|
일 시 |
내 용 |
1996.8.7 |
최초 소송 제기 |
1996.9.15 |
Supplemental & Amended Complaint 제기 (왜냐하면 암호통제가 ITAR에서 EAR로 이관되었으므로) |
1997.1.2 |
공식 해명 요청 편지 씀 |
1997.1.29 |
BXA의 회신이 왔으나 구체적인 답변 없음 |
1997.6.12 |
3개의 commodity classification application 요청 |
1997.6.18 1997.7.24 |
Appellant's attorney가 BXA의 답변 요구 |
1997.8.7 |
회신 받음 |
1997.12.19 |
판결(Jude Gwin) 1. the "export" of encryption software, which includes the publication of encryption software on the Internet, is not protected by the First Amendment 2. the EAR controls on encryption software survive intermediate scrutiny 3. the EAR's implementing legislation, the International Emergency Powers Act(IEEPA), 50 U. S. C. 1701 et seq., does not violate the constitutional doctrine of separation of powers. |
1998.8.27 |
Appeal 신청 1. the status of source code under the Fist Amendment. 2. the interpaly of the Fist Amendment and United States export laws 목적 : 암호제품의 소프트웨어를 인터넷상에서 제작․출판 하는 것이 수정헌법 1조에 위배되는지 아닌지 판결함. |
1999.3.1 |
2심판결(1심이 reverse 됨) |
1심 판결은 1997년 12월에 났으며 판결 내용은 아래와 같다.
Like much computer software, encryption source code is inherently functional; it is designed to enable a computer to do a designated task. Encryption source code does not merely explain a cryptographic theory or describe how the software functions. More than describing encryption, the software carries out the function of encryption. The software is essential to carry out the function of encryption. In doing this function, the encryption software is indistinguishable from dedicated computer hardware that does encryption.
In the overwhelming majority of circumstances, encryption source code is expected to transfer functions, not to communicate ideas. In exporting functioning capability, encryption source code is like other encryption devices. For the broad majority of persons receiving such source code, the value comes from the function the source code does.
즉, 암호 소프트웨어의 source code는 수정헌법 제1조의 보장을 받는 speech로 볼 수 없으며, 따라서 정부가 암호 소프트웨어의 수출 전에 허가를 요구하거나 사전 제한을 가하는 것이 타당하다는 판결이다.
그러나 1999년 3월에 결정된 2심에서는 EAR이 자유로운 표현에 대해 수정헌법 제1조에 위배되는 사전적 제한을 가하고 있으며, 이로 인해 공무원들에게 과도한 영향력을 주고 있어 표현의 자유를 보장하지 못하게 하고 있다고 주장했다. 따라서 법원은 지방법원의 판결을 번복했다. 따라서 암호화를 위한 소스코드는 표현의 한 부분이며, 이는 표현의 자유를 보장한다는 수정헌법 제 1조의 보호를 받을 수 있게 되었고, 따라서 암호 소스 코드의 수출을 당국에 문의해야하기 때문에 발생하는 사전적 제한 또한 위헌이 된다. 이에 학자들은 자유롭게 소스 코드를 인터넷에 올릴 수 있게 되었다.
1.2 Bernstein Case
일 시 |
내 용 |
1995.2.21. |
Original Complaint 제기 : AECA(Arms Export Control Act)와 그 규제 조항인 ITAR (International Traffic in Arms Regulations)가 헌법에 일치하지 않음. |
|
District Court : Source code is speech. Bernstein v. Department of State et al., 922 F.Supp. 1436 (N.D.Cal. 1996) |
|
District Court : ITAR ... an unconstitutional prior restraint in violation of the First Amendment. Bernstein v. Department of State et al., 945 F.Supp. 1279 (N.D.Cal. 1996) |
1996.12.30 |
상무성이 EAR(Export Administration Regulations) 발표 (ITAR에서 문제되었던 item들을 ITAR에서 삭제하고 EAR에서 통제하도록 수정) |
1997.4.16 |
First Supplemental Complaint 제기 : EAR의 합헌성 여부 (an impermissible infringement on speech in violation of the First Amendment) |
1997.8.25 |
District Court : EAR were ... woefully inadequate. EAR constituted an unconstitutional prior restraint in violation of the First Amendment. Bernstein v. Department of State et al., 974 F.Supp. 1288 (N.D.Cal. 1997) |
|
On appeal, the Court of Appeals for the Ninth Circuit held that EAR constituted a prior restraint on speech in violation of the First Amendment. |
|
상무성은 EAR의 수정 발표 |
2000.1.14. |
EAR에 15 C.F.R./740.13(e). 추가 (65 Fed. Reg. 2492) |
2000.1.16. |
상무성에 서신으로 EAR 수정부분에 대한 의견 개진 : EAR이 연구에 걸림돌이 되고 있음을 밝히고, EAR에 관한 많은 부분에 관해 질의. |
2000.1.18. |
상무성 Bernstein 교수의 질의에 대해 회신함. : 연구에 지장을 준다는 점을 확인할 수 없다는 내용을 포함한 몇 개의 질문에 대한 답변. |
2000.10.19. |
상무성은 EAR에 15 C.F.R./740.13(e)(2) 삽입 (65 Fed. Reg. 62600, 62605) → Bernstein 교수의 주장 반영 |
2001.9. |
이후 양측이 계속 협의 중이나 EAR에 대한 추가 수정은 없었음. 이에 관해 재차 질의서를 보냈으나 2002. 1. 7일 현재 답신 없었음. |
2002.1.7. |
Second Supplemental Compalaint 제기 |
Bernstein 교수는 위의 표에서처럼 1995년에 처음 소송을 제기했고, 1심에서는 Source code is Speech라는 판결을 얻어내, 암호 소프트웨어 수출과 관련한 EAR 규정이 수정헌법 제1조에 위배되며, 이로 인해 가해진 사전적 제한은 위헌이라는 내용이 밝혀졌다. 하지만 미 정부가 EAR의 규정을 바꾼 후 이를 명확히 하기 위해서 상무성에 보냈던 편지에 대해 구체적인 답변을 받지 못했기 때문에 변경된 EAR의 세부사항을 구체적으로 명시하기 위해 다시 소송을 제기했으며 그 소송 제기의 이유는 다음과 같다21).
