국가정보보호와 암호정책 - 목 차 - I. 서론 II 암호란? III. 국외 암호정책 - 암호사용 및 수출통제와 관련한 미국의 판례분석 1. 사건개요 2. 현재의 EAR(Export Administration Regulations) 3. 원고측 주장 IV. 국내 암호 정책 1. 암호 수출입 관련 법규 2. 암호관련 법규와 정책 3. 암호정책의 도입 필요성 4. 암호관련 법안 추진 동향 V. 정책적 제안 I. 서론 지금 우리 사회는 정치, 경제, 행정, 군사, 문화 등 인류가 더불어 살아가면서 형성된 모든 영역이 정보통신 시스템을 통해 생산과 유통이 이루어지는 지식정보 기반의 사회구조로 급속히 진행되고 있다. 지식기반사회는 지식/정보의 창출과 유통이 경제/사회 발전을 견인하는 사회로 인적자본, 지적자본, 신기술이 국가와 산업의 경쟁력을 좌우하게 된다. 이에 발맞추어 각국은 국가정보기반 마련을 위해 초고속 정보통신망을 구축하는 등 첨단의 정보사회로 진입하기 위해 많은 투자를 아끼지 않고 있다 김용진, "차세대 인터넷 발전방향," 테마특강, 전자신문, 1999년 7월 27일. 우리나라의 경우도, 2002년 6월말 현재 인터넷 이용자 2,565만명, 초고속 인터넷 이용가구가 약 920만으로, 인터넷 이용이 대중화되었고, 세계최고수준의 정보통신 인프라를 구축하게 되었다. 이에 따라 우리사회의 핵심 기반구조들이 정보통신 인프라에 기반을 두고 운영되고 있으며, 전자정부 구축이 활발하게 진행되어 정부 전자결재율이 80%를 넘었고, 공공 전자 조달 비율이 87%에 이르고 있다. 또한 정치부문에서도 인터넷 선거를 도입하는 등 전자민주주의가 진행되고 있어, 우리사회 전반의 경제·사회 활동에서 정보통신인프라에 의존도가 매우 높아지고 있는 실정이다 정보통신부, "안전하고 건전한 지식정보강국 구현을 위한 중장기 정보보호 기본계획(안)", 2002. 8. pp. 2-4 . 이와 같이 정보화가 진전될수록 정보통신인프라에 대한 의존도는 절대적으로 커질 것이며, 그에 따른 정보보호 대상도 전면적으로 확대될 전망이다. 그렇다면 과연 정보화가 순기능만 갖는 것일가? 개인의 입장에서 본다면 기술을 기반으로 한 정보화의 흐름에 원하든 원하지 않든 순응할 수밖에 없는 현 상황에서 인터넷 상에서의 검색(현실세계에서의 수색)과 감시에 의해 통제되어 지는 구조로 갈 수 밖에 없다. 이러한 감시와 통제의 구조를 설명한 예를 한 번 들어보자. 1791년 영국의 공리주의 철학자 제레미 벤담(Jeremy Bentham)은 죄수를 교화할 수 있는 시설로 원형감옥(Panopticon : '다 본다'는 의미)을 지을 것을 제안했다. 그가 제안한 바에 따르면 Panopticon 바깥쪽으로 원주를 따라서 죄수를 가두는 방이 있고 중앙에는 죄수를 감시하기 위한 원형 공간이 있다. 이 중 죄수의 방은 항상 밝게 유지되고 중앙의 감시공간은 항상 어둡게 유지되어, 중앙의 감시 공간에 있는 간수는 죄수의 일거수 일투족을 모두 포착할 수 있는 반면에 죄수는 간수가 자신을 감시하고 있다는 사실도 알 수 없다. Panopticon에 수용된 죄수는 보이지 않는 곳에서 항상 자신을 감시하고 있을 간수의 시선 때문에 규율을 벗어나는 해동을 못하다가 점차 이 규율을 "내면화"해서 스스로 자신을 감시하게 된다는 것이 벤담의 생각이었다. 벤담은 물론 이러한 원형감옥이 감옥뿐만 아니라 공장, 학교, 교화원, 병원 등의 모든 감시가 필요한 곳에 적용될 수 있다고 생각했다 홍성욱, 파놉티콘-정보사회 정보감옥, 책세상문고·우리시대, 2002. 이를 현대적 감옥과 권력의 감시 기제로 새로이 파악한 사람이 푸코다. 푸코는 감시와 처벌 : 감옥의 역사에서 근대이전의 '스펙터클한 사회'와 근대적인 '규율사회'를 구별했다. 스펙터클의 사회란 만인이 한 사람의 권력자를 우러러보던 시선으로 특징지을 수 있는 사회이고, 규율사회는 한 사람의 권력자가 만인을 감시하는 시선으로 특징지을 수 있는 사회이다. 만인이 한 사람의 권력자를 우러러보던 시선이 '군주권력'을 상징한 것이라면, 한 사람이 만인을 주시하는 시선은 '규율권력'을 구현한 것이다. 푸코는 벤담의 Panopticon이 군주권력에서 규율권력으로의 변화를 상징하는 동시에 추동한 것이라고 강조했다. 여기서 주의해야 할 점은 푸코가 인식하는 권력의 모습이다. 푸코가 굳이 벤담의 Panopticon까지 들어가면서 설명하고자 했던 내용은 권력의 편재성이자 권력의 미시성이었다. 푸코가 의미하는 권력이란 지배 계급이나 국가의 소유물이 아니라, 즉 어떤 실체적인 힘이 아니라, 온갖 생활상의 복합적인 전략적 상황들을 마치 미세한 그물이 바다 밑을 긁어모으듯 싸잡는 것이라는 의미로써의 권력이며, 이것이 편재성으로 압축될 수 있다. 이와 동시에 권력이 모든 것들을 감싸기 때문이 아니라 권력이 모든 곳에서 발생한다는 의미로 권력의 미시성과 동전의 양면을 형성한다. 이러한 권력이 편재하되, 그저 형식적인 측면에서가 아니라 우리 각자의 구체적인 신체 하나하나에 그야말로 미시적으로 침투한다는 점이 특이하다. 국가권력과 같은 대단위의 권력 기구에서 비롯되는 권력들은 미시적인 권력 관계망을 토대로 해서 성립되는 일종의 메타 권력이다. 푸코에게 있어서 권력은 거대한 억압장치나 금지에 의해서 실현되는 것이 아니라 일상적인 감시와 정상/비정상의 구분에 의해 행사된다 정상/비정상의 구분 등에 관해서는 푸코의 광기의 역사를 참고할 것. . 즉, 근대의 권력은 주권과 법의 체제로 축소 환원될 수 없는 사회의 위로부터가 아니라 그 안에서 행사된다는 것이다. 현대 사회에서 행사되고 있는 권력은 법이나 국가장치와는 다른 문제이며, 그보다 더 복잡하고 더 널리 퍼져있다. 사회 전체가 사법적인 그물망으로써 예방적, 공리주의적, 교정적 처벌의 권한을 갖도록 되어 있어서 범죄와 그에 따른 처벌이 명시적이고 한정적인데서부터 암시적이고 보편적인 데로 나아감으로써 규율적 권력이 편재화 되었다는 것이다. 특히 푸코는 규율적 권력의 전략이 감옥 밖의 모든 제도와 조직들에 확산되었다는 점에 주목하고 있다 조광제, "미셀 푸코의 권력론," 사회와 철학, 91년, 제2호, pp.157-158. 푸코는 규율적 권력의 편재성과 권력·지식 연계를 내세워 서구 근현대사회를 원형 감옥 제도를 모델로 하는 하나의 거대한 '유폐적 그물망'으로 진단한다. 그리고 이 안에서 인간들은 '자신의 자율적 의식에 얽매임으로써 스스로 타자에 종속되어 있는 객관화된 주체라고 진단한다 Ibid., p. 166. 권력과 지식의 관계에 대해서는 콜린 고든저, 홍성민역, 권력과 지식, 나남출판, 1991, 참고. . 이 과정에서 근대의 진정한 권력은 법 및 계약의 법적, 정치적 관계를 벗어나 사회 전체와 동일한 공간에 걸쳐 존재한다. 이러한 푸코의 인식 전환은 국가 중심적 정치 개념을 전위시키고 "모든 것이 정치적이다" "만인의 만인에 대한 투쟁" "모든 힘의 관계를 권력관계를 함축한다" 등의 표현을 이끌어 내었다 이구표, "미셀 푸코 - 근대적 권력에 관한 극한적 상상력," 이론, 96년 봄, 제 14호, pp.101-105. 그러면 이러한 푸코의 권력에 관한 인식이 이 장에서 논하고자 하는 암호와 암호 정책에 어떠한 영향을 미치는가? 우선 다음의 글을 살펴보자. 그는 보여지긴 해도 볼 수는 없다. 그는 정보의 대상이 되긴 해도, 정보 소통의 주체가 되지는 못한다. 중앙 탑과 마주하도록 방을 배치함으로써 일종의 축을 형성하는 가시성이 강요되는 반면, 원형건물의 분할된 부분들과 완전히 분리된 독방들은 측면에서의 불가시성을 의미하게 된다. 이로부터 일망 감시장치의 주요한 효과가 생겨난다. 감금된 자는 권력의 자동적인 기능을 보장해주는 가시성의 지속적이고 의식적 상태로 이끌려 들어간다. 감시작용에 중단이 있더라도 그 효과는 계속되도록 하며, 또한 권력의 완성이 그 행사의 현실성을 점차 약화시켜 가도록 한다. 이러한 건축적 장치는 권력을 행사하는 사람과 상관없는 어떤 권력관계를 창출하고, 유지하는 기계 장치가 되도록 해준다. 요컨데 감금된 자가 스스로 그 유지자가 되는 어떤 권력적 상황 속으로 편입되는 것이다 미셀 푸코저, 오생근 역, 감시와 처벌 : 감옥의 역사, 나남출판, 1994, pp.295-297. 이상에서의 푸코의 논의를 살펴보면, 개인들은 이제 국가기관의 직접적인 통제와 구속을 통해서가 아니라 간접적이고 의식할 수 없는 방법들을 통해 스스로 규율과 통제를 내면화한다는 것을 알 수 있다. 