독일, IT∙통신분야 보안정책 강력 추진

- 국가 기반시설에 대한 IT보안법과 개인통신 데이터보존법 시행 가시화 -

- 국내 정보보안 업계, 독일 시장 진출을 위한 전략적 접근 필요 –

 

 

 

□ 사이버 공격 대응을 위한 IT 보안법안, 대통령 인준만을 남겨

 

 ○ 독일 연방정부는 ‘디지털 어젠다 2014-2017’ 정책을 통해 국가산업기반인 IT서비스에 대한 보안 및 방어를 중점적으로 추진해옴.

  - 디지털 커뮤니케이션, 전자거래 등 IT시스템을 기반으로 하는 비즈니스 모델의 성공을 위해서는 IT보안 문제 해결이 필수적임.

  - 이를 달성하기 위해 독일 연방 내무부는 사이버보안 규제 강화, 전자상거래 등 비즈니스 섹터 감시 강화, 데이터 보호, IT 보안체계 확립 등 IT 보안수위를 높이는 데 주력해옴.

 

 ○ 독일 연방의회와 연방참의원에서 IT보안법안 잇따라 통과

  - 디지털 어젠다 계획에 따라 2014년 7월에 독일 내무부는 내각 합의를 거쳐 '정보기술시스템의 보안 증진에 관한 법안(이하 IT 보안법안)'의 초안을 작성해 의회에 상정함.

  - 2015년 6월 12일에 독일 연방의회에서 법안이 통과된 데 이어, 7월 10일에는 연방참의원에서도 해당 법안이 통과됨.

  - 이제 IT보안법안은 연방대통령의 최종 인준 절차만을 남겨놓고 있으며, 인준이 완료되면 곧 정식 입법으로 공포∙발효될 예정임.

 

 ○ IT보안법 통과에 따라 독일 사회 주요 기반시설의 보안개혁 불가피

  - IT보안법은 독일 사회의 주요 기반시설(Critical Infrastructure) 운영자가 법안 인준 후 2년 안에 1) 운영시설의 IT 시스템 효용성, 비밀보장성, 보전성 등에 대해 BSI(연방정보보안국)가 요구하는 최소 기준을 만족하게 하도록 조치해야 하며, 2) 보안에 문제가 생겼을 경우 즉각 보고해야 하며 이를 어겼을 경우 최대 10만 유로의 벌금을 부과받는다는 내용을 핵심으로 함.

  - 이때 사회 주요기반시설이란 사회 구성원 다수에게 필수적인 서비스를 제공하고 있는 단체 및 설비 등을 가리키며, 산업별로는 전기∙화력 등 에너지서비스업, 텔레커뮤니케이션 및 정보기술업, 교통 및 운송업, 의료업, 수도산업, 농업, 금융 및 보험업 등이 포함됨.

  - 더욱이 주요 기반시설에는 독일 내에 설립된 외국 기업이 포함됨은 물론, 독일 외에서 운영되는 기업이라도 독일을 상대로 위와 같은 필수적인 서비스를 제공하는 기업도 포함됨.

 

 ○ 이번 IT보안법안은 IT분야뿐만 아니라 경제 전반에 영향 행사할 것

  - 이 법안은 날로 증가하는 사이버 공격 위협에 대한 강력한 방어 조치로, 사회 주요 기반시설의 경영자, 주주, 실무진, 고객 등의 전방위적 노력을 요구하고 있음.

  - 법안의 초안을 작성한 연방내무부의 토마스 드 메지에르(Thomas de Maiziere) 장관은 “첨단 기술분야에서 혁신을 거듭하는 독일 기업들이 외부 보안 공격에 노출돼 있다”며, “이번 법안에 주요 기반시설에 속하지 않은 기업체나 단체도 법안이 요구하는 수준의 조치를 취해달라”고 요청하기도 함.

 

□ 신규 데이터보존법안, 독일 연방의회 상정 예정

 

 ○ 2015년 5월, 독일 연방정부는 개인 통신 데이터를 활용한 테러리즘 및 강력범죄를 예방하기 위해 새로운 데이터보존법안(Data Retention Act)의 입법 예고를 발표

  - 해당 법안은 보수적인 토마스 드 메지에르 장관과 진보 성향을 가지고 있는 연방법무부 하이코 마스(Heiko Maas) 장관이 상호 합의를 통해 제시된 법안이어서 더욱 주목을 받음.

 

드 메지에르 내무부장관(좌)과 마스 법무부장관(우)

자료원: Deutsche Welle

 

  - 하이코 마스 장관은 "개인의 자유와 안전한 사회가 서로 현존할 수 있도록 법안을 조율했다"고 밝힘.