A. Freedom of speech 침해 : 외국에서 학회가 열리는 경우, 새로운 소스코드가 포함되어 있다면, 외국인 학자와는 자유롭게 의견을 교환하는 등의 상호 접촉을 할 수가 없었으며 암호에 관한 정보를 받을 수가 없었다.
B. Freedom of Association 침해 ; 필요한 경우마다 정부에 보고를 하고 있음에도 불구하고, EAR 규정 때문에 Bernstein 교수는 외국인 동료나 학생들과 자유롭게 가르치거나 배울 수 있는 기회를 박탈당했고, 이는 수정헌법 제1조에 위배된다.
C. Unreasonable Search and Seizure 당하고 있음 : Bernstein 교수는 외국인 동료들과 자유롭게 의견을 교환할 수 있는 프라이버시를 보호받지 못했으며, 암호 소스코드와 관련하여 불법적인 수색과 압수를 당해왔다. 이는 수정헌법 제4조에 위배된다.
D. prior Restraint 받음 ; 순수하게 학문에 관련된 행위를 함에 있어서도 정부와 EAR 규정 때문에 규제 받는다는 사실만으로도 학문을 하는데 있어서 사전적 제한을 받아왔다.
E. vagueness : EAR은 모호한 규정을 씀으로써, 정부의 불법적인 행위를 유발하고 있다.
F. overbredth : EAR 규정은 수정헌법 제1조에 의해 보호를 받을 수 없는 표현들에 관해서 처벌규정을 마련해 놓고 있는데, 이 규정들이 너무 모호하기 때문에 수정헌법 제1조에 의해 보호받을 수 있는 표현들조차 적용되는 듯이 보이는 등 애매모호한 점이 있다.
Bernstein 교수는 이상과 같은 내용을 주장했으며, 아직까지 이에 대해서는 법원의 판결이 나오지 않았다.
2. 현재의 EAR(Export Administration Regulations)
EAR(Exports Administration Regulations)는 비군사적인 기술, 소프트웨어 등의 제품에 대한 수출 통제를 목적으로 한 허가제를 규정하고 있다. 원래는 EAA(Export Administration Act of 1979)에서 기원하였으나 1994년 EAA를 IEEPA로 확장했다.
1996년 11월 15일, 미대통령은 행정명령을 발행해서 비군사적인 암호제품의 통제권을 국무성(ITAR : international Traffic in Arms Regulations)에서 상무성의 BXA(Commerce Department Bureau of Export Administration)으로 이관함에 따라 EAR의 통제를 받게 되었다.
EAR은 Commodity Control List(CCL)을 통해, 수출 통제 대상 품목을 규정하고 있다. CCL에 올려진 각각의 제품은 수출통제분류번호(ECCN : Export Control Classification Number)를 받게 된다. 암호화의 소프트웨어는 EAR에서는 암호기능을 제공하고나 정보의 무결성 기능을 보장하는 컴퓨터 프로그램이라고 규정되어 있다22). Part 772는 ECCN 5D002 하에 암호품목(EI : Encryption Item)을 명기하고 있다. 허가 요건은 주로 품목의 ECCN 번호에 따라 좌우된다.
EAA에서는 소프트웨어는 기술로 분류되어 있었고23), EAR에서도 이를 따라 암호 소프트웨어를 제외한 소프트웨어를 기술로 분류했다. 그러나 암호소프트웨어(source code와 object code 모두)는 암호 하드웨어와 똑같이 취급되어, EI로 통제하도록 규정했다24). 따라서 암호 소프트웨어는 공적인 사용을 위한 수출 통제 예외 조항의 적용을 받지 못했다. 따라서 과학적 연구, 교육 자료로써의 예외로 인정되지도 못했다.
암호 소프트웨어가 모든 전자적인 형태(디스켓, CD-ROMs, 인터넷 등)로는 EAR의 적용을 받았으나, 종이로 출간된 형태에 대해서는 EAR의 적용을 받지 않았다. 따라서 암호 소프트웨어는 순수하게 학문적인 혹은 과학적인 이유로 출간되는 경우라 할지라도 그것이 전자적인 형태를 띄게 되면 수출통제를 받게 되어 있다.
EAR에서는 수출이 미국 밖으로 EAR에 적용받는 물품을 실질적으로 배에 싣거나 이동시키는 것을 의미하는데25), 여기에는 미국 내에 있는 외국인에게 기술이나 소프트웨어를 파는 것도 포함시키고 있다. 또한 암호 소프트웨어의 수출에는 인터넷을 통한 출판도 포함되어 있음을 명시하고 있다. 그 예는 다음과 같다.
