Day 31: 정보통신기반 보호법
1. 정보통신기반 보호법의 개요
1.1 정보통신기반 보호법이란?
정식 명칭 : 정보통신기반 보호법
약칭 : 정통기반법
제정 : 2001년 1월 16일
최신 개정 : 2023년
1.2 제정 배경
9·11 테러 (2001년)
국가 기반시설 보호 중요성이 부각된 사건
- 2001년 미국 9·11 테러 발생
- 사이버 공격으로 인한 기반시설 마비 우려 증가
국가 기간산업 보호 필요성
전력, 통신, 금융 등 국가 핵심 기반시설 보호 필요
- 사이버 공격 시 국가 마비 가능
- 예 : 전력망 마비 → 전국 정전
북한 등 사이버 위협
- 국가 배후 사이버 공격 증가
- 주요 기반시설이 표적
1.3 목적
제1조 (목적)
“이 법은 정보통신기반을 전자적 침해행위로부터 보호하여 국가의 안전과 국민생활의 안정 을 도모함을 목적으로 한다”
핵심
- 주요정보통신기반시설 보호
- 국가 안보 확보
- 국민 생활 안정
1.4 다른 법과의 차이
| 구분 | 정보통신기반 보호법 | 개인정보보호법 | 정보통신망법 |
|---|---|---|---|
| 보호 대상 | 국가 기반시설 | 개인정보 | 정보통신서비스 |
| 목적 | 국가 안보 | 개인정보 보호 | 정보통신 발전 |
| 적용 대상 | 주요기반시설 | 모든 개인정보처리자 | 정보통신서비스 제공자 |
| 주무 부처 | 과학기술정보통신부 | 개인정보보호위원회 | 과기정통부 |
| 관리 기관 | 한국인터넷진흥원 (KISA) | 개인정보보호위원회 | KISA |
2. 주요 용어
2.1 정보통신기반시설
정의 (제2조)
“정보통신서비스, 정보통신망 또는 정보통신기기로서 국가안보·국민경제 및 공공의 이익 과 밀접한 관련이 있는 시설”
국가가 돌아가는 데 필수적인 정보통신 시스템으로, 마비 시 국가 전체에 영향을 줍니다.
예시
- 금융 : 은행 전산망, 카드 결제 시스템
- 통신 : 이동통신망, 초고속 인터넷망
- 에너지 : 전력 제어 시스템, 가스 공급망
- 교통 : 항공 관제 시스템, 철도 신호 시스템
- 공공 : 119 긴급구조, 112 신고 시스템
2.2 주요정보통신기반시설
정의 (제2조)
정보통신기반시설 중 과학기술정보통신부장관이 관계 중앙행정기관의 장과 협의하여 지정 한 시설
정보통신기반시설 중에서도 특히 중요한 것으로 국가가 직접 지정·관리 합니다.
지정 기준
- 서비스 중단 시 영향 범위 (전국적 영향, 다수 국민 피해)
- 복구 소요 시간 (장기간 복구 불가 시)
- 타 시설에 대한 영향 (다른 기반시설에 연쇄 영향)
2.3 관리기관
정의 : 주요정보통신기반시설을 관리·운영 하는 기관
예시
- 은행 : 신한은행, 국민은행 등
- 통신 : KT, SK텔레콤, LG U+
- 전력 : 한국전력공사
- 가스 : 한국가스공사
- 교통 : 한국공항공사, 한국철도공사
2.4 전자적 침해행위
정의 (제2조)
“해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신기반시설을 공격하는 행위 "
유형
- 해킹 : 무단 침입, 정보 탈취
- 악성코드 : 바이러스, 랜섬웨어
- DDoS : 서비스 거부 공격
- EMP : 전자기파 공격
3. 주요정보통신기반시설 지정
3.1 지정 절차
[지정 절차]
- 1단계 : 관계기관 협의 (과기정통부 ← → 관계 부처)
- 2단계 : 지정 (과기정통부 장관)
- 3단계 : 통보 (관리기관에 통보)
- 4단계 : 고시 (관보에 게재, 비공개)
특징 : 지정 목록은 비공개 (보안상 이유), 관리기관에만 통보
3.2 지정 대상 분야
7개 분야 (시행령 제2조)
[정보통신 분야]
- 기간통신망
- 인터넷 서비스
- 예 : KT 통신망, SK브로드밴드
[금융 분야]
- 은행
- 금융결제원
- 증권거래소
- 예 : 신한은행 전산망, 금융결제원 시스템
[에너지 분야]