  - 한편, 독일은 2006년부터 2010년까지 정보보안 및 데이터보존법안이 존재했으나 해당 연도에 독일 연방법원이 해당 법을 위헌 판결함에 따라 폐지된 바 있음.

 

 ○ 신규 데이터보존법안의 내용

  - 해당 법안 핵심은 사용자의 ‘메타데이터’, 즉 사용자의 통화기록이나 통화시간, IP 주소 등을 장기간 보관해 적법한 절차를 통해 이용하는 데 있음.

  - 사용자의 통화위치는 4주 동안 보존되며, 이 외 정보는 10주 동안 통신사가 보존해야 함. 단, 통화 내용이나 이메일 내용 등 개인의 사생활이 포함된 정보는 포함되지 않음.

  - 사법당국이 해당 정보의 사용을 원할 경우 법원의 영장이 필요하며, 사용 시 해당 정보의 이용자에게 사용 내역이 통보됨.

  - 해당 법안은 익명보호와 관련이 있는 직종, 예를 들어 변호사, 종교인, 의료진, 언론인 등에게는 적용되지 않음.

 

 ○ 관련 시민단체, 언론사 등은 해당 법안을 강력 규탄하기도

  - 개인정보 관련 시민단체, 언론사 등은 이번 법안이 "개인의 자유를 심하게 침해할 것"이라고 우려하며, 보호가 필요한 각 단체의 내부고발자들이 피해를 볼 수 있다고 주장

  - 만약 이 법안이 연방의회를 통과해 입법화될 경우, 법 발효 시까지 18개월 동안 독일 내 통신업체들은 정보보안 시스템을 준비해야 할 것으로 예상됨.

 

□ 독일의 보안 관련 법안 시행, 향후 전망은?

 

 ○ IT 보안법으로 향후 수년간 각 기업이 사용하는 IT보안기술의 지속적인 업데이트를 위한 대규모 투자가 예상됨.

  - 이번 법안에 대해 독일연방정보통신협회(BITKOM)는 “주요 시설 운영자들이 각자의 IT 보안 프로그램을 항상 최신 상태(state-of-the-art)로 유지해야 함”을 뜻한다고 평하며, “IT 보안에 소요되는 비용은 보안 실패로 인한 손해 비용보다 훨씬 적을 것” 이라며 입법을 환영

  - BITKOM은 IT보안법이 적용되는 독일 내 기업은 2000여 개를 웃돌 것으로 분석하며, 보안기술에 대한 독일 기업들의 투자규모는 연간 11억 유로에 달할 것으로 관측함.

  - 이번 IT보안법에 포함되지 않은 일반기업 중 40% 이상이 향후 7년 안에 자사 내 IT보안서비스 도입을 희망하거나 긍정적으로 검토하고 있다고 답변해 향후 독일 IT보안시장 전망을 밝게 함.

 

정보보안 서비스의 자사 도입에 대한 독일 기업 관계자 설문결과

자료원: BITKOM(설문기업 수: 172개사)

 

 ○ IT 및 통신 관련 보안의식 증진으로 인한 보안산업 활성화 기대

  - IT 보안법은 IT산업뿐만 아니라 전력공급이나 식품산업 등 기본 산업 전반에 걸친 IT 보안 플랫폼의 질적 향상을 목적으로 함.

  - 또한 데이터보존법의 입법에 따라 독일 국민의 생활공간에서 정보보안의식 상승이 예상되며, 이는 곧 사회 전반의 IT보안 인프라 향상으로 이어질 것

 

□ Deutsche Telekom 관계자 인터뷰

 

 ○ 2015년 7월 14일, 이번 IT보안법 발효와 관련해 독일 최대 이동통신회사인 Deutsche Telekom 구매담당자 Mr. Toensing과 인터뷰를 진행했음.

 

Q. IT보안법안이 국회를 통과했다. 2013년부터 이에 대한 논의는 꾸준히 있었는데, Deutsche Telekom은 이에 대해 어느 정도로 준비돼 있는가? A. 자세한 내용은 기밀사안이라 대답하기 곤란하다. 다만 당사는 IT보안이 필수적으로 전제되는 통신사업을 진행하고 있으므로, 이미 많은 준비를 했다. 법안이 발효되더라도 당사에 큰 문제는 없을 것으로 보인다.   Q. 독일의 일반 기업들의 준비 상황은 어느 정도인가? A. IT 업계 기업이라면 모르겠으나, IT와 관계된 분야가 아닌 기업의 경우에는 이번 법안 발효에 적절한 대응을 적시에 하지 못할 우려도 있다.   Q. IT보안법안 발효로 인해 독일에 진출한 한국 기업들도 영향을 받을 것으로 보인다. 이에 대해 조언한다면? A. ISO 27001(정보보호경영시스템)과 같은 보안 규격인증을 취득하는 방법이 가장 현명할 것이다. 특히, SAP 같은 대형 애플리케이션 업체에서는 발빠르게 이에 필요한 솔루션을 제공하고 있다.