(ii) ... making such software available for transfer outside the United States, over wire, cable, radio, electromagnetic, photo optical, or photoeletric or other comparable communications facilities accessible to persons outside the United States, including transfers from electronic bulletin boards and Internet file transfer protocol and World Wide Web sites, unless the person making the software available takes precautions adequate to prevent unauthorized transfer of such code outside the United States26). Only encryption software is considered to be exported in these ways.
5D002의 통제를 받는 모든 암호 소프트웨어는 허가를 받아야 하고, 허가는 캐나다를 제외한 모든 국가에는 수출 전에 받아야 한다27). 허가 applications는 EAR의 허가 절차와 기록 보관 의무를 따라서 준수해야 한다.
EAR 규정에 따르면, 수출하려고 하는 물품을 수출하고자 하는 사람이 분류할 책임이 있다28). 만약 요청을 받으면, BXA는 그 수출하고자 하는 물품이 EAR, ECCN의 규정에 적용되는지에 대한 정보와 “분류 요청”과 “권고 의견” 등을 제공해 줘야 한다29).
3. 원고측 주장
* 고급프로그래밍 언어로 씌어진 내용은 수정헌법 제1조의 보호를 받는 표현의 한 형태이다.
o 수정헌법 제1조는 과학적인 표현을 보호하고 있으며 이는 프로그래밍 언어로 쓰여진 내용도 포함한다.
o 프로그래밍 언어로 쓰여진 내용의 기능성 여부는 표현의 자유를 보장받는데에 아무론 제한도 가하지 않는다.
o 만약 책으로 출간된 형태의 소스코드가 비록 아주 약간의 표현적 요소를 갖고 있다 할지라도 수정헌법 제1조의 보호를 받아야 한다.
* EAR은 표현의 자유에 사전적 제한(prior restraint)을 가한다.
o EAR은 사전적 제한을 가하는데 이는 수정헌법 제1조에 위배된다.
o EAR의 사전적 제한은 암호학적인 내용이 들어간 텍스트에만 국한되어 있음에도 불구하고 원고에게 사전적 제한을 가하고자 했다.
o 그리고 사전적 제한을 가하는 경우에 마련해야 하는 safe guard를 제공하지 못하고 있기 때문에 또한 위헌이다.
* EAR은 내용에 기반한 표현의 자유를 침해하므로 위헌이다.
o EAR은 암호 소스코드만 일반적인 소스 코드와 분리해서 다루었고, 암호 소스코드에 대해 암호와 관련한 내용이 있다는 이유만으로 국외로의 출간 및 인터넷에의 출간을 금지시켰기 때문에 이는 위헌이다.
o 만약 EAR이 암호 소스코드에 대해 제한을 가할 수 있다 하더라고, 그 목적과 기간을 한시적이고 구체적으로 명시해야 하는데, 그렇게 하지 못했으며, 또한 출간을 금지시켰으면 그에 대한 대체 방법을 제시해야 하는데 대안을 제시하지도 못했다.
* EAR은 암호소스코드에 대한 제약을 둠으로써 일반인들이 사적인 대화를 비밀리에 할 수 있는 프라이버시를 침해하고 있다.
o 암호 사용에 제한을 두게 되면 일반인들의 암호사용이 위축되게 되고, 이는 결국 개인의 사생활보호라는 권리를 침해하게 된다.
o 개인의 비밀스런 대화는 수정헌법 제1조와 제4조에 의해 보장받는 권리인데, 이를 무시한 결과이다.
IV. 국내 암호정책
1. 암호 수출입 관련법규
1.1 수출입 통제
암호제품의 수입은 법률이 아니라 정부정책으로 통제받으며, 수입하기 위해서는 산업자원부의 승인을 득해야 한다. 금융 업무를 위한 암호기기의 수입도 제한되어 진다. 정부는 이러한 내용을 고려할 수 있는 법적 기반을 만들기 위해 노력 중이다.그러나 암호 소프트웨어의 수입은 통제대상이 아니다.
수출 통제는 기본적으로 Wassenaar 협정을 따른다. 그러나 GSN을 포함할 지에 대한 세부 사항의 검토가 필요하다.
1.2 국내 법 및 규제
공중 전화망의 스위치 내부에 쓰여지고 있는 암호서비스는 사안에 따라 달리 결정되고 있다. 암호 사용에 관한 정부 규제는 없다.
1.3 암호 사용 제한 정책
1999년 1월 5일 전자거래기본법이 국회를 통과했다. 암호의 사용과 관련한 내용은 다음과 같다.
2. 암호관련 법규와 정책
2.1 암호에 관한 기본 법규
암호란 국가 비밀보장의 도구로 사용되는 것이라는 전통적 암호관에 따라서 암호에 관한 법규 또한 그러한 관점에서 입법이 이루어져 왔다. 현재 이러한 전통적 암호관련법률은 약 10여개 정도로 비교적 많은 수의 법규정이 존재하며, 국가정보원법과 보안업무규정, 사무관리규정, 군형법 등을 대표적으로 들 수 있다.
암호에 관한 핵심법률은 국가정보원법 (법률 제5681호 일부개정 1999. 1. 21)이다. 동법 제3조는 직무에 관한 규정을 두어 제1항 제2호에서 국가기밀에 속하는 문서·자재·시설 및 지역에 대한 보안업무를 국가정보원의 직무로 규정하고, 동조 제2항에서 제2호의 직무수행을 위하여 필요한 사항을 대통령령으로 정하도록 하고 있다. 이에 따라 대통령령으로서 보안업무규정(대통령령 제16211호 일부개정 1999.3.31)을 두어 국가정보원법 제3조 제2항의 규정에 의하여 보안업무수행에 필요한 사항을 규정하고 있다.
