• 2016-020

SW 안전 관리 관점에서의 기반시설 보호 법제 개선 연구

  • 박태형산업정책연구실 책임연구원
  • 진회승SW기반정책·인재연구실 책임연구원
날짜2017.06.27
조회수13719
글자크기
요약문 상세
    • 1. 제 목
    • SW안전 관리 관점에서의 기반시설 보호 법제 개선 연구
    • 2. 연구 배경 및 목적
    • SW에 대한 활용성과 의존성이 증가하는 SW 중심사회가 발전함에 따라 SW의 오류 등으로 인한 사고 발생 가능성과 피해 규모도 상당한 수준으로 확대될 것 으로 예상된다. 따라서 문제가 생길 시 국가·사회·경제에 큰 영향을 미칠 수 있는 국가주요기반시설의 SW 안전을 확보하기 위한 제도 혁신의 필요성이 요구되게 되었다.
    • 본 연구의 주요 목적은 주요기반시설에서 활용되는 SW의 안전을 확보하기 위해, 안전관리 관점에서 기반시설 보호 법제도의 개선 방향 및 개정안을 마련하고자 하는 데 있다.
    • 3. 연구의 구성 및 범위
    • 본 연구는 첫 번째로 SW 안전의 의의와 정책 체계를 이해한 뒤, 국내 및 해외 주요국의 주요기반시설 보호 관련 법제를 분석하여 국내외 기반시설 안전보호 체계의 전체 흐름과 본 연구의 분석 초점을 파악한다. 안전관리 관점의 국가재난관리 활동 단계를 분석하기 위하여 (예방-대비-대응-복구)의 국가재난관리 활동 단계별 정의와 범위를 분석하고 이에 따라 각 국의 법률 조항들을 안전관리 관점에서 분석 및 분류한 뒤 결과에 따른 시사점을 도출한다. 마지막으로, 도출된 시사점을 통해 SW 안전 확보를 위한 국내 법제도 개선 방안의 입법을 위한 입법체계를 정립하고, 본 연구의 최종 결과로 공공분야 소프트웨어 안전 강화와 지능정보사회 전반의 안전성 제고를 위한 정보통신기반보호법 개정안과 소프트웨어 안전 관리에 관한 법률 제정안을 제안하도록 한다.
    • 4. 연구 내용 및 결과
    • 안전관리 관점의 법제 분류 기준은 ‘국가기반체계 보호관련 중앙재난안전대책 본부 운영 및 상황관리 규정’에서 정의하고 있는 (예방-대비-대응-복구)의 4단계 안전관리 활동을 기반으로 구성하였고, 이와 관련한 보고서 및 논문 등의 연구를 토대로 세부 분류 단계 및 내용을 수립하였다.
    • 수립한 분류 기준을 통해 국내 기반보호 법제의 중심이 되는 법인 『재난 및 안전관리 기본법』과 『정보통신기반보호법』, 그리고 국가주요기반시설의 분야 중 원자력 안전과 관련된 법률들을 대표적으로 선별하여 분석하였다. 해당 법률들을 분석 및 분류한 결과, 대부분의 조항들이 안전관리 기구 및 조직 구성, 안전 관리 체계 마련, 안전점검 및 안전조치, 안전관련 기반 조성, 안전관리 계획 수립 등 잠재적인 위험을 예측하고 사전 조치를 취함으로써 위험으로부터 발생할 피해 규모를 최소화시키는 활동들인 예방 단계에 집중되어 있는 것으로 나타났다. 예방 단계에 속하는 조항들이 공통적으로 전체 조항의 절반 이상을 차지한 것으로 보아, 우리나라의 국가 안전보호 법제 조항들이 예방 활동을 바탕으로 구성되어 있다는 사실을 알 수 있었으며, 이는 정부가 오래토록 추진해온 예방 위주의 재난/사고 관리 대책의 성과라고 생각된다. 또한 각 법제 분류에 대한 결과를 통해 안전관리 관점의 세부 분류 단계별 활동 흐름을 파악할 수 있었으며, 각각의 법률의 목적이나 필요에 따라 타 법률들 보다 안전관리 관점의 각 단계별로 체계적으로 구성된 부분들은 SW 안전 전반을 규율할 수 있는 법제를 새로 정립할 시 더욱 집중적으로 참조할 수 있을 것으로 생각된다. 추가적으로 기존 법제의 분석 및 분류를 통해 SW 안전에 대한 규율이 추가적으로 필요한 부분들을 파악하기에 용이하였으며, 이러한 검토 과정을 통해 자칫 중복 규제가 되어 기관 및 기업들의 업무 효율성 저하로 이어질 가능성을 줄일 수 있을 것이다.