이는 한 개인에게 영향을 주는 요소를 법, 시장, 구조, 사회규범의 네 가지로 정의하고, 이 네 가지 요소 모두 개인의 행위에 영향을 주지만, 특히 법(정부가 집행하는 법집행력의 의미로써)은 직접적으로 개인에게 영향을 줄 수 있을 뿐만 아니라 시장, 사회규범에 영향을 줌으로써 간접적으로도 개인을 규제할 수 있다고 하는 로렌스 레식의 주장과도 일맥 상통한다 로렌스 레식저, 김정오역, 코드 : 사이버 공간의 법이론, 나남출판, 2002, pp. 197-230. 레식의 주장에 따르면, 간접규제는 직규제보다 개인에게 더 위험할 수 있는데 그 이유는 "보이지 않는 규제를 더욱 용이하게 해주는 제도를 우려해야 하며, 규제를 더욱 손쉽게 하는 제도를 우려해야 한다. 우리가 전자의 규제에 대해서 우려해야 하는 이유는 보이지 않으면 부당한 규제에 저항하기가 어려워지기 때문이다 Ibid., p. 230. ." 여기서 문제가 되는 "간접규제 방식은 책임의 향방을 오도한다. 정부가 직접 부과할 수 있는 제약을 실현하기 위해서 다른 제약구조를 사용한다면 그 제약에 수반되는 책임이 불분명하게 되며, 그 결과 정치적인 책임 소재를 훼손시키게 된다. 만약 투명성이 입헌정부의 소중한 가치라면 간접규제는 그 적이다. 그것은 책임소재를 혼동시키고 정치를 혼란하게 한다 Ibid., p. 223. ." 이와 관련해, 1996년 봄에 버노 빈지(Vernor Vinge)에 의해 그려진 미래상은 정확히 오늘날을 반영했다고 볼 수 있다. 그는 "도처에 퍼져 있는 법의 강제 Ibid., p. 15. "에 관해 얘기했는데, 이는 아주 미세한 분배체계(넷)에 의해 사회생활의 모든 영역과 연결된 컴퓨터 칩을 통해 가능해진다. 그가 그려낸 이 모습이 바로 오늘날의 인터넷으로 통제되는 세상이다. 그는 이러한 통제를 수월하게 하는 네트워크가 정부의 권한을 강화시켜 완벽한 규제의 세상, 즉 조지 오웰이 1984년에서 예상했던 사회가 될 것이라고 했다. 이는 모든 개개인의 정보가 데이터베이스화되어 저장되고 기록되며, 분류되고, 누군가에 의해서 이용되기 때문에 가능하다. 이것은 누구를 위한 기록인가? 개개인의 편리함과 안전을 추구하기 위한 목적인가 아니면 국가든 시장이든 누군가가 개개인을 통제하기 위한 수단인가? 모든 개인의 정보가 전자화됨으로써 가능해진 권력과 감시의 일반화는 사실 개개인이 자발적으로 만들어 온 면도 없지는 않지만 예를 들어, 인터넷을 이용하는 많은 개인은 경품, 특권, 구입, 접근권한을 얻기 위해 쉽게 개인의 정보를 노출시키고 있으며, 이것이 어떠한 방식으로 사용될 것인지에 대한 충분한 고찰을 하거나 개인정보에 대해 숙지하는 경우가 드물다. 특히 눈에 보이는 이익은 가까운 미래에 쉽게 일어날 수 있는 것처럼 보이나 이로 인한 피해는 막연하고 눈에 보이지 않는 먼 미래에 일어나며, 더 심한 경우이지만 아주 일상적인 경우는, 왜 이러한 피해를 당하고 있는지에 대해서조차 알지도 못하고 있다. , 어쩌면 개인이 의식하지 못하는 사이에 혹은 잘못되거나 축소된 정보에 의해 국가나 시장에 의해 의도적으로 이끌어져 왔을 수도 있다. 결국 정부 정책의 시행과 권력의 규율 문제에 있어 중요한 점은 투명성이다. 이러한 투명성이 보장되지 않으면 개인은 부당한 규제에 저항하기 어려워지고, 이 과정에서 정보통신 기술의 발달은 그 역할을 톡톡히 하고 있기 때문에 더욱이 푸코의 권력에 대한 인식이 중요성을 가지게 된다. 특히 급속한 정보화의 발달로 국가조직이 막강한 정보보유 능력을 지니게 됨에 따라 정보 능력을 갖지 못한 개인은 자신의 정보를 제공하기만 할 뿐이다. 정보를 수집·보유하는 국가조직과 제공하는 개인간에 권력 불균형을 심화될 수밖에 없다 고영삼, 전자감시사회와 프라이버시, 한울아카데미, 1998, pp. 26-27. 정보사회에서 개인의 통제는 실질적으로 정보통신기술을 통한 규제로 이루어지고 있는데, 역설적이게도 이 규제와 통제를 벗어날 수 있는 방법 또한 정보통신기술을 활용하는 것이다. 이 중 특히 개인이 비밀로 보관하고 싶은 내용을 암호화하는 작업은 프라이버시를 보호하기 위해 제일 우선적으로 고려해야 하는 대상이다. 감시는 시민들의 자율성을 침해받는 경로이면서 동시에 시민들이 권리를 획득하는 수단이 되는 것이다. 즉, 정보사회에서 감시는 개인의 행동을 구속하고 제한할 뿐만 아니라, 행동을 가능케하고 부권(empowerment)를 가능하게 하는 수단도 된다. 레식의 주장처럼, "당신이 나를 감시하는 것을 해결하는 방법은 그 감시를 막는 것이 아니라 내가 당신을 감시하도록 허용하는 것이다. 당신의 감시행위에 대해서 그리고 그 밖의 어떤 것이든 당신이 행한 것에 대해서 당신에게 책임을 지우게 하는 것이다 로렌스 레식, Ibid., p. 348. ." 이런 관점에서 볼 때, 영국 수상이 내놓은 개인정보보호에 관한 보고서가 시사해 주는 바가 크다고 할 것이다 UK Cabinet Office, Encryption and law enforcement : A performance and innovation unit report, May 1999. II 암호란? 인터넷 활용이 증대됨에 따라 사이버 공간이 제2의 생활공간으로 자리잡게 되었고, 각종 전자거래 등의 확대로 개인 정보의 경제적 가치가 증대함에 따라 개인정보보호가 전 세계적으로 사회적인 문제로 대두되기 시작했다. 따라서 종전의 소극적인 개인정보의 침해에 대한 보호의 개념에서 적극적으로 자신의 정보를 통제/관리할 수 있는 개인정보보호 강화의 필요성이 크게 제기되었고, 이를 실현하는 한 방법으로써 암호에 대한 관심이 증가해 왔다. 암호란 개인의 정보를 보호하기 위해(허가받지 못한 다른 사람이 내용을 볼 수 없도록 하기 위해) 사용하는 것이다. 암호는 군이나 정보기관과 같은 특수한 영역에서만 사용되던 것이었으나, 최근에는 많은 사람들이 사용할 수밖에 없는 도구가 되었다. 또한 상업행위를 위해 일반 기업에서도 암호 제품의 사용을 늘여가고 있는 추세이다. 기본적 암호의 기능에는 기밀성 보장기능 외에 무결성, 인증, 부인봉쇄 등의 기능들이 있다 기밀성(Confidentiality)이라 함은 정보의 불법적인 공개로부터 정보보호를 의미하는 것으로 개인의 프라이버시 보호등이 이에 속한다. 무결성(Intergrity)은 불법적인 정보변조를 차단하는 것을 의미하며, 전송 또는 보관중인 정보를 제3자가 인가되지 않은 방법으로 위, 변조할 수 없도록 보호하여 원래 생성된 데이터의 완전성, 정확성, 일관성을 유지하는 것이다. 인증(Authentication)은 공개키 암호방식의 안전성을 보장하기 위한 기술이고, 부인봉쇄(Non-repudation)는 발신인에게 데이터 메시지를 귀속시키는 것을 말한다. 정완, "사이버범죄의 보안대책 - 암호정책을 중심으로," http://www.kic.re.kr/search/data/2001/01-17.txt 이처럼 암호사용이 광범위해 짐에 따라 정보기관을 포함한 국가기관, 새롭게 암호를 사용하게 된 일반시민 그리고 암호제품을 개발.판매하여 이익을 얻으려는 기업간의 이익 대립이 발생하고 있다. 정보기관은 민간이 암호를 사용함에 따라 국가안보가 침해되지 않을까 하는 우려와 자신들만의 전유물이었던 암호에 대한 독점적 사용권을 잃는다는 불안감을 가지고 있으며, 법집행기관은 범죄자들이 자신들을 따돌리고 범죄를 저지를지도 모른다는 불안감을 가지고 있다. 기업들은 강력한 암호를 국내 시장에 판매할 수 없는 동시에 자신들의 시장을 외국에 내주게 되는 것은 아니냐 하는 불안감을 갖고 있으며 키복구는 현재 이슈화되고 있는 PKI(Public Key Infrastructure)에 많이 적용되고 있다. 그리고 IBM, CyLink, Netscape등의 유명한 기업에서 통합 보안 솔루션을 제공하면서 키복구 기능을 포함한 제품을 선보이고 있다. 한국정보보호센터, "키복구 가능한 Cryptographic File System 개발:Development of Cryptographic File System with Key Recovery Function", 2000. 12. p. 41. , 시민들은 자신들의 프라이버시가 정보사회에서 침해당하고 있다는 불만을 가지고 있다. 암호의 사용은 사실 긍정적인 역할이 크다. 중요한 정보의 유출을 막고, 좀 더 편리한 생활을 가능하게 하는 도구로써의 역할이 제대로 운영만 되어 진다면, 좀 더 완벽하고 안전한 암호의 발전을 기대하는 것이 당연한 일일 것이다. 