 

□ 국내 IT보안업계에는 독일 시장 공략 기회

 

 ○ 독일 기업의 IT시스템 보안환경, 발전 여지 많아

  - BITKOM에 따르면 사용자 식별, 시스템 보호, 암호기술, 외부침입방어 등 IT보안과 관련한 주요 분야에서 독일 기업의 인프라는 발전 여지가 충분한 것으로 드러남.

  - GTAI도 독일 IT시장이 2008년 대비 2015년까지 연평균 5% 이상 성장할 것으로 관측한 바 있음.

  - 독일은 향후 2020년까지 보안 분야에 대한 집중적인 투자에 나설 것이므로, 이와 관련한 R &D 분야 지식∙기술 이전 등 해당 업계 교류가 활발할 것

 

독일 기업의 IT보안기술 사용 현황(2015년)

자료원: BITKOM

 

 ○ 국내 정보보안 산업경쟁력 시험대 될 것

  - 국내기업이 세계 수준의 경쟁력을 보유한 DRM 콘텐츠보안 분야, 사용자 인식(CCTV, 바이오) 분야, 블랙박스 분야 등은 독일 시장 진출 가능성 충분

  - 일례로 2015년 3월에 개최된 CeBit(독일정보통신박람회)에 홍채인식 제품을 출품한 국내 IT보안기업은 앞선 기술력으로 바이어들의 호평을 얻은 바 있음.

  - 국내 기업이 독일 시장에 안착하기 위해서는 독일인 입맛에 맞춘 현지화 전략의 성공과 더불어, 신뢰할 만한 독일 현지 파트너 발굴, 꾸준한 기술 업데이트를 통한 고객지원 등이 전제돼야 함.

 

 ○ 베를린-브란덴부르크 지역의 IT보안 협회, 클러스터와의 네트워킹 고려 필요

  - 독일내 IT보안 관련 업체, 연구기관은 베를린-브란덴부르크 지역에 집중돼 있으며 총 118개 단체(기업, 대학연구기관, 리서치센터, 협회, 공공기관 포함; 2011년 기준)로 구성됨.

  - IT보안 분야를 다루는 주요 클러스터로는 GESA, SeSamBB, IdentSys, BrainTrustIT, Tusec 등이 있으며, 이들은 기업·연구기관·대학 등의 연합체로 독일 IT보안기술을 선도하고 있음.

  - 아직 IT보안 원천기술보다는 응용기술 개발에 치중하고 있는 국내산업 현실에 비추어볼 때, 이들 IT 클러스터와의 전략적 R &D 제휴를 통한 기업 경쟁력 향상도 고려해볼 만함.

 

□ 시사점

 

 ○ 장기적으로 유럽연합과 독일은 IT보안 강화에 나설 것

  - 유럽연합 28개 회원국들은2015년 6월에 소비자 보호를 위한 온라인 개인정보보호 관련 규정에 합의하는 등 IT보안정책과 개인자유영역 간의 균형을 맞추는 행보를 보여왔음.

  - 그러나 최근 계속되는 민간 사이버 테러 위협, IT시스템 및 유무선통신망을 이용한 정보 유출, 국가기반시설에 대한 해킹 위험 등을 고려해볼 때, 유럽연합이 개인의 자유를 제한하고 보안 이슈를 우선순위에 놓는 정책을 펼칠 것이라는 예상이 우세함.

  - 이번 독일 의회의 IT보안법과 데이터보존법도 상존하는 사이버 공격에 대한 대응 수위를 높이고 국가 안전망을 확보하겠다는 의지로 풀이됨.

 

 ○ 증가하는 IT보안 수요에 대한 발빠른 대처 필요

  - 독일 보안기술 시장은 유럽에서 가장 규모가 크며, 특히 센서기술, 바이오메트릭스, RFID 분야에서 독일 기업과 클러스터들은 세계 시장에서의 경쟁력을 보유함.

  - 적극적이고 전략적인 R &D제휴를 통해 독일 기술을 벤치마킹함으로써, 국내 IT보안업계의 양적∙질적 성장을 함께 도모하는 것이 바람직

 

 

자료원: 독일 연방정부, BITKOM, GTAI(독일무역투자진흥기관), Deutsche Welle 및 KOTRA 함부르크 무역관 자료 종합