것 같아요, 행정적인 조치는.

소위원장 신경민
그러면 18항 강효상 의원안을 조금 더 보완을 하셔 가지고 강 의원 방하고도 협의를 하셔서 18항은 우리가 보류하겠습니다. 보류하는 것은 문제가 있는 게 아니고……

박대출 위원
아니, 이 법하고는 관계없이 하고……

변재일 위원
아니요, 그게 법에 들어가지 않으면 안 돼.

박대출 위원
법에 넣자고?

소위원장 신경민
예, 그러니까 18항 강효상 의원안은 수정과 제도개선이 필요하기 때문에 이것은 우리가 보류하겠습니다. 계속 논의 때문에 뭐 문제가 있거나 그런 게 아니고 훨씬 더 많은 조치들, 공개․개선․리콜․확인까지 포함을 해서 이런 것을 다 법안에 보완을 해서, 정부가 보완하든지 아니면 강 의원님…… 강 의원님 방의 누가 계신가요?

박대출 위원
그래 가지고 조율을 하세요, 그 내용을.

소위원장 신경민
그래서 이것은 다음에 우리가 기회가 있을 때 의결하는 것으로 하겠습니다.

변재일 위원
제가 추가 발언 한 가지 하면, 만약에 정부가 법에 넣어 가지고 취약점을 보고도 받고 취약점이 있는 것을 알고서 거기에 포상까지 했는데도 불구하고 그 소프트웨어가 계속 유통되게 함으로써 피해가 발생한 경우에는 정부에서 보상해야 됩니다. 정부를 대상으로 소송 제기할 수 있어요, 정보를 제공하지 않음으로 인해서 내가 피해를 봤다 하면서.

소위원장 신경민
배상의 문제까지 생기는 거지요.

과학기술정보통신부제2차관 김용수
예, 그런 점까지 고려해서……

소위원장 신경민
이것은 아주 좋은 법이기 때문에 더 보완을 해야 될 필요가 있지 않느냐, 그러니까 완결한 서비스가 필요해 보입니다.

추혜선 위원
잠깐만요, 위원장님. 이 법안의 여부와 상관없이 제가 좀 궁금한 게, 이것을 굳이 정부에서 포상제도를 운영해야 됩니까? 저는 그게 좀 납득이 안 돼서 법안을 보고 고민을 했는데……

과학기술정보통신부제2차관 김용수
예, 그런 고민도 있습니다, 지적도 있었고요. 그러니까 일부 대기업들은 지금 자체적으로 하고 있는데 저희가 도입하는 취지는 중소기업들은 그럴 여력이 없기 때문에 그런 것을 좀 정부에서 보완하자, 그런 취지에서 시작한 것으로 알고 있습니다. 그러니까 법 이전에 이미 시행은 되고 있습니다.

소위원장 신경민
의결하겠습니다. 18․25․26항은 계속 논의하기로 하고요. 의사일정 19․20․21․22․23․24항, 이상 6건의 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안은 각각 본회의에 부의하지 않고 지금까지 논의된 사항을 통합․조정한 대안을 우리 위원회안으로 제안하고자 합니다. 이의 없으시지요? (「예」 하는 위원 있음) 가결하겠습니다. 그러면 여기까지 됐습니다. 그다음에는 27항, 28항 방송법입니다. 하나는 송희경 의원님 안이고, 정부제출안입니다. 설명해 주세요.



국회의원들의 발언을 분석하고 평가하고 공유해 보세요.


고위 공직자의 재산을 조회에 보세요
회의록 내용을 검색하고 싶다면 이곳을 클릭하세요