암호기술의 사회/경제적 활용은 "특정한 분야에서 이용되는 특수기술"에서 "차세대 사회경제의 기반기술"로 크게 변화되어왔으며, 그 중요성은 더욱 높아지고 있다. 특히, 국가기관이나 정보기관에서는 범법자들이 가지고 있는 많은 정보가 암호화되어 감에 따라, 이를 입수해서 적절한 절차를 통해 수색 및 압수할 수 있는 권한이 실질적으로 무용지물이 되고 있다고 주장한다. 미국의 경우, 경찰이 암호화된 정보를 입수했을 때, 용의자는 그 암호키를 알려 주지 않아도 된다는 것이 수정헌법 제5조 미국의 수정헌법 제 5조는 다음과 같다. No person shall be held to answer for a capital, or otherwise infamous crime, unless on a presentment or indictment of a grand jury, except in cases arising in the land or naval forces, or in the militia, when in actual service in time of war or public danger; nor shall any person be subject for the same offense to be twice put in jeopardy of life or limb; nor shall be compelled in any criminal case to be a witness against himself, nor be deprived of life, liberty, or property, without due process of law; nor shall private property be taken for public use, without just compensation. 이로 인해 강요에 의한 자백은 증거로 채택되지 않게 되었다. 특히 암호와 관련해서는 Doe v United States, 487 U. S. 201 (1988) 사건에서 정의되었다. 에 의해 보장받고 있는 것이 현실이다. 이것이 명문화된 사례가 1988년에 있었던 Doe v. United States, 487 U.S. 201 판례이다. 대법원은 개인이 유죄를 입증할 수 있는 비밀상자의 열쇠를 경찰에게 넘겨주긴 해야되지만, 그 열쇠의 조합이나 비밀번호를 말이나 행동으로 알려줄 필요는 없다고 판결했다. 이 판결이 의미하는 바는 법집행기관이 적법한 수색영장을 가지고 암호화된 파일을 요구할 수는 있으나, 비밀키, 패스워드, 코드 등 암호화된 자료에 접근할 수 있는 방법을 요구할 수는 없다는 것을 의미한다 Gerald R. Ferrera, Stephen D. Lichtenstein, Margo E. K. Reder, Ray August, William T. Schiano, CyberLAW : Text and Cases, WEST Thomson Learning, 2001, p. 191 인용. 이러한 경우, 만약 공개키를 다른 방법으로 얻을 수 있는 방법이 있다면, 수사기관은 암호를 해독하는데 들이는 시간과 비용을 크게 절감할 수 있을 것이며, 수사활동의 효율성을 증대시킬 수 있을 것이다. 그러나 암호사용의 확산에도 불구하고 아직까지 대부분의 정부는 이러한 민간의 암호 이용에 대한 통제 정책을 강구하지 않고 있다. 정보가 아직 활성화되지 못한 대부분의 국가에서는 아직 암호의 국내 사용이 활성화되지 않았기 때문에 제한할 필요성을 느끼지 못하기 때문이다. 하지만 이미 미국이나 유럽 등의 국가에서는 민간에서 이용하는 암호를 통제하는 정책을 결정하고 있다. 이러한 규제 정책은 크게 암호의 수입과 수출 규제와 사용에 관한 규제로 나누어지는데 이것의 목적은 각각 자국민과 국가의 안전에 관한 정보를 수집하기 위한 국가 보안상의 이유와 법 집행을 위해 특정한 범죄 활동의 증거 수집을 위한 이유로 대비될 수 있다. 여기서 우리는 개인의 프라이버시와 법집행을 어떻게 조화시킬 수 있을까하는 의문을 가질 수 있다. 이번 장을 통해 우리는 적절한 암호사용이 가능한 것인지, 개인에게 있어 어느 정도까지 프라이버시가 보호되어질 수 있는지, 얼마만큼 개인은 각자의 프라이버시 보호를 위해 노력해야 되는지를 고찰해 보고자 한다. 그리고 국내의 관련 법안들을 분석해 볼 것이다. 이러한 분석작업을 거친 후, 우리나라의 현실에도 적절하게 이용될 수 있는 암호정책의 수립을 위해서 우리가 할 수 있는 일이 무엇인지 제안하고자 한다. III. 국외 암호정책 - 암호사용 및 수출통제와 관련한 미국의 판례분석 1. 사건개요 일 시 내 용 1996.8.7 최초 소송 제기 1996.9.15 Supplemental & Amended Complaint 제기 (왜냐하면 암호통제가 ITAR에서 EAR로 이관되었으므로) 1997.1.2 공식 해명 요청 편지 씀 1997.1.29 BXA의 회신이 왔으나 구체적인 답변 없음 1997.6.12 3개의 commodity classification application 요청 1997.6.18 1997.7.24 Appellant's attorney가 BXA의 답변 요구 1997.8.7 회신 받음 1997.12.19 판결(Jude Gwin) 1. the "export" of encryption software, which includes the publication of encryption software on the Internet, is not protected by the First Amendment 2. the EAR controls on encryption software survive intermediate scrutiny 3. the EAR's implementing legislation, the International Emergency Powers Act(IEEPA), 50 U. S. C. 1701 et seq., does not violate the constitutional doctrine of separation of powers. 1998.8.27 Appeal 신청 1. the status of source code under the Fist Amendment. 2. the interpaly of the Fist Amendment and United States export laws 목적 : 암호제품의 소프트웨어를 인터넷상에서 제작·출판 하는 것이 수정헌법 1조에 위배되는지 아닌지 판결함. 1999.3.1 2심판결(1심이 reverse 됨) 1.1 Junger Case 1심 판결은 1997년 12월에 났으며 판결 내용은 아래와 같다. Like much computer software, encryption source code is inherently functional; it is designed to enable a computer to do a designated task. Encryption source code does not merely explain a cryptographic theory or describe how the software functions. More than describing encryption, the software carries out the function of encryption. The software is essential to carry out the function of encryption. In doing this function, the encryption software is indistinguishable from dedicated computer hardware that does encryption. In the overwhelming majority of circumstances, encryption source code is expected to transfer functions, not to communicate ideas. In exporting functioning capability, encryption source code is like other encryption devices. For the broad majority of persons receiving such source code, the value comes from the function the source code does. 