기타 보안업무규정 제2조, 제7조 제1항, 제8조, 제21조 제1항, 제22조 등과, 군형법 제14조, 제81조, 사무관리규정 제17조, 비밀보호규칙 제42조, 제45조 및 선거 관리위원회 사무관리규칙 제17조 등이 암호에 관하여 다양하게 규정하고 있다.
정보시대의 도래에 따른 변화에 따라 현행법규에서도 현대적 암호에 관한 몇가지 규정을 두고 있다. 먼저 무결성을 위한 암호에 관해서는 전자서명법을 두어 비교적 상세한 암호관련 규정을 두고 있다. 기밀성을 위한 암호에 관해서는 전자거래기본법이 명시적인 몇 개의 규정을 마련하고 있다. 먼저 전자거래기본법 제18조 제1항에서는 “전자거래당사자등은 전자거래의 안전성 및 신뢰성을 위하여 암호제품을 사용할 수 있다”라고 암호제품의 사용을 원칙적으로 허용하고 있지만, 그럼에도 불구하고 제2항에서는 “정부는 국가안전보장등을 위하여 인정하는 경우에는 암호제품의 사용을 제한할 수 있으며, 암호화된 정보의 원문 또는 암호기술에의 접근에 필요한 조치를 취할 수 있다”라고 규정하여 국가통제의 가능성을 광범하게 열어놓고 있다. 그 외에도 제20조에서 암호화 등 전자거래의 안전성 및 신뢰성의 확보에 관한 사항에 대해 전자거래촉진계획을 수립․시행할 것을 국가에 의무화하고 있다. 그러나 이 전자거래기본법은 전자문서를 사용하는 거래를 적용범위로 하고 있기 때문에 그 외의 정보통신상의 암호 일반에 모두 적용되는 것은 아니다.
2.2 암호 제작에 관한 법규
암호의 제작에 관해서는 보안업무규정 제5조에서 암호자재는 국가정보원장이 제작하여 필요한 기관에 공급하도록 제한하여 규정하고 있으며, 예외적으로 국가정보원장이 필요하다고 인정하는 경우에는 암호자재의 사용기관이 제작할 수 있으나, 국가정보원장이 인가하는 암호체계의 범위 내에서만 가능하도록 제한하고 있다30). 따라서 전통적 암호의 경우에는 키복구시스템 자체가 무의미하게 된다.
암호 제작에 관한 법규로는 명시적으로 암호에 관한 규정을 두고 있지 않으나, 전기통신에서 사용되는 암호를 위해서는 전기통신기본법의 형식승인에 관한 규정을 들 수 있다. 즉 전기통신기본법 제33조에서는 정보통신부장관이 관계행정기관의 장과 협의하여 정하는 전기통신기자재를 제조하는 경우에는 그 기자재의 형식에 관하여 정보통신부장관의 승인을 받도록 규정하고 있으며, 이에 따라 형식승인이 전파연구소장의 위임을 받아 실시되고 있다.
암호제작에 관한 또 하나의 법규는 암호의 기술기준에 관한 것으로서, 정보화촉진기본법 제15조 제1항에서 정보통신부장관이 정보의 수집․저장․검색․송신․수신 중에 정보의 훼손․변조․유출 등을 방지하기 위한 관리적․기술적 수단인 정보보호시스템의 성능과 신뢰도에 관한 기준을 고시하고 정보보호시스템을 제조하는 자에게 이 기준의 준수를 권고할 수 있는 법적 근거를 마련하고 있다. 따라서 암호기술도 정보보호시스템의 일종을 구성하는 것이므로, 이러한 기술기준의 준수가 적용될 것이다.
2.3 암호취급 및 이용에 관한 법규
암호의 취급과 관련하여서는 암호자재취급인가권자를 보안업무규정 제7조 제1항에서 1급비밀취급인가권자와 동일하게 대통령 등 극히 제한적인 소수의 사람에게만 부여하고 있으며, 제8조에 의해 암호자재를 취급 또는 접근할 직원에 대해 취급을 인가할 수 있게 되어 있다.
암호의 이용에 대해서는 암호 및 음어자재는 암호자재기록부에 의하여 관리하도록 보안업무규정 제21조 제1항에서 규정하고 있고, 기록부에 모든 암호자재에 대한 보안책임 및 보안관리사항을 정확히 기록하도록 제2항에서 명시하고 있다. 뿐만 아니라 보안업무규정 제22조에서는 암호 및 음어자재를 다른 국가 비밀과 달리 어떠한 경우를 막론하고 복제 또는 복사하지 못하도록 금지하고 있다.
2.4 암호수출입에 관한 법규
암호의 수출에 대해서는 대외무역법 제21조31)에서 산업자원부 장관은 국제평화 안전유지, 국가안보를 위하여 필요하다고 인정하는 때에는 산업자원부 장관이 정하여 공고하는 전략물자를 수출하고자 하는 자에게 관계행정기관장의 수출허가를 받게 하는 등의 제한을 할 수 있게 규정하고, 제54조 2호에서 처벌규정을 두어 허위 등 기타 부정한 방법으로 전략물자 수출허가를 받거나, 수출허가를 받지 아니하고 전략물자를 산업자원부 장관이 공고하는 수출이 제한되는 지역으로 수출하게 되는 경우에는 5년 이하의 징역이나 수출가액의 3배 이하에 해당하는 벌금을 부과하도록 규율하고 있다.