- 전력 (발전, 송전, 배전)
- 가스 공급
- 석유 정제
- 예 : 한국전력 SCADA, 한국가스공사
[교통 분야]
- 항공 관제
- 철도 신호
- 지하철 운영
- 예 : 인천공항 관제 시스템, 코레일 신호 시스템
[수자원 분야]
- 댐 관리
- 상수도 제어
- 예 : 한국수자원공사
[보건의료 분야]
- 질병관리
- 응급의료
- 예 : 질병관리청, 119 구급
[국방 분야]
- 군사 지휘통제
- 방공망
- (국방부 별도 관리)
3.3 지정 규모
약 300여 개 (비공개)
분야별 비중
- 금융 : 약 40%
- 통신 : 약 30%
- 기타 : 약 30%
3.4 지정 해제
사유
- 시설 폐쇄
- 중요성 감소
- 관리기관 요청
절차 : 지정과 동일 (과기정통부 장관)
4. 관리기관의 의무
4.1 취약점 분석·평가 (제9조)
실시 주기 : 매년 1회 이상
수행 방법
- 자체 평가 : 관리기관이 직접 수행
- 외부 평가 : 전문기관 위탁 (권장)
평가 내용
[기술적 취약점]
- 시스템 보안 취약점
- 네트워크 취약점
- 애플리케이션 취약점
[관리적 취약점]
- 보안 정책
- 인력 관리
- 교육 훈련
[물리적 취약점]
- 출입통제
- CCTV
- 재해 대비
평가 결과 처리
- 보고 : 과기정통부 및 KISA에 제출
- 조치 : 발견된 취약점 개선
- 재평가 : 중대 취약점은 조치 후 재평가
4.2 보호대책 수립·시행 (제9조)
수립 주기 : 매년 1회 이상
포함 사항
[침해사고 예방]
- 보안 시스템 구축 (방화벽, IDS/IPS 등)
- 보안 패치
- 접근통제
[침해사고 대응]
- 침해사고 대응팀 구성
- 대응 절차
- 복구 계획
[인력 관리]
- 보안 담당자 지정
- 교육 훈련
[물리적 보안]
- 출입통제
- 시설 보호
보고 : 과기정통부 및 KISA에 제출
4.3 정보보호책임자 지정 (제8조)
관리기관은 정보보호책임자 (CISO) 를 지정해야 합니다.
자격 : 임원급 또는 이에 준하는 직위
역할
- 보호대책 수립·시행 총괄
- 취약점 분석·평가 총괄
- 침해사고 대응 총괄
- 교육 훈련 총괄
4.4 침해사고 대응 훈련 (제9조의3)
실시 주기 : 매년 1회 이상
훈련 내용
- 시나리오 기반 훈련
- 침해사고 탐지
- 초동 대응
- 복구
- 유관기관 협조
참여 대상
- 침해사고대응팀
- 경영진
- 유관 부서
4.5 정보 공유 (제10조)
관리기관은 침해사고 정보를 KISA에 제공 해야 합니다.
공유 정보
- 침해사고 발생 현황
- 대응 방법
- 취약점 정보
KISA 역할
- 정보 분석
- 타 관리기관에 전파
- 대응 방안 제시
5. KISA의 역할
5.1 법적 지위
제11조 (한국인터넷진흥원)
“과학기술정보통신부장관은 정보통신기반의 보호업무를 효율적으로 수행하기 위하여 한국인터넷진흥원을 주요정보통신기반시설 보호업무의 전담기관 으로 지정할 수 있다”
5.2 주요 업무
(1) 취약점 분석·평가 지원
- 관리기관 평가 지원
- 평가 도구 제공
- 평가 결과 검토
(2) 보호지침 개발·보급
- 분야별 보호지침 개발
- 보안 가이드라인 제공
- 예 : 금융분야 주요정보통신기반시설 보호지침, 전력분야 보호지침
(3) 침해사고 대응 지원
- 24시간 침해사고 대응
- 기술 지원
- 복구 지원
(4) 정보 공유
- 위협 정보 수집·분석
- 관리기관 전파
(5) 교육 훈련
- 관리기관 담당자 교육
- 침해사고 대응 훈련 지원
(6) 기술 개발
- 보안 기술 연구개발
- 보안 도구 개발
5.3 보호센터 운영
주요정보통신기반시설 보호센터
기능
- 24시간 모니터링
- 침해사고 대응
- 정보 공유
연락처
- 전화 : 118
- 이메일 : ncwatch@krcert.or.kr
6. 침해사고 대응
6.1 침해사고 신고 (제12조)
관리기관은 침해사고 발생 시 지체 없이 신고해야 합니다.