    • 해외 주요국의 주요기반시설 보호 법제의 분석 결과, 국내는 법률을 기반으로 대부분의 국가기반시설의 안전을 규율하고 있었지만 해외 주요국들은 계획이나 가이드라인을 통해 실행력의 신속성을 확보하고자 하는 경향이 존재하였다. 미국, 영국, 독일은 공통적으로 법제 분류 기준의 큰 틀인 예방, 대비, 대응, 복구의 안전관리 관점에 입각하여 국가재난 및 비상사태에 대한 대비 체계를 구축하고 있었으며, 해당 분석 및 분류를 통해 각 국의 기반시설 보호 체계의 강점과 우리나라의 법 구성 시 참고할 점들을 엿볼 수 있었다.
    • 국내외 기반보호체계 법률 분석 결과, 각 국가마다 재난 대비 차원, 안보 차원, 외부침해사고 대비 차원 등의 다양한 관점에 기반한 법제 체계를 갖추고 있었지만, 그 중 SW의 내부결함으로 인한 사고 대비 등 SW 안전 관리의 내용을 포괄 하여 규정할 수 있는 법률 및 세부 조항을 가지고 있지는 않았다. 따라서 국가 주요기반시설의 안전을 규율하는 법률 내에 SW와 관련될 수 있는 조항들을 도출하고 SW의 범위와 유형을 정립하여 국가주요기반시설의 SW 안전 전반을 규율 할 수 있는 법제 제정 및 개선의 필요성을 확인할 수 있었으며, 이러한 사항을 반영하여 법제 개선안을 제안하였다.
    • 본 연구는 최종적으로 SW 안전 확보를 위한 법제도 개선방안 연구를 통하여 공공분야 소프트웨어 안전 강화와 지능정보사회 전반의 안전성 제고를 위한 정보통신기반보호법 개정안과 소프트웨어 안전 관리에 관한 법률 제정안을 제시하였으며, 실제 개정안 및 제정안은 부록으로 첨부하였다.
  • SUMMARY
    • 1. Title
    • Research on Improvement of Infrastructure Protection Legislation from a SW Safety Management Perspective
    • 2. Background and Purpose of the Research
    • In the SW-oriented society where the application dependency of SW is increasing, it is expected that the possibility of the accident caused by SW errors and the damage scale will be increased to a considerable extent. Therefore, there is a need for institutional innovation for the safety of SW, which is used in major infrastructure, which may have a great impact on the country, society, and economy.
    • The main purpose of this research is to establish the direction and amendment of the Infrastructure Protection Act from a viewpoint of safety management in order to ensure the safety of SW used in major infrastructure.
    • 3. Composition and Scope of the Research
    • This research firstly analyzes the significance of SW safety and its policy system and then analyzes the main flow of the domestic and overseas infrastructure security protection Acts and policies. In order to analyze the steps of national disaster management activities in terms of safety management (preventive - prepared - response - recovery), we study the definition and scope of national disaster management activities in stages and analyze and classify legal provisions of each country in terms of safety management and then derive implications based on the results.
    • As a final result of this research, we propose an amendment to the Information Communication Infrastructure Protection Act and an enactment of the Act on Software Safety Management to enhance the security of the public domain software and the safety of the intelligent information society as a whole.