암호의 수입에 대해서도 대외무역법 제21조에서 전략물자를 수입하고자 하는 경우에 그 수입증명서를 신청하면 통상산업부장관이 수입증명서를 발부할 수 있도록 하고 있고, 수입 이후에는 전기통신기본법 제 33조의 형식승인을 받아야 할 의무가 존재한다. 그러나 수입증명서 없이 수입을 하는 경우에는 3년 이하의 징역이나 3,000만원 이하의 벌금에 처하도록 처벌규정이 명시되어 있는 문제가 있다.
2.5 키복구제도에 관한 법규
암호와 관련한 키복구시스템에 대해서는 현재 무결성을 위한 암호에 대해서만 전자서명법 제21조에서 간략하게 규정하고 있을 뿐이며, 기밀성을 위한 암호에 대해서는 특별한 규정이 마련되어 있지 아니하다. 전자서명법에서는 가입자는 자신의 전자서명생성키를 안전하게 보관․관리할 의무를 부과하고, 원칙적으로 자신의 전자서명생성키를 공인인증기관에 위탁할 수 없도록 규정하고 예외적으로 가입자의 신청이 있는 경우에는 허용하도록 규정하고 있다. 그러나 전자서명법은 전자서명생성키라고 암호의 성격을 명시적으로 규정하고 있으므로, 이 법이 기밀성을 위한 암호에도 적용된다고 할 수는 없을 것이다.
2.6 기타
이러한 암호에 관련된 특별법규로서는 군형법을 들 수 있으며, 이 법은 제81조에서 암호의 부정사용에 관한 처벌규정을 두어 암호를 허가없이 발신하거나 수신할 자격 없는 자에게 수신하게 하거나 자신이 수신한 암호를 전달하지 아니하거나 허위로 전달하는 경우에는 2년 이상의 징역이나 금고에 처하도록 규정하고 있다. 그러나 이 조항의 범죄주체는 군인과 군무원으로 제한되어 있으므로 그 외의 민간인에게는 적용되지 않는다. 그러나 민간인의 경우에는 국가보안법 제4조 제2호에 따라 군사상기밀 또는 국가기밀이 국가안전에 대한 중대한 불이익을 회피하기 위하여 한정된 사람에게만 지득이 허용되고 적국 또는 반국가 단체에 비밀로 하여야 할 사실, 물건, 또는 지식을 탐지․수집․누설․전달하거나 중개한 경우에는 사형 또는 무기징역에 처할 수 있도록 되어있다. 그러나 국가보안법 제4조는 정부를 참칭하거나 국가를 변란할 것을 목적으로 하여 그 목적수행을 위한 행위를 하는 경우에만 적용되는 목적범으로 범죄주체가 제한되어 있으므로, 이러한 목적이 없는 경우에는 적용되지 않는다.
3. 암호정책과 도입필요성
정보사회의 암호이용의 현실변화에 대해 암호에 대한 이해는 아직도 전통적인 수준을 벗어나고 있지 못한 것이 현재 실정이며, 특히 국가안보적 측면의 암호에 대한 선입견으로 인해 산업적 측면의 암호발달에 상당한 장애가 될 우려가 있다고 할 것이다. 하나의 독자적 산업인 동시에 정보사회의 기반기술이 되는 암호산업의 활성화를 위해서는 민간의 자유로운 기술개발과 활용이 전제가 되어야 한다는 점은 기타 산업의 경우와 다르지 않다. 따라서 암호기술에 대한 자유로운 연구와 암호의 제작, 이용이 철저히 민간에 의해 이루어져야 할 필요가 있다.
그러나 우리나라의 경우는 분단상황이라는 특수한 현실에 처해 있으므로 다른 나라의 국가 안보적 관점보다는 훨씬 강화된 국가안보의 필요성이 제기되며 이에 따라 암호의 공공 질서적 가치가 더욱 중대하게 작용할 것으로 생각된다.
따라서 이러한 우리의 특수한 현실을 반영할 경우 국제동향보다는 좀더 앞서서 강제적 키복구제도를 수용하고 정부의 적법한 수사권을 인정하여야만 국가안보와 법집행력을 확보할 수 있을 것이다. 다만 OECD 가이드라인에서 민간주도, 사생활보호 등의 원칙을 최대한 존중하여야 한다는 제한이 부과되어 있고 우리 헌법에서도 기본권이 국가적 통제보다 우선적인 것으로 다루어지고 있을 뿐 아니라 외국에서의 우려와 마찬가지로 강제적 키복구제도의 적용은 암호산업의 발전을 위축시키고 민간의 암호이용에도 악영향을 미칠 것이다. 따라서 강제적 키복구제도를 도입함에 있어서도 자발적인 키복구제도 병행 등 많은 노력이 있어야 할 것이다.
4. 암호관련 법안 추진동향
지난 1999년에 민간암호사용을 위한 법규를 제정하려는 시도가 국가정보원, 정보통신부 등에 의하여 시도되었다. 국가정보원은 전문가들로 실무팀을 구성하여 민간 암호사용과 키 복구제도를 명시한 '암호법' 제정을 추진하였으며, 정보통신부도 민간의 암호이용을 촉진하고 암호산업을 육성하기 위한 가칭 '암호이용촉진법'의 제정을 밝혔다. 그리고 한국정보보호진흥원에서는 키복구기술을 개발하기로 하였다.