신고 대상
- 과학기술정보통신부
- KISA
- 관계 중앙행정기관
신고 내용
- 침해사고 개요
- 피해 현황
- 대응 조치
- 복구 계획
6.2 침해사고 대응 절차
[침해사고 대응 절차]
- 1단계 : 탐지 - 이상 징후 발견
- 2단계 : 신고 - 과기정통부, KISA 신고
- 3단계 : 분석 - 침해 범위, 원인 분석
- 4단계 : 대응 - 격리, 차단
- 5단계 : 복구 - 시스템 복구
- 6단계 : 사후 조치 - 재발 방지 대책
6.3 침해사고 예방
보안 시스템
[방화벽]
- 네트워크 경계 방화벽
- 내부 네트워크 분리
[IDS/IPS]
- 침입 탐지 및 차단
- 실시간 모니터링
[보안관제]
- 24시간 모니터링
- 이상 징후 탐지
접근통제
[물리적]
- 출입통제 시스템
- CCTV
- 생체인증
[논리적]
- 사용자 인증
- 권한 관리
- 다중 인증 (MFA)
백업 및 복구
[정기 백업]
- 일일 백업
- 지리적으로 분리된 위치 보관
[복구 계획]
- RTO, RPO 설정
- 복구 훈련
7. 점검 및 평가
7.1 자체 점검
주기 : 연 1회 이상
내용
- 보호대책 이행 점검
- 취약점 분석·평가
7.2 정부 점검 (제13조)
실시 권한 : 과학기술정보통신부장관
실시 주기 : 필요 시 (부정기)
점검 내용
- 보호대책 이행 실태
- 취약점 조치 실태
- 침해사고 대응 체계
점검 결과
- 미흡 사항 개선 명령
- 시정 기한 부여
8. 벌칙
8.1 형사처벌
10년 이하 징역 또는 1억원 이하 벌금
- 주요정보통신기반시설에 대한 전자적 침해행위
3년 이하 징역 또는 3천만원 이하 벌금
- 직무상 알게 된 비밀 누설
- 거짓 보고
8.2 과태료
1천만원 이하 과태료
- 취약점 분석·평가 미실시
- 보호대책 미수립
- 정보보호책임자 미지정
- 침해사고 미신고
9. 주요정보통신기반시설 vs 일반 시설
9.1 비교표
| 구분 | 주요정보통신기반시설 | 일반 정보시스템 |
|---|---|---|
| 법적 근거 | 정보통신기반 보호법 | 개인정보보호법, 정보통신망법 등 |
| 지정 | 과기정통부 장관 지정 | 자율 |
| 취약점 평가 | 연 1회 의무 | 권장 |
| CISO | 의무 | 일부 의무 |
| 침해사고 신고 | 즉시 의무 | 법률별 상이 |
| 정부 점검 | 있음 | 없음 (일반적으로) |
| 침해 시 처벌 | 10년 이하 징역 | 법률별 상이 |
9.2 중복 적용
금융권 주요기반시설 적용 법령
- 정보통신기반 보호법 ✓
- 전자금융거래법 ✓
- 전자금융감독규정 ✓
- 개인정보보호법 ✓
통신사 주요기반시설 적용 법령
- 정보통신기반 보호법 ✓
- 정보통신망법 ✓
- 전기통신사업법 ✓
- 개인정보보호법 ✓
원칙 : 가장 엄격한 기준 적용, 각 법의 요구사항 모두 충족
10. 실무 사례
사례 1 : 은행 전산망 (주요기반시설)
A은행 : 주요정보통신기반시설 지정
의무 사항
- CISO 지정 (임원급)
- 취약점 평가 (연 1회, 외부 전문기관)
- 보호대책 수립 (매년)
- 침해사고 대응 훈련 (연 1회)
- 24시간 보안관제
보안 체계
- 물리적 망분리
- 다중 방화벽
- IDS/IPS
- 보안관제센터 (SOC)
- 일일 백업 + 재해복구센터
침해사고 발생 시 대응
- 즉시 탐지 (보안관제)
- KISA 신고 (즉시)