즉, 암호 소프트웨어의 source code는 수정헌법 제1조의 보장을 받는 speech로 볼 수 없으며, 따라서 정부가 암호 소프트웨어의 수출 전에 허가를 요구하거나 사전 제한을 가하는 것이 타당하다는 판결이다. 그러나 1999년 3월에 결정된 2심에서는 EAR이 자유로운 표현에 대해 수정헌법 제1조에 위배되는 사전적 제한을 가하고 있으며, 이로 인해 공무원들에게 과도한 영향력을 주고 있어 표현의 자유를 보장하지 못하게 하고 있다고 주장했다. 따라서 법원은 지방법원의 판결을 번복했다. 따라서 암호화를 위한 소스코드는 표현의 한 부분이며, 이는 표현의 자유를 보장한다는 수정헌법 제 1조의 보호를 받을 수 있게 되었고, 따라서 암호 소스 코드의 수출을 당국에 문의해야하기 때문에 발생하는 사전적 제한 또한 위헌이 된다. 이에 학자들은 자유롭게 소스 코드를 인터넷에 올릴 수 있게 되었다. 1.2 Bernstein Case 일 시 내 용 1995.2.21. Original Complaint 제기 : AECA(Arms Export Control Act)와 그 규제 조항인 ITAR (International Traffic in Arms Regulations)가 헌법에 일치하지 않음. District Court : Source code is speech. Bernstein v. Department of State et al., 922 F.Supp. 1436 (N.D.Cal. 1996) District Court : ITAR ... an unconstitutional prior restraint in violation of the First Amendment. Bernstein v. Department of State et al., 945 F.Supp. 1279 (N.D.Cal. 1996) 1996.12.30 상무성이 EAR(Export Administration Regulations) 발표 (ITAR에서 문제되었던 item들을 ITAR에서 삭제하고 EAR에서 통제하도록 수정) 1997.4.16 First Supplemental Complaint 제기 : EAR의 합헌성 여부 (an impermissible infringement on speech in violation of the First Amendment) 1997.8.25 District Court : EAR were ... woefully inadequate. EAR constituted an unconstitutional prior restraint in violation of the First Amendment. Bernstein v. Department of State et al., 974 F.Supp. 1288 (N.D.Cal. 1997) On appeal, the Court of Appeals for the Ninth Circuit held that EAR constituted a prior restraint on speech in violation of the First Amendment. 상무성은 EAR의 수정 발표 2000.1.14. EAR에 15 C.F.R./740.13(e). 추가 (65 Fed. Reg. 2492) 2000.1.16. 상무성에 서신으로 EAR 수정부분에 대한 의견 개진 : EAR이 연구에 걸림돌이 되고 있음을 밝히고, EAR에 관한 많은 부분에 관해 질의. 2000.1.18. 상무성 Bernstein 교수의 질의에 대해 회신함. : 연구에 지장을 준다는 점을 확인할 수 없다는 내용을 포함한 몇 개의 질문에 대한 답변. 2000.10.19. 상무성은 EAR에 15 C.F.R./740.13(e)(2) 삽입 (65 Fed. Reg. 62600, 62605) → Bernstein 교수의 주장 반영 2001.9. 이후 양측이 계속 협의 중이나 EAR에 대한 추가 수정은 없었음. 이에 관해 재차 질의서를 보냈으나 2002. 1. 7일 현재 답신 없었음. 2002.1.7. Second Supplemental Compalaint 제기 시카고에 있는 일리노이 대학의 교수인 Bernstein 또한 앞의 Junger 교수와 비슷한 목적으로 미 국무성과 상무성을 대상으로 암호 소프트웨어의 수출을 통제하는 EAR 규정이 수정헌법 제 1조에 위배되며, 사전적 제한을 가함으로써 순수하게 학문적인 연구를 수행하는데 피해를 끼친다고 주장했다. 소송의 개요는 표와 같다. Bernstein 교수는 위의 표에서처럼 1995년에 처음 소송을 제기했고, 1심에서는 Source code is Speech라는 판결을 얻어내, 암호 소프트웨어 수출과 관련한 EAR 규정이 수정헌법 제1조에 위배되며, 이로 인해 가해진 사전적 제한은 위헌이라는 내용이 밝혀졌다. 하지만 미 정부가 EAR의 규정을 바꾼 후 이를 명확히 하기 위해서 상무성에 보냈던 편지에 대해 구체적인 답변을 받지 못했기 때문에 변경된 EAR의 세부사항을 구체적으로 명시하기 위해 다시 소송을 제기했으며 그 소송 제기의 이유는 다음과 같다 이는 2002년 1월 7일에 제기된 Bernstein 교수의 Second Supplemental Complaint 내용을 요약한 것이다. A. Freedom of speech 침해 : 외국에서 학회가 열리는 경우, 새로운 소스코드가 포함되어 있다면, 외국인 학자와는 자유롭게 의견을 교환하는 등의 상호 접촉을 할 수가 없었으며 암호에 관한 정보를 받을 수가 없었다. B. Freedom of Association 침해 ; 필요한 경우마다 정부에 보고를 하고 있음에도 불구하고, EAR 규정 때문에 Bernstein 교수는 외국인 동료나 학생들과 자유롭게 가르치거나 배울 수 있는 기회를 박탈당했고, 이는 수정헌법 제1조에 위배된다. C. Unreasonable Search and Seizure 당하고 있음 : Bernstein 교수는 외국인 동료들과 자유롭게 의견을 교환할 수 있는 프라이버시를 보호받지 못했으며, 암호 소스코드와 관련하여 불법적인 수색과 압수를 당해왔다. 이는 수정헌법 제4조에 위배된다. D. prior Restraint 받음 ; 순수하게 학문에 관련된 행위를 함에 있어서도 정부와 EAR 규정 때문에 규제 받는다는 사실만으로도 학문을 하는데 있어서 사전적 제한을 받아왔다. E. vagueness : EAR은 모호한 규정을 씀으로써, 정부의 불법적인 행위를 유발하고 있다. F. overbredth : EAR 규정은 수정헌법 제1조에 의해 보호를 받을 수 없는 표현들에 관해서 처벌규정을 마련해 놓고 있는데, 이 규정들이 너무 모호하기 때문에 수정헌법 제1조에 의해 보호받을 수 있는 표현들조차 적용되는 듯이 보이는 등 애매모호한 점이 있다. Bernstein 교수는 이상과 같은 내용을 주장했으며, 아직까지 이에 대해서는 법원의 판결이 나오지 않았다. 2. 현재의 EAR(Export Administration Regulations) EAR(Exports Administration Regulations)는 비군사적인 기술, 소프트웨어 등의 제품에 대한 수출 통제를 목적으로 한 허가제를 규정하고 있다. 원래는 EAA(Export Administration Act of 1979)에서 기원하였으나 1994년 EAA를 IEEPA로 확장했다. 1996년 11월 15일, 미대통령은 행정명령을 발행해서 비군사적인 암호제품의 통제권을 국무성(ITAR : international Traffic in Arms Regulations)에서 상무성의 BXA(Commerce Department Bureau of Export Administration)으로 이관함에 따라 EAR의 통제를 받게 되었다. EAR은 Commodity Control List(CCL)을 통해, 수출 통제 대상 품목을 규정하고 있다. CCL에 올려진 각각의 제품은 수출통제분류번호(ECCN : Export Control Classification Number)를 받게 된다. 암호화의 소프트웨어는 EAR에서는 암호기능을 제공하고나 정보의 무결성 기능을 보장하는 컴퓨터 프로그램이라고 규정되어 있다 EAR에서의 암호 소프트웨어에 대한 정의는 원문으로 다음과 같다. Computer programs that provide capability of encryption functions or confidentiality of information. 