그러나 당시 시민단체들은 통신상의 암호데이터에 대하여 정부기관 등의 무제한적인 검열의 소지가 있다며 키복구제도에 대하여 극히 부정적인 입장을 취하였고 정보보호법계도 핵심기반 분야인 암호기술을 정부가 지나치게 규제하면 산업자체를 위축시킬 가능성이 크다며 회의적인 반응이었다.
결국 암호법 제정논의는 키복구제도에 대한 정부 각 기관과 민간단체 및 산업계의 입장차이를 극복하지 못하였을 뿐 아니라 세계 최초로 이 분야의 입법을 시도하는 것에 대한 부담이 작용하여 논의가 흐지부지되고 말았다. 그러나 공식적으로 입법을 포기한다는 의사표현은 없었으므로 추후 어떠한 방식으로든 재개될 가능성은 남아 있는 셈이다.
암호관련제품의 생산과 수출, 그리고 사용에 이르는 암호와 관련된 모든 활동을 포괄하는 암호정책 방향에 대한 법적 고찰은 실제적이고도 사실상의 필요성에 근거하고 있다. 개인의 프라이버시를 보호하고 국가의 국방 및 외교상의 기밀을 보호하며 범죄단체나 테러단체의 악용을 방지해야 할 뿐만 아니라 전자거래의 발전을 위해서도 반드시 필요하기 때문이다. 그러나 암호의 사용을 어느 정도의 수준으로 보장하고 규제해야 할 것인지를 확정하는데는 큰 어려움이 있는 것이다.
2002년 8월에 발표된 정보통신부의 “안전하고 건전한 지식정보강국 구현을 위한 중장기 정보보호 기본계획(안)”을 보면 우리나라의 암호기술을 세계적 수준으로 끌어올려 암호 경쟁력을 강화시키고, 암호시스템의 안전성을 강화하여 암호이용의 신뢰성을 확보하며, 투명하고 건전한 암호이용환경을 조성하고자 하는 의지를 밝히고 있다32). 그 구체적인 내용을 보면
o 암호이용의 투명성과 안전성을 확보하고, 이용자 보호 및 암호이용의 역기능에 대비하기 위하여 근거법률((가칭)암호이용에관한법률) 마련 추진
o 현재 모호하게 되어있는 ‘자율적인 암호사용 영역’과 ‘규제가 필요한 암호사용 영역’을 명확히 규정함으로써, 투명한 암호 사용 환경 조성 추진
o 암호키분배인증서의 안전한 생성/발급/관리에 관한 기본적인 사항을 규정함으로써, 인터넷 등 개방형 정보통신망을 이용하여 처리되는 정보의 기밀성 및 신뢰성을 확보
o 민간의 자율적인 암호사용 부문에 대해서는 미국의 CMVP에 준하는 수준의 「암호 안전성 평가제도 및 체계」를 마련하여,
- 이용자에게 정확한 정보를 제공함으로써, 이용자의 선택편익을 증진하고 암호제품의 경쟁력 향상 도모
o '키복구 기능을 탑재한 정보보호제품‘의 경우 암호제품이 이용자의 프라이버시를 침해하지 않도록 하는 안전규정 마련
o 국내 정보보호원천이론 연구를 세계적 수준으로 끌어올리기 위한 “(가칭)고등정보보호기술원”의 설립근거 마련
등이다.
국경의 의미가 퇴색되고 있는 정보사회에서 암호기술은 곧 국가의 경제적 이익을 확보하는 주요수단으로 부각되는 만큼, 우리나라 고유의 암호기술의 발전을 위한 민간의 노력을 통한 경쟁력 확보가 중요하다. 이를 위한 여러 가지 대안을 고려해 봐야 할 시점이다.
V. 정책적 제안
여러 형태의 정치적 활동, 특히 반대세력의 정치적 활동을 국가의 정보기관이 감시, 포착하는 것은 자유권에 대한 위해가 되며, 나아가 한 사회 내의 민주적 의사형성이 가능하게 될 조건(바탕)을 위협하게 된다. 민주주의 원리의 내용인 투명성과 여론을 통한 국가 활동에 대한 통제 가능성의 예외로서 정보기관의 활동은, 특별한 정당화 사유와 실효적인 법적 제한 그리고 특별한 통제장치를 필요로 한다. 따라서 이를 풀어가는 과정에서 정부와 개인을 모두 만족시킬 수 있는 절충점을 모색할 필요가 있다.
정보화사회는 개인이 어떻게 규제 및 감시당하고 있는지 알 수 없는 불투명성 때문에 더더욱 프라이버시를 보호하라는 목소리가 높아진다. 국내에서는 2002년 4월 행정자치부는 “공공기관의 개인정보보호를 위한 기본지침”을 발표하였고, 이에 따라 공공기관의 개인정보보호 정책이 시행될 것으로 예상된다. 또한 정보통신부가 앞장서서 개인정보 보호를 위해 국내외적 개인정보보호 강화 요구에 대응하는 법제도적 기반 구축, 효과적인 개인정보 침해 구제 및 고충처리, 자율적 개인정보보호 구현을 위한 역량강화와 제반사업 추진 등을 주요 사업계획으로 잡고 있는 실정이다. 또한 다양한 법적 규제와 제도적 규제 방안을 마련해 정보통신 기술의 발달에 발맞춰 개인정보 보호에 대한 규제를 더욱 강화하고 있다.