- 금융감독원 신고
- 긴급 대응팀 소집
- 격리 및 차단
- 복구
- 사후 분석
사례 2 : 통신사 (주요기반시설)
B통신사 : 기간통신망 주요기반시설 지정
특이 사항 : 국가 통신 인프라 운영, DDoS 공격 빈번
보안 대책
- Anti-DDoS 시스템
- 트래픽 모니터링
- 이중화된 백본 네트워크
- 실시간 위협 탐지
협력 체계
- KISA 실시간 정보 공유
- 타 통신사와 협력
사례 3 : 전력 (주요기반시설)
C전력공사 : 전력 제어 시스템 (SCADA) 주요기반시설 지정
특징 : 국가 전체 전력망 제어, 사이버 공격 시 전국 정전 가능
보안 대책
- SCADA 네트워크 완전 격리
- 외부 인터넷 차단
- 물리적 접근통제 강화
- 이중화 시스템
훈련
- 사이버 공격 시뮬레이션 (분기 1회)
- 정전 복구 훈련
11. 체크리스트
주요기반시설 관리기관용
[조직]
- 정보보호책임자를 지정했는가? (임원급)
- 침해사고대응팀을 구성했는가?
[평가 및 대책]
- 연 1회 취약점 분석·평가를 실시하는가?
- 외부 전문기관에 의뢰하는가?
- 연 1회 보호대책을 수립했는가?
- 보호대책을 KISA에 제출했는가?
[보안 시스템]
- 방화벽을 설치했는가?
- IDS/IPS를 설치했는가?
- 24시간 보안관제를 수행하는가?
[접근통제]
- 물리적 출입통제를 하는가?
- 논리적 접근통제를 하는가?
- 다중 인증을 사용하는가?
[백업 및 복구]
- 정기 백업을 수행하는가?
- 백업본을 별도 장소에 보관하는가?
- 재해복구 계획이 있는가?
[훈련]
- 연 1회 침해사고 대응 훈련을 하는가?
[정보 공유]
- KISA에 침해사고 정보를 공유하는가?
[침해사고 대응]
- 침해사고 대응 절차가 있는가?
- 침해사고 발생 시 즉시 신고하는가?
12. 정보통신기반 보호법 vs 국가정보보안 기본지침
12.1 비교
| 구분 | 정보통신기반 보호법 | 국가정보보안 기본지침 |
|---|---|---|
| 성격 | 법률 | 훈령 |
| 적용 대상 | 주요기반시설 관리기관 | 공공기관 |
| 목적 | 국가 기반시설 보호 | 국가기밀 보호 |
| 주무 부처 | 과기정통부 | 국가정보원 |
| 민간 적용 | 있음 (지정 시) | 없음 (국가기밀 취급 시만) |
| 처벌 | 10년 이하 징역 | 국가보안법 등 |
12.2 중복 적용
공공기관 주요기반시설 적용 예시
- 정보통신기반 보호법 ✓
- 국가정보보안 기본지침 ✓
- 예 : 국방부 지휘통제 시스템, 경찰청 112 신고 시스템
대응 원칙 : 더 엄격한 기준 적용
학습 정리
오늘 학습한 핵심 내용
- 정보통신기반 보호법 : 국가 기반시설 보호 법률 (2001년 제정)
- 주요정보통신기반시설 : 과기정통부 장관이 지정한 핵심 시설 (약 300여 개, 비공개)
- 7개 분야 : 정보통신, 금융, 에너지, 교통, 수자원, 보건의료, 국방
- 관리기관 의무 : CISO 지정, 연 1회 취약점 평가, 보호대책 수립, 침해사고 훈련
- KISA : 전담기관 (지원, 정보 공유, 교육)
- 침해사고 즉시 신고 의무
- 침해 시 10년 이하 징역 (일반 시설보다 엄격)
- 타 법과 중복 적용 가능 (금융권 : 전자금융거래법 + 정통기반법)
다음 학습 주제
Day 32: 전기통신사업법 (통신사업자 규제)