15 C.F.R. Part 774 참고. . Part 772는 ECCN 5D002 하에 암호품목(EI : Encryption Item)을 명기하고 있다. 허가 요건은 주로 품목의 ECCN 번호에 따라 좌우된다. EAA에서는 소프트웨어는 기술로 분류되어 있었고 EAA가 규정한 기술(technology)는 다음과 같다. : information and know-how ... that can be used to design, produce, manufacture, utilize, or reconstruct goods, including computer software and technical data, but not the goods themselves. 50 U.S.C.App.§2415(4) 참고. , EAR에서도 이를 따라 암호 소프트웨어를 제외한 소프트웨어를 기술로 분류했다. 그러나 암호소프트웨어(source code와 object code 모두)는 암호 하드웨어와 똑같이 취급되어, EI로 통제하도록 규정했다 61 Fed.Reg. 68579 참고. . 따라서 암호 소프트웨어는 공적인 사용을 위한 수출 통제 예외 조항의 적용을 받지 못했다. 따라서 과학적 연구, 교육 자료로써의 예외로 인정되지도 못했다. 암호 소프트웨어가 모든 전자적인 형태(디스켓, CD-ROMs, 인터넷 등)로는 EAR의 적용을 받았으나, 종이로 출간된 형태에 대해서는 EAR의 적용을 받지 않았다. 따라서 암호 소프트웨어는 순수하게 학문적인 혹은 과학적인 이유로 출간되는 경우라 할지라도 그것이 전자적인 형태를 띄게 되면 수출통제를 받게 되어 있다. EAR에서는 수출이 미국 밖으로 EAR에 적용받는 물품을 실질적으로 배에 싣거나 이동시키는 것을 의미하는데 §734.(b)(3) 참고 , 여기에는 미국 내에 있는 외국인에게 기술이나 소프트웨어를 파는 것도 포함시키고 있다. 또한 암호 소프트웨어의 수출에는 인터넷을 통한 출판도 포함되어 있음을 명시하고 있다. 그 예는 다음과 같다. (ii) ... making such software available for transfer outside the United States, over wire, cable, radio, electromagnetic, photo optical, or photoeletric or other comparable communications facilities accessible to persons outside the United States, including transfers from electronic bulletin boards and Internet file transfer protocol and World Wide Web sites, unless the person making the software available takes precautions adequate to prevent unauthorized transfer of such code outside the United States 15 C.F.R. §734.2(b)(9)(ii). 참고. . Only encryption software is considered to be exported in these ways. 5D002의 통제를 받는 모든 암호 소프트웨어는 허가를 받아야 하고, 허가는 캐나다를 제외한 모든 국가에는 수출 전에 받아야 한다 15 C.R.F. §742.15(a) 참고. . 허가 applications는 EAR의 허가 절차와 기록 보관 의무를 따라서 준수해야 한다. EAR 규정에 따르면, 수출하려고 하는 물품을 수출하고자 하는 사람이 분류할 책임이 있다 §748.3(a) 참고. . 만약 요청을 받으면, BXA는 그 수출하고자 하는 물품이 EAR, ECCN의 규정에 적용되는지에 대한 정보와 "분류 요청"과 "권고 의견" 등을 제공해 줘야 한다 §748.3(b)-(c) 참고 3. 원고측 주장 * 고급프로그래밍 언어로 씌어진 내용은 수정헌법 제1조의 보호를 받는 표현의 한 형태이다. o 수정헌법 제1조는 과학적인 표현을 보호하고 있으며 이는 프로그래밍 언어로 쓰여진 내용도 포함한다. o 프로그래밍 언어로 쓰여진 내용의 기능성 여부는 표현의 자유를 보장받는데에 아무론 제한도 가하지 않는다. o 만약 책으로 출간된 형태의 소스코드가 비록 아주 약간의 표현적 요소를 갖고 있다 할지라도 수정헌법 제1조의 보호를 받아야 한다. * EAR은 표현의 자유에 사전적 제한(prior restraint)을 가한다. o EAR은 사전적 제한을 가하는데 이는 수정헌법 제1조에 위배된다. o EAR의 사전적 제한은 암호학적인 내용이 들어간 텍스트에만 국한되어 있음에도 불구하고 원고에게 사전적 제한을 가하고자 했다. o 그리고 사전적 제한을 가하는 경우에 마련해야 하는 safe guard를 제공하지 못하고 있기 때문에 또한 위헌이다. * EAR은 내용에 기반한 표현의 자유를 침해하므로 위헌이다. o EAR은 암호 소스코드만 일반적인 소스 코드와 분리해서 다루었고, 암호 소스코드에 대해 암호와 관련한 내용이 있다는 이유만으로 국외로의 출간 및 인터넷에의 출간을 금지시켰기 때문에 이는 위헌이다. o 만약 EAR이 암호 소스코드에 대해 제한을 가할 수 있다 하더라고, 그 목적과 기간을 한시적이고 구체적으로 명시해야 하는데, 그렇게 하지 못했으며, 또한 출간을 금지시켰으면 그에 대한 대체 방법을 제시해야 하는데 대안을 제시하지도 못했다. * EAR은 암호소스코드에 대한 제약을 둠으로써 일반인들이 사적인 대화를 비밀리에 할 수 있는 프라이버시를 침해하고 있다. o 암호 사용에 제한을 두게 되면 일반인들의 암호사용이 위축되게 되고, 이는 결국 개인의 사생활보호라는 권리를 침해하게 된다. o 개인의 비밀스런 대화는 수정헌법 제1조와 제4조에 의해 보장받는 권리인데, 이를 무시한 결과이다. IV. 국내 암호정책 1. 암호 수출입 관련법규 1.1 수출입 통제 암호제품의 수입은 법률이 아니라 정부정책으로 통제받으며, 수입하기 위해서는 산업자원부의 승인을 득해야 한다. 금융 업무를 위한 암호기기의 수입도 제한되어 진다. 정부는 이러한 내용을 고려할 수 있는 법적 기반을 만들기 위해 노력 중이다.그러나 암호 소프트웨어의 수입은 통제대상이 아니다. 수출 통제는 기본적으로 Wassenaar 협정을 따른다. 그러나 GSN을 포함할 지에 대한 세부 사항의 검토가 필요하다. 1.2 국내 법 및 규제 공중 전화망의 스위치 내부에 쓰여지고 있는 암호서비스는 사안에 따라 달리 결정되고 있다. 암호 사용에 관한 정부 규제는 없다. 1.3 암호 사용 제한 정책 1999년 1월 5일 전자거래기본법이 국회를 통과했다. 암호의 사용과 관련한 내용은 다음과 같다. 2. 암호관련 법규와 정책 2.1 암호에 관한 기본 법규 암호란 국가 비밀보장의 도구로 사용되는 것이라는 전통적 암호관에 따라서 암호에 관한 법규 또한 그러한 관점에서 입법이 이루어져 왔다. 현재 이러한 전통적 암호관련법률은 약 10여개 정도로 비교적 많은 수의 법규정이 존재하며, 국가정보원법과 보안업무규정, 사무관리규정, 군형법 등을 대표적으로 들 수 있다. 암호에 관한 핵심법률은 국가정보원법 (법률 제5681호 일부개정 1999. 1. 21)이다. 동법 제3조는 직무에 관한 규정을 두어 제1항 제2호에서 국가기밀에 속하는 문서 자재 시설 및 지역에 대한 보안업무를 국가정보원의 직무로 규정하고, 동조 제2항에서 제2호의 직무수행을 위하여 필요한 사항을 대통령령으로 정하도록 하고 있다. 이에 따라 대통령령으로서 보안업무규정(대통령령 제16211호 일부개정 1999.3.31)을 두어 국가정보원법 제3조 제2항의 규정에 의하여 보안업무수행에 필요한 사항을 규정하고 있다. 기타 보안업무규정 제2조, 제7조 제1항, 제8조, 제21조 제1항, 제22조 등과, 군형법 제14조, 제81조, 사무관리규정 제17조, 비밀보호규칙 제42조, 제45조 및 선거 관리위원회 사무관리규칙 제17조 등이 암호에 관하여 다양하게 규정하고 있다. 정보시대의 도래에 따른 변화에 따라 현행법규에서도 현대적 암호에 관한 몇가지 규정을 두고 있다. 먼저 무결성을 위한 암호에 관해서는 전자서명법을 두어 비교적 상세한 암호관련 규정을 두고 있다. 기밀성을 위한 암호에 관해서는 전자거래기본법이 명시적인 몇 개의 규정을 마련하고 있다. 