OECD 정보보호 가이드라인 개정 현황 분석 및 시사점(발취)
서론
경제협력개발기구(OECD)를 비롯한 국제기구는 정보보호(Information Security) 및 사이버보안을 위해서 범국가적인 접근이 필요하다는 사실을 인지하고, 이에 대응하기 위해 역동적인 활동을 벌이고 있다. 구체적으로 살펴보자면 국제전기통신연합(ITU)은 2007년에 국제 사이버 보안 어젠다(Global Cybersecurity Agenda)를 도입하여 회원국이 정보사회 보안과 신뢰를 강화할 수 있는 지침을 마련하였으며, 국제표준화기구(ISO)는 국제전기기술위원회(IEC)와 공조하여 ISO/IEC 27001 정보보호 관리체계에 대한 국제표준을 제정하였다.
시사점
1. OECD는 회원국이 사이버보안 강화 프레임에 대해 논의할 수 있는 포럼을 마련해야 한다.
2. OECD 정보보호 가이드라인 개정안은 국제표준화기구(ISO)의 표준에 도입되어야 한다. OECD는 총 34개의 회원국으로 이루어져 있는데, 위 회원국은 주로 북미국가나 유럽 및 아시아태평양 지역의 국가들만 포함하였기 때문에 대표성이 떨어진다. 예를 들어 OECD 회원국 명단에는 현재 IT산업 성장속도가 가파른 인도, 중국을 포함한 아시아국가 및 남미국가들이 제외되어있기 때문에 가이드라인 개정안이 전 세계적인 규범이나 기준으로 작용하는데 어려움이 있다. 이와 대조적으로 국제적인 표준을 개발⦁발표하는 국제표준화기구(ISO)는 162개의 회원국을 보유하고 있다. ISO는 BRICs(브라질, 러시아, 인도, 중국) 국가를 비롯한 117개국이 참여하는 ISO 기술⦁정책회의를 통하여 국제기준 및 ISO 세부 원칙을 도입하기 때문에 전 지구적 대표성이 크다고 볼 수 있다. 따라서 OECD는 ISO와 협력하여 본 개정 가이드라인이 참고문헌이나 기타 형태로써 ISO 국제표준에 적용될 수 있도록 노력해야 한다. 특히, ISO/IEC 27001 국제표준 정보보호 관리시스템과 정보보호 가이드라인 개정안 세부원칙과 일치하는 부분에 대하여 ISO와 논의할 필요가 있다.
3. OECD 가이드라인은 전반적인 프레임워크 이외에 회원국이 공유할 수 있는 세부적⦁기술적 원칙을 도입해야 한다.
4. 우리는 OECD 정보보호 가이드라인의 내용을 통해서 디지털환경과 관련된 정보보호정책이 나아가야 할 방향을 설정할 필요가 있다.
출처 : 국회전자도서관
INTERNET & SECURITY FOCUS (2014년 6월)
한국인터넷진흥원 국제기구협력팀 / 연구원 임정현
한국인터넷진흥원 국제기구협력팀 / 팀장 윤재석