우리나라의 경우 우선 헌법제17조에서 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다고 규정하고 있으나 이와 동시에 헌법제37조2항에서 국민의 모든 자유와 권리는 국가안전보장․질서유지 또는 공공복리를 위하여 필요한 경우에 한하여 법률로써 제한할 수 있으며, 제한하는 경우에도 자유와 권리의 본질적인 내용을 침해할 수 없다고 언급함으로써 공공의 안녕을 위해서는 국가가 개인의 프라이버시를 침해할 수 있다는 여지를 열어두고 있으나 그렇다 할지라도 개인의 자유와 권리의 본질적인 내용을 침해할 수는 없도록 규정하고 있다.
이러한 현실을 감안할 때, 정보화진전에 따라 정보시스템 해킹, 개인정보 유출 및 위변조 등 역기능이 증가하므로 이러한 역기능에 대응하기 위하여는 중요정보를 보호할 수 있는 암호사용이 필수요소가 될 것이다. 또한 민간부문의 암호제품 및 서비스에 대한 수요가 증가하고, 이에 따라 법 집행기관의 합법적 감청이나 사실규명, 증거자료 수집을 위한 압수/수색영장에 의해 획득한 정보의 해독불가능으로 법집행이 크게 제약받게 되어, 국가안보 및 공공질서 유지 등에 심각한 문제점을 초래할 가능성이 존재하므로 국가차원의 암호정책수립이 절실히 요구된다.
미국의 경우에서와 같이 사실 수출 통제 정책을 통해 암호 사용을 규제한다는 것은 정부가 직접적인 간섭을 하는 것이라기 보다는 간접적으로 시장을 규제함으로써 개인의 행위에 영향을 주는 것이다. 내수용과 수출용 두가지로 제품을 만들려고 하지 않는 기업들 때문에 어차피 수출 통제 정책을 지켜질 수 밖에 없으며, 따라서 일반 개인은 기업들이 제공하는 제품이 아닌 다른 제품을 구매할 수 없으므로 의도했든 하지 않았든 정부의 암호 사용 통제 정책을 따르게 된다.
그러나 이러한 수출 통제 정책도 완벽하게 성공한 듯이 보이지는 않는다. Junger v. Daley 소송이나 Bernsteing v. Department of States 와의 소송 결과를 볼 때, 학자들이 순수하게 학문적인 필요에 의해서 암호를 사용하는 것 자체는 표현의 자유로 인정하고 있는 추세이다. 그렇다면 이것이 확대되어 해석되어, 개인의 암호 사용 또한 수정헌법 제1조에서 보장하고 있는 개인의 표현의 자유권에 보호받을 수 있게 될 것이다. 그렇게 되면 궁극적으로 정부와 법집행 기관은 개인의 암호 사용을 규제할 수 있는 법적 근거를 상실하게 된다.
그러나 미국의 경우도 문제가 없는 것은 아니다. 예를 들어, 어떤 사람이 용의자일 때 수사에 도움을 주기 위해 필체를 확인해 주거나, 지문을 찍거나 하는 등의 행위는 사실상 증거를 대주는 것은 아니기 때문에 수정헌법 제 5조에 의해 보호를 받지 못하고 있다. 그렇다면 과연, 암호화된 데이터를 입수한 법집행 기관이 개인에게 복호키를 요구하는 상황이 발생한다면 어떻게 될까? 과연 이 개인은 수정헌법 제5조에서 자기 자신에게 불리한 증언을 하지 않을 권리가 있다고 해독키를 내놓지 않아도 되는 것일까 아니면 법집행 기관의 요구에 따라 직접적인 증거가 아닌 해독키를 내놓아야만 하는 것일까? Doe v. United States 판결에서는 암호키 자체가 결정적인 내용을 담고 있는 데이터를 암호화한 키이므로 복호키를 요구하는 것은 자기 자신에게 불리한 증언을 하는 것과 같다고 판결했다.
미국 외의 다른 나라나 국제기구도 사실 이 문제에 대해 시원한 대답을 가지고 있지는 못하다. 예를 들어 암호정책에 있어 가장 기본이 된다고 하는 OECD의 Guideline도 실질적으로는 키복구제도를 지지하는지 아니면 부인하고 있는지에 대해 상당히 다른 해석의 여지를 남기고 있다. 국제기구의 의사결정 과정이 원래 그렇듯이, 각 회원국간에 합일된 점만을 구체적으로 법제화하거나 명시할 수 있는데, OECD 회원국 간에서도 암호정책에 대해서는 의견의 일치를 보지 못했기 때문에, OECD가 내놓은 Guideline도 애매 모호 할 수 밖에 없다. OECD의 Guideline이 의미하는 바는, 궁극적인 각국의 정책을 결정할 때, 개인의 프라이버시권을 존중하는 정책을 수립하든 법집행기관에게 좀 더 많은 힘을 실어주는 정책을 수립하든 결국 알아서 하라는 식이 되어 버린 것이다.
이와 같은 상황에서 한국의 경우, 실질적으로 암호제품의 수출입을 통제하는 법안이 제정되어 있지도 않고, 그렇다고 개인의 암호 사용에 대해 구체적으로 통제하고 있지도 않다. 입법화된 예는 아예 없으며, 정부의 정책으로 해결하고자 노력하고 있는 듯하다. 그리고 전자상거래와 국가보안등을 위해 간략하게 암호 사용에 대해 언급하고 있기는 하지만, 실질적으로 개인이 데이터를 암호화했을 경우 규제할 수 있는 법적 근거는 없는 실정이다.