먼저 전자거래기본법 제18조 제1항에서는 "전자거래당사자등은 전자거래의 안전성 및 신뢰성을 위하여 암호제품을 사용할 수 있다"라고 암호제품의 사용을 원칙적으로 허용하고 있지만, 그럼에도 불구하고 제2항에서는 "정부는 국가안전보장등을 위하여 인정하는 경우에는 암호제품의 사용을 제한할 수 있으며, 암호화된 정보의 원문 또는 암호기술에의 접근에 필요한 조치를 취할 수 있다"라고 규정하여 국가통제의 가능성을 광범하게 열어놓고 있다. 그 외에도 제20조에서 암호화 등 전자거래의 안전성 및 신뢰성의 확보에 관한 사항에 대해 전자거래촉진계획을 수립·시행할 것을 국가에 의무화하고 있다. 그러나 이 전자거래기본법은 전자문서를 사용하는 거래를 적용범위로 하고 있기 때문에 그 외의 정보통신상의 암호 일반에 모두 적용되는 것은 아니다. 2.2 암호 제작에 관한 법규 암호의 제작에 관해서는 보안업무규정 제5조에서 암호자재는 국가정보원장이 제작하여 필요한 기관에 공급하도록 제한하여 규정하고 있으며, 예외적으로 국가정보원장이 필요하다고 인정하는 경우에는 암호자재의 사용기관이 제작할 수 있으나, 국가정보원장이 인가하는 암호체계의 범위 내에서만 가능하도록 제한하고 있 ) 보안업무규정 제5조는 다음과 같다. 제5조 [암호자재의 제작공급 및 반납] ① 암호자재는 국가정보원장(이하 "국정원장"이라 한다)이 제작하여 필요한 기관에 공급한다. 다만, 국정원장이 필요하다고 인정할 때에는 암호자재의 사용기관으로 하여금 국정원장이 인가하는 암호체게의 범위안에서 암호자재를 제작할 수 있게 한다. 개정 1981.10.7, 1999.3.31> ② 사용기간이 만료된 암호자재는 지체없이 그 제작기관의 장에게 반납하여야 한다. . 따라서 전통적 암호의 경우에는 키복구시스템 자체가 무의미하게 된다. 암호 제작에 관한 법규로는 명시적으로 암호에 관한 규정을 두고 있지 않으나, 전기통신에서 사용되는 암호를 위해서는 전기통신기본법의 형식승인에 관한 규정을 들 수 있다. 즉 전기통신기본법 제33조에서는 정보통신부장관이 관계행정기관의 장과 협의하여 정하는 전기통신기자재를 제조하는 경우에는 그 기자재의 형식에 관하여 정보통신부장관의 승인을 받도록 규정하고 있으며, 이에 따라 형식승인이 전파연구소장의 위임을 받아 실시되고 있다. 암호제작에 관한 또 하나의 법규는 암호의 기술기준에 관한 것으로서, 정보화촉진기본법 제15조 제1항에서 정보통신부장관이 정보의 수집·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단인 정보보호시스템의 성능과 신뢰도에 관한 기준을 고시하고 정보보호시스템을 제조하는 자에게 이 기준의 준수를 권고할 수 있는 법적 근거를 마련하고 있다. 따라서 암호기술도 정보보호시스템의 일종을 구성하는 것이므로, 이러한 기술기준의 준수가 적용될 것이다. 2.3 암호취급 및 이용에 관한 법규 암호의 취급과 관련하여서는 암호자재취급인가권자를 보안업무규정 제7조 제1항에서 1급비밀취급인가권자와 동일하게 대통령 등 극히 제한적인 소수의 사람에게만 부여하고 있으며, 제8조에 의해 암호자재를 취급 또는 접근할 직원에 대해 취급을 인가할 수 있게 되어 있다. 암호의 이용에 대해서는 암호 및 음어자재는 암호자재기록부에 의하여 관리하도록 보안업무규정 제21조 제1항에서 규정하고 있고, 기록부에 모든 암호자재에 대한 보안책임 및 보안관리사항을 정확히 기록하도록 제2항에서 명시하고 있다. 뿐만 아니라 보안업무규정 제22조에서는 암호 및 음어자재를 다른 국가 비밀과 달리 어떠한 경우를 막론하고 복제 또는 복사하지 못하도록 금지하고 있다. 2.4 암호수출입에 관한 법규 암호의 수출에 대해서는 대외무역법 제21조 대외무역법 제21조는 다음과 같다. 제21조 [전략물자의 수출허가등] ① 산업자원부장관은 국제평화 및 안전유지, 국가안보를 위하여 필요하다고 인정하는 때에는 산업자원부장관이 정하여 공고하는 물품등(이하 "전략물자"라 한다)을 수출하고자 하는 자에게 관계행정기관의 장의 수출허가를 받게 하는 등의 제한을 하거나, 전략물자를 수입하고자 하는 자가 그 수입증명서의 신청을 하는 경우에는 이를 발급할 수 있다. 개정 1999.2.5, 2000.12.29> ② 제1항의 규정에 의한 전략물자의 수출제한 및 수입증명서 발급에 관하여 필요한 사항은 산업자원부장관이 이를 정하여 공고한다. 개정1999.2.5> ③ 제2항의 규정에 의한 공고에는 전략물자에 관한 다음 각호의 사항이 포함되어야 한다. 1. 품목 및 규격 2. 수출이 제한되는 지역 3. 수출허가 및 수입증명서의 발급에 관한 절차 4. 기타 수출 및 수입에 관한 사항 에서 산업자원부 장관은 국제평화 안전유지, 국가안보를 위하여 필요하다고 인정하는 때에는 산업자원부 장관이 정하여 공고하는 전략물자를 수출하고자 하는 자에게 관계행정기관장의 수출허가를 받게 하는 등의 제한을 할 수 있게 규정하고, 제54조 2호에서 처벌규정을 두어 허위 등 기타 부정한 방법으로 전략물자 수출허가를 받거나, 수출허가를 받지 아니하고 전략물자를 산업자원부 장관이 공고하는 수출이 제한되는 지역으로 수출하게 되는 경우에는 5년 이하의 징역이나 수출가액의 3배 이하에 해당하는 벌금을 부과하도록 규율하고 있다. 암호의 수입에 대해서도 대외무역법 제21조에서 전략물자를 수입하고자 하는 경우에 그 수입증명서를 신청하면 통상산업부장관이 수입증명서를 발부할 수 있도록 하고 있고, 수입 이후에는 전기통신기본법 제 33조의 형식승인을 받아야 할 의무가 존재한다. 그러나 수입증명서 없이 수입을 하는 경우에는 3년 이하의 징역이나 3,000만원 이하의 벌금에 처하도록 처벌규정이 명시되어 있는 문제가 있다. 2.5 키복구제도에 관한 법규 암호와 관련한 키복구시스템에 대해서는 현재 무결성을 위한 암호에 대해서만 전자서명법 제21조에서 간략하게 규정하고 있을 뿐이며, 기밀성을 위한 암호에 대해서는 특별한 규정이 마련되어 있지 아니하다. 전자서명법에서는 가입자는 자신의 전자서명생성키를 안전하게 보관·관리할 의무를 부과하고, 원칙적으로 자신의 전자서명생성키를 공인인증기관에 위탁할 수 없도록 규정하고 예외적으로 가입자의 신청이 있는 경우에는 허용하도록 규정하고 있다. 그러나 전자서명법은 전자서명생성키라고 암호의 성격을 명시적으로 규정하고 있으므로, 이 법이 기밀성을 위한 암호에도 적용된다고 할 수는 없을 것이다. 2.6 기타 이러한 암호에 관련된 특별법규로서는 군형법을 들 수 있으며, 이 법은 제81조에서 암호의 부정사용에 관한 처벌규정을 두어 암호를 허가없이 발신하거나 수신할 자격 없는 자에게 수신하게 하거나 자신이 수신한 암호를 전달하지 아니하거나 허위로 전달하는 경우에는 2년 이상의 징역이나 금고에 처하도록 규정하고 있다. 그러나 이 조항의 범죄주체는 군인과 군무원으로 제한되어 있으므로 그 외의 민간인에게는 적용되지 않는다. 그러나 민간인의 경우에는 국가보안법 제4조 제2호에 따라 군사상기밀 또는 국가기밀이 국가안전에 대한 중대한 불이익을 회피하기 위하여 한정된 사람에게만 지득이 허용되고 적국 또는 반국가 단체에 비밀로 하여야 할 사실, 물건, 또는 지식을 탐지·수집·누설·전달하거나 중개한 경우에는 사형 또는 무기징역에 처할 수 있도록 되어있다. 그러나 국가보안법 제4조는 정부를 참칭하거나 국가를 변란할 것을 목적으로 하여 그 목적수행을 위한 행위를 하는 경우에만 적용되는 목적범으로 범죄주체가 제한되어 있으므로, 이러한 목적이 없는 경우에는 적용되지 않는다. 3. 암호정책과 도입필요성 [그림1] 암호기술의 활용 정보사회의 암호이용의 현실변화에 대해 암호에 대한 이해는 아직도 전통적인 수준을 벗어나고 있지 못한 것이 현재 실정이며, 특히 국가안보적 측면의 암호에 대한 선입견으로 인해 산업적 측면의 암호발달에 상당한 장애가 될 우려가 있다고 할 것이다. 하나의 독자적 산업인 동시에 정보사회의 기반기술이 되는 암호산업의 활성화를 위해서는 민간의 자유로운 기술개발과 활용이 전제가 되어야 한다는 점은 기타 산업의 경우와 다르지 않다. 따라서 암호기술에 대한 자유로운 연구와 암호의 제작, 이용이 철저히 민간에 의해 이루어져야 할 필요가 있다. 그러나 우리나라의 경우는 분단상황이라는 특수한 현실에 처해 있으므로 다른 나라의 국가 안보적 관점보다는 훨씬 강화된 국가안보의 필요성이 제기되며 이에 따라 암호의 공공 질서적 가치가 더욱 중대하게 작용할 것으로 생각된다. 