우리나라도 1999년 키복구제도가 명시된 민간암호의 이용을 위한 법규를 제정하려는 시도가 있었으나, “통신상의 암호데이터에 대하여 정부기관 등의 무제한적인 검열의 소지가 있다”거나, “핵심기반분야인 암호기술을 정부가 지나치게 규제하면 산업 자체를 위축시킬 가능성이 크다”는 각계의 비판이 제기되면서 암호법 제정논의가 흐지부지된 바 있고33), 현재도 암호관련법안의 입법화가 추진되고 있는 것 같기는 하지만, 구체적으로 언론상에 보도된 바는 아직 없다.
사용 요구는 급증하고 있으나 관련 정책이 이를 따라가지 못하면 결국 문제가 생기게 된다. 사후약방문식의 해결을 원하지 않는다면 지금이라도 암호 정책에 관한 문제를 수면 위로 떠올려 공식적으로 입법화하는 노력이 필요할 것이다. 민감한 문제이기 때문에 쉬쉬하면서 적당히 입법화를 진행한다면 결국 개인의 입장에서든 국가의 입장에서든 부담스러울 수밖에 없을 것이다. 하지만 정당하게 공식적으로 모든 내용을 공개한 상태로 해결해 나가고자 서로 노력한다면, 미국에서 시행되고 있는 canivoire 시스템이나 매직 랜턴같은 시스템이 도입되는 불상사는 없을 것이다. 오히려 합법적이고 구체적인 근거 규정하에서 사용자와 감독자가 서로의 요구를 만족시킬 수 있다면 암호 사용의 긍정적인 효과가 배가될 것이며 이것이 결국 서로에게 이익을 주는 윈윈전략의 한 형태로 보여질 수 있을 것이다.
- 참고문헌 -
1. 국내문헌
고영삼, 전자감시사회와 프라이버시, 한울아카데미, 1998
김용진, “차세대 인터넷 발전방향,” 테마특강, 전자신문, 1999년 7월 27일.
로렌스 레식저, 김정오역, 코드 : 사이버 공간의 법이론, 나남출판, 2002.
미셀 푸코저, 오생근 역, 감시와 처벌 : 감옥의 역사, 나남출판, 1994.
박민성, “정보적 자기결정권과 암호,”
이구표, “미셀 푸코 - 근대적 권력에 관한 극한적 상상력,” 이론, 96년 봄, 제 14호.
정보통신부, “안전하고 건전한 지식정보강국 구현을 위한 중장기 정보보호 기본계획(안)”, 2002. 8.
정보통신정책연구원, “정보화를 통한 지식 정보국가의 건설 -VISION2002-", 1998.
정완, “사이버범죄의 보안대책 - 암호정책을 중심으로,”
http://www.kic.re.kr/search/data/2001/01-17.txt
조광제, “미셀 푸코의 권력론,” 사회와 철학, 91년, 제2호, pp.157-158.
콜린 고든저, 홍성민역, 권력과 지식, 나남출판, 1991,
홍성욱, 파놉티콘-정보사회 정보감옥, 책세상문고․우리시대, 2002.
한국정보보호센터, “키복구 가능한 Cryptographic File System 개발:Development of Cryptographic File System with Key Recovery Function”, 2000. 12.
2. 국외문헌
American Civil Liberties Union, PRIVACY IN AMERICA : Computers, Phones & Privacy,
Gerald R. Ferrera, Stephen D. Lichtenstein, Margo E. K. Reder, Ray August, William T. Schiano, CyberLAW : Text and Cases, WEST Thomson Learning, 2001.
NIST, "Escrow Encryption Standard(EES)," Federal Information Processing Standards Publications(FIPS PUB) 185, 1994.
Statement by Ambassador David Aaron, US Envoy for Cryptography, "International Views of Key Recovery," RSA Data Security Conference, January 28, 1997.
Taka Kubo, "Key Pre-distribution System as a Key Recovery System," PKS, 97.
The White House, Office of the Vice President, For Immediate Release, "Statement of the Vice President," Tuesday, October 1, 1996.
UK Cabinet Office, Encryption and law enforcement : A performance and innovation unit report, May 1999.
UK Cabinet Office, Privacy and data-sharing : The way forward for public services, A performance and innovation unit report, April 2002.
3. 인터넷 주소
http://www.wassenaar.org/docs/press_5.html
http://rechten.uvt.nl/koops/cryptolaw/index.htm
http://www.oecd.org
http://www.cdt.org/crypto/CESArevised.shtml
http://www.cordis.lu/infosec/src/prep.htm
http://www2.echo.lu/bonn/final.html
http://www.ispo.cec.be/eif/policy/97503toc.html
http://www.cl.cam.ac.uk/~mgk25/ca-law/COM-97-356.pdf
http://www.cl.cam.ac.uk/~mgk25/ca-law/
http://www.europarl.eu.int/tempcom/echelon/pdf/prechelon_en.pdf
http://www.dti.gov.uk/export.control/pdfs/ogels/cdcpu.pdf
http://www.legislation.hmso.gov.uk/acts/acts2000/10000023.htm
http://www.homeoffice.gov.uk/ripa/part3.htm
http://www.policecareers.gov.uk/ripa/riparchived.htm
http://www.cabinet-office.gov.uk/Innovation/1999/encryption/report.pdf.
출처: http://cist.korea.ac.kr