따라서 이러한 우리의 특수한 현실을 반영할 경우 국제동향보다는 좀더 앞서서 강제적 키복구제도를 수용하고 정부의 적법한 수사권을 인정하여야만 국가안보와 법집행력을 확보할 수 있을 것이다. 다만 OECD 가이드라인에서 민간주도, 사생활보호 등의 원칙을 최대한 존중하여야 한다는 제한이 부과되어 있고 우리 헌법에서도 기본권이 국가적 통제보다 우선적인 것으로 다루어지고 있을 뿐 아니라 외국에서의 우려와 마찬가지로 강제적 키복구제도의 적용은 암호산업의 발전을 위축시키고 민간의 암호이용에도 악영향을 미칠 것이다. 따라서 강제적 키복구제도를 도입함에 있어서도 자발적인 키복구제도 병행 등 많은 노력이 있어야 할 것이다. 4. 암호관련 법안 추진동향 지난 1999년에 민간암호사용을 위한 법규를 제정하려는 시도가 국가정보원, 정보통신부 등에 의하여 시도되었다. 국가정보원은 전문가들로 실무팀을 구성하여 민간 암호사용과 키 복구제도를 명시한 '암호법' 제정을 추진하였으며, 정보통신부도 민간의 암호이용을 촉진하고 암호산업을 육성하기 위한 가칭 '암호이용촉진법'의 제정을 밝혔다. 그리고 한국정보보호진흥원에서는 키복구기술을 개발하기로 하였다. 그러나 당시 시민단체들은 통신상의 암호데이터에 대하여 정부기관 등의 무제한적인 검열의 소지가 있다며 키복구제도에 대하여 극히 부정적인 입장을 취하였고 정보보호법계도 핵심기반 분야인 암호기술을 정부가 지나치게 규제하면 산업자체를 위축시킬 가능성이 크다며 회의적인 반응이었다. 결국 암호법 제정논의는 키복구제도에 대한 정부 각 기관과 민간단체 및 산업계의 입장차이를 극복하지 못하였을 뿐 아니라 세계 최초로 이 분야의 입법을 시도하는 것에 대한 부담이 작용하여 논의가 흐지부지되고 말았다. 그러나 공식적으로 입법을 포기한다는 의사표현은 없었으므로 추후 어떠한 방식으로든 재개될 가능성은 남아 있는 셈이다. 암호관련제품의 생산과 수출, 그리고 사용에 이르는 암호와 관련된 모든 활동을 포괄하는 암호정책 방향에 대한 법적 고찰은 실제적이고도 사실상의 필요성에 근거하고 있다. 개인의 프라이버시를 보호하고 국가의 국방 및 외교상의 기밀을 보호하며 범죄단체나 테러단체의 악용을 방지해야 할 뿐만 아니라 전자거래의 발전을 위해서도 반드시 필요하기 때문이다. 그러나 암호의 사용을 어느 정도의 수준으로 보장하고 규제해야 할 것인지를 확정하는데는 큰 어려움이 있는 것이다. 2002년 8월에 발표된 정통신부의 "안전하고 건전한 지식정보강국 구현을 위한 중장기 정보보호 기본계획(안)"을 보면 우리나라의 암호기술을 세계적 수준으로 끌어올려 암호 경쟁력을 강화시키고, 암호시스템의 안전성을 강화하여 암호이용의 신뢰성을 확보하며, 투명하고 건전한 암호이용환경을 조성하고자 하는 의지를 밝히고 있다 정보통신부, "안전하고 건전한 지식정보강국 구현을 위한 중장기 정보보호 기본계획(안)", 2002. 8. pp. 67 - 84. . 그 구체적인 내용을 보면 o 암호이용의 투명성과 안전성을 확보하고, 이용자 보호 및 암호이용의 역기능에 대비하기 위하여 근거법률((가칭)암호이용에관한법률) 마련 추진 o 현재 모호하게 되어있는 '자율적인 암호사용 영역'과 '규제가 필요한 암호사용 영역'을 명확히 규정함으로써, 투명한 암호 사용 환경 조성 추진 o 암호키분배인증서의 안전한 생성/발급/관리에 관한 기본적인 사항을 규정함으로써, 인터넷 등 개방형 정보통신망을 이용하여 처리되는 정보의 기밀성 및 신뢰성을 확보 o 민간의 자율적인 암호사용 부문에 대해서는 미국의 CMVP에 준하는 수준의 「암호 안전성 평가제도 및 체계」를 마련하여, - 이용자에게 정확한 정보를 제공함으로써, 이용자의 선택편익을 증진하고 암호제품의 경쟁력 향상 도모 o '키복구 기능을 탑재한 정보보호제품'의 경우 암호제품이 이용자의 프라이버시를 침해하지 않도록 하는 안전규정 마련 o 국내 정보보호원천이론 연구를 세계적 수준으로 끌어올리기 위한 "(가칭)고등정보보호기술원"의 설립근거 마련 등이다. 국경의 의미가 퇴색되고 있는 정보사회에서 암호기술은 곧 국가의 경제적 이익을 확보하는 주요수단으로 부각되는 만큼, 우리나라 고유의 암호기술의 발전을 위한 민간의 노력을 통한 경쟁력 확보가 중요하다. 이를 위한 여러 가지 대안을 고려해 봐야 할 시점이다. V. 정책적 제안 여러 형태의 정치적 활동, 특히 반대세력의 정치적 활동을 국가의 정보기관이 감시, 포착하는 것은 자유권에 대한 위해가 되며, 나아가 한 사회 내의 민주적 의사형성이 가능하게 될 조건(바탕)을 위협하게 된다. 민주주의 원리의 내용인 투명성과 여론을 통한 국가 활동에 대한 통제 가능성의 예외로서 정보기관의 활동은, 특별한 정당화 사유와 실효적인 법적 제한 그리고 특별한 통제장치를 필요로 한다. 따라서 이를 풀어가는 과정에서 정부와 개인을 모두 만족시킬 수 있는 절충점을 모색할 필요가 있다. 정보화사회는 개인이 어떻게 규제 및 감시당하고 있는지 알 수 없는 불투명성 때문에 더더욱 프라이버시를 보호하라는 목소리가 높아진다. 국내에서는 2002년 4월 행정자치부는 "공공기관의 개인정보보호를 위한 기본지침"을 발표하였고, 이에 따라 공공기관의 개인정보보호 정책이 시행될 것으로 예상된다. 또한 정보통신부가 앞장서서 개인정보 보호를 위해 국내외적 개인정보보호 강화 요구에 대응하는 법제도적 기반 구축, 효과적인 개인정보 침해 구제 및 고충처리, 자율적 개인정보보호 구현을 위한 역량강화와 제반사업 추진 등을 주요 사업계획으로 잡고 있는 실정이다. 또한 다양한 법적 규제와 제도적 규제 방안을 마련해 정보통신 기술의 발달에 발맞춰 개인정보 보호에 대한 규제를 더욱 강화하고 있다. 우리나라의 경우 우선 헌법제17조에서 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다고 규정하고 있으나 이와 동시에 헌법제37조2항에서 국민의 모든 자유와 권리는 국가안전보장·질서유지 또는 공공복리를 위하여 필요한 경우에 한하여 법률로써 제한할 수 있으며, 제한하는 경우에도 자유와 권리의 본질적인 내용을 침해할 수 없다고 언급함으로써 공공의 안녕을 위해서는 국가가 개인의 프라이버시를 침해할 수 있다는 여지를 열어두고 있으나 그렇다 할지라도 개인의 자유와 권리의 본질적인 내용을 침해할 수는 없도록 규정하고 있다. 이러한 현실을 감안할 때, 정보화진전에 따라 정보시스템 해킹, 개인정보 유출 및 위변조 등 역기능이 증가하므로 이러한 역기능에 대응하기 위하여는 중요정보를 보호할 수 있는 암호사용이 필수요소가 될 것이다. 또한 민간부문의 암호제품 및 서비스에 대한 수요가 증가하고, 이에 따라 법 집행기관의 합법적 감청이나 사실규명, 증거자료 수집을 위한 압수/수색영장에 의해 획득한 정보의 해독불가능으로 법집행이 크게 제약받게 되어, 국가안보 및 공공질서 유지 등에 심각한 문제점을 초래할 가능성이 존재하므로 국가차원의 암호정책수립이 절실히 요구된다. 미국의 경우에서와 같이 사실 수출 통제 정책을 통해 암호 사용을 규제한다는 것은 정부가 직접적인 간섭을 하는 것이라기 보다는 간접적으로 시장을 규제함으로써 개인의 행위에 영향을 주는 것이다. 내수용과 수출용 두가지로 제품을 만들려고 하지 않는 기업들 때문에 어차피 수출 통제 정책을 지켜질 수 밖에 없으며, 따라서 일반 개인은 기업들이 제공하는 제품이 아닌 다른 제품을 구매할 수 없으므로 의도했든 하지 않았든 정부의 암호 사용 통제 정책을 따르게 된다. 그러나 이러한 수출 통제 정책도 완벽하게 성공한 듯이 보이지는 않는다. Junger v. Daley 소송이나 Bernsteing v. Department of States 와의 소송 결과를 볼 때, 학자들이 순수하게 학문적인 필요에 의해서 암호를 사용하는 것 자체는 표현의 자유로 인정하고 있는 추세이다. 그렇다면 이것이 확대되어 해석되어, 개인의 암호 사용 또한 수정헌법 제1조에서 보장하고 있는 개인의 표현의 자유권에 보호받을 수 있게 될 것이다. 그렇게 되면 궁극적으로 정부와 법집행 기관은 개인의 암호 사용을 규제할 수 있는 법적 근거를 상실하게 된다. 그러나 미국의 경우도 문제가 없는 것은 아니다. 예를 들어, 어떤 사람이 용의자일 때 수사에 도움을 주기 위해 필체를 확인해 주거나, 지문을 찍거나 하는 등의 행위는 사실상 증거를 대주는 것은 아니기 때문에 수정헌법 제 5조에 의해 보호를 받지 못하고 있다. 그렇다면 과연, 암호화된 데이터를 입수한 법집행 기관이 개인에게 복호키를 요구하는 상황이 발생한다면 어떻게 될까? 과연 이 개인은 수정헌법 제5조에서 자기 자신에게 불리한 증언을 하지 않을 권리가 있다고 해독키를 내놓지 않아도 되는 것일까 아니면 법집행 기관의 요구에 따라 직접적인 증거가 아닌 해독키를 내놓아야만 하는 것일까? Doe v. United States 판결에서는 암호키 자체가 결정적인 내용을 담고 있는 데이터를 암호화한 키이므로 복호키를 요구하는 것은 자기 자신에게 불리한 증언을 하는 것과 같다고 판결했다. 미국 외의 다른 나라나 국제기구도 사실 이 문제에 대해 시원한 대답을 가지고 있지는 못하다. 예를 들어 암호정책에 있어 가장 기본이 된다고 하는 OECD의 Guideline도 실질적으로는 키복구제도를 지지하는지 아니면 부인하고 있는지에 대해 상당히 다른 해석의 여지를 남기고 있다. 국제기구의 의사결정 과정이 원래 그렇듯이, 각 회원국간에 합일된 점만을 구체적으로 법제화하거나 명시할 수 있는데, OECD 회원국 간에서도 암호정책에 대해서는 의견의 일치를 보지 못했기 때문에, OECD가 내놓은 Guideline도 애매 모호 할 수 밖에 없다. OECD의 Guideline이 의미하는 바는, 궁극적인 각국의 정책을 결정할 때, 개인의 프라이버시권을 존중하는 정책을 수립하든 법집행기관에게 좀 더 많은 힘을 실어주는 정책을 수립하든 결국 알아서 하라는 식이 되어 버린 것이다. 이와 같은 상황에서 한국의 경우, 실질적으로 암호제품의 수출입을 통제하는 법안이 제정되어 있지도 않고, 그렇다고 개인의 암호 사용에 대해 구체적으로 통제하고 있지도 않다. 입법화된 예는 아예 없으며, 정부의 정책으로 해결하고자 노력하고 있는 듯하다. 그리고 전자상거래와 국가보안등을 위해 간략하게 암호 사용에 대해 언급하고 있기는 하지만, 실질적으로 개인이 데이터를 암호화했을 경우 규제할 수 있는 법적 근거는 없는 실정이다. 우리나라도 1999년 키복구제도가 명시된 민간암호의 이용을 위한 법규를 제정하려는 시도가 있었으나, "통신상의 암호데이터에 대하여 정부기관 등의 무제한적인 검열의 소지가 있다"거나, "핵심기반분야인 암호기술을 정부가 지나치게 규제하면 산업 자체를 위축시킬 가능성이 크다"는 각계의 비판이 제기되면서 암호법 제정논의가 흐지부지된 바 있고 정완, "사이버범죄의 보안대책 - 암호정책을 중심으로," p. 8. http://www,kic.re.kr/search/data/2001/01-17.txt , 현재도 암호관련법안의 입법화가 추진되고 있는 것 같기는 하지만, 구체적으로 언론상에 보도된 바는 아직 없다. 사용 요구는 급증하고 있으나 관련 정책이 이를 따라가지 못하면 결국 문제가 생기게 된다. 사후약방문식의 해결을 원하지 않는다면 지금이라도 암호 정책에 관한 문제를 수면 위로 떠올려 공식적으로 입법화하는 노력이 필요할 것이다. 민감한 문제이기 때문에 쉬쉬하면서 적당히 입법화를 진행한다면 결국 개인의 입장에서든 국가의 입장에서든 부담스러울 수밖에 없을 것이다. 하지만 정당하게 공식적으로 모든 내용을 공개한 상태로 해결해 나가고자 서로 노력한다면, 미국에서 시행되고 있는 canivoire 시스템이나 매직 랜턴같은 시스템이 도입되는 불상사는 없을 것이다. 오히려 합법적이고 구체적인 근거 규정하에서 사용자와 감독자가 서로의 요구를 만족시킬 수 있다면 암호 사용의 긍정적인 효과가 배가될 것이며 이것이 결국 서로에게 이익을 주는 윈윈전략의 한 형태로 보여질 수 있을 것이다. - 참고문헌 - 1. 국내문헌 고영삼, 전자감시사회와 프라이버시, 한울아카데미, 1998 김용진, "차세대 인터넷 발전방향," 테마특강, 전자신문, 1999년 7월 27일. 로렌스 레식저, 김정오역, 코드 : 사이버 공간의 법이론, 나남출판, 2002. 미셀 푸코저, 오생근 역, 감시와 처벌 : 감옥의 역사, 나남출판, 1994. 박민성, "정보적 자기결정권과 암호," 이구표, "미셀 푸코 - 근대적 권력에 관한 극한적 상상력," 이론, 96년 봄, 제 14호. 정보통신부, "안전하고 건전한 지식정보강국 구현을 위한 중장기 정보보호 기본계획(안)", 2002. 8. 정보통신정책연구원, "정보화를 통한 지식 정보국가의 건설 -VISION2002-", 1998. 정완, "사이버범죄의 보안대책 - 암호정책을 중심으로," http://www.kic.re.kr/search/data/2001/01-17.txt 조광제, "미셀 푸코의 권력론," 사회와 철학, 91년, 제2호, pp.157-158. 콜린 고든저, 홍성민역, 권력과 지식, 나남출판, 1991, 홍성욱, 파놉티콘-정보사회 정보감옥, 책세상문고·우리시대, 2002. 한국정보보호센터, "키복구 가능한 Cryptographic File System 개발:Development of Cryptographic File System with Key Recovery Function", 2000. 12. 2. 국외문헌 American Civil Liberties Union, PRIVACY IN AMERICA : Computers, Phones & Privacy, Gerald R. Ferrera, Stephen D. Lichtenstein, Margo E. K. Reder, Ray August, William T. Schiano, CyberLAW : Text and Cases, WEST Thomson Learning, 2001. NIST, "Escrow Encryption Standard(EES)," Federal Information Processing Standards Publications(FIPS PUB) 185, 1994. Statement by Ambassador David Aaron, US Envoy for Cryptography, "International Views of Key Recovery," RSA Data Security Conference, January 28, 1997. Taka Kubo, "Key Pre-distribution System as a Key Recovery System," PKS, 97. The White House, Office of the Vice President, For Immediate Release, "Statement of the Vice President," Tuesday, October 1, 1996. UK Cabinet Office, Encryption and law enforcement : A performance and innovation unit report, May 1999. UK Cabinet Office, Privacy and data-sharing : The way forward for public services, A performance and innovation unit report, April 2002. 3. 인터넷 주소 http://www.wassenaar.org/docs/press_5.html http://rechten.uvt.nl/koops/cryptolaw/index.htm http://www.oecd.org http://www.cdt.org/crypto/CESArevised.shtml http://www.cordis.lu/infosec/src/prep.htm http://www2.echo.lu/bonn/final.html http://www.ispo.cec.be/eif/policy/97503toc.html http://www.cl.cam.ac.uk/~mgk25/ca-law/COM-97-356.pdf http://www.cl.cam.ac.uk/~mgk25/ca-law/ http://www.europarl.eu.int/tempcom/echelon/pdf/prechelon_en.pdf http://www.dti.gov.uk/export.control/pdfs/ogels/cdcpu.pdf http://www.legislation.hmso.gov.uk/acts/acts2000/10000023.htm http://www.homeoffice.gov.uk/ripa/part3.htm http://www.policecareers.gov.uk/ripa/riparchived.htm http://www.cabinet-office.gov.uk/Innovation/1999/encryption/report.pdf.