    • 4. Contents and Results of the Research
    • The legal classification standard of the safety management viewpoint is based on the 4th stage safety management activities defined in the Domestic Disaster Safety Management Regulations (Prevention-Preparedness-Response–Recovery), and detailed steps and contents have been established based on the researches and reports related to the above.
    • Through the classification criteria established, we have selected and analyzed the law that is central to the domestic protection law: 『Information Communication Infrastructure Protection Act』, 『Disaster and Safety Management Basic Law』, and laws related to nuclear safety, part of major national infrastructure. As a result of analyzing and categorizing these laws, most provisions have been focused on preventive measures, which are activities that minimize potential damage from risks by predicting potential risks and taking precautions such as establishment of safety management organization and organization, establishment of safety management system, safety inspection and safety measures, establishment of safety related foundation, establishment of safety management plan, etc. As the provisions of the precautionary stage occupied more than half of the total clauses in common, it was found that the provisions of the National Security Protection Legislation in Korea are focused on the preventive stage. This is the outcome of the prevention - oriented disaster / accident management measures that the government has long pursued. In addition, through the results of each legal classification, we were able to grasp the activity flow according to the detailed classification stages of the safety management viewpoint, it is believed that the parts that are organized more systematically than the other laws according to the purpose and necessity of each law can be referred more intensively when a new legal system that regulates SW safety is newly constituted. Moreover, analysis and classification of existing legislation made it easier to identify areas where additional discipline for SW safety is needed, and also this review process can reduce the possibility of reducing the efficiency of organizations and companies by duplicating regulations.
    • As a result of analysis of major infrastructure protection legislation of overseas major countries, Domestic governments have regulated the safety of most national infrastructure based on law, but major foreign nations have tended to secure the speed of implementation through planning and guidelines. The United States, Great Britain, and Germany have systems based on the perspective of safety management of prevention, preparation, response, restoration to prepare for national disasters and emergencies. Through the analysis and classification, we can get a glimpse of the strengths of the infrastructure protection system in each country and the points to be referred to when constructing laws in our country.
    • As a consequence of legal analysis of domestic and overseas infrastructure protection system, each country have a legislative system based on various points of view such as disaster preparedness level, security level, and dimension for external infiltration, but it does not have laws and detailed provisions that can encompass the contents of SW safety management, such as accident prevention, due to internal defects of SW. Therefore, it is necessary to establish and improve the legal system that can regulate SW safety of major national infrastructures through drawing up provisions that may be relevant to the SW within the law governing the safety of major national infrastructure and establishing the scope and type of SW.
    • Through the study on the improvement of the legal system to secure SW security, we proposed the amendment plan of information communication infrastructure protection law to enhance security of public sector software and enhance safety of intelligent information society as a whole and legislation for software safety management. Plus, actual amendments and enactments are attached as appendices.
목차 상세
    • 제1장 서론
    • 제1절 연구의 배경 및 필요성
    • 1. SW 중심사회의 발전과 위험성 증대
    • 2. 본 연구의 필요성
    • 제2절 연구의 목적 및 목표
    • 1. 본 연구의 목적
    • 2. 본 연구의 목표 및 세부 추진 사항
    • 3. 연구의 범위
    • 제2장 SW 안전의 의의와 정책 체계
    • 제1절 SW 안전의 개념
    • 1. 지능정보사회에서의 SW 활용
    • 2. 역기능과 SW안전
    • 3. SW 안전의 의의
    • 4. SW 안전을 위한 위험 관리
    • 제2절 SW 안전의 이론적 근거와 연원
    • 1. 위험사회와 위험관리의 책임
    • 2. 제조물 책임과 SW의 안전성 확보
    • 제3절 SW 안전의 정책적 의미
    • 1. 국가 운용의 필수적인 기반 시설에 대한 SW 안전
    • 2. 국민생활의 안정을 위한 SW 안전 확보
    • 제4절 소결
    • 제3장 국내 기반시설 보호 법제 분석
    • 제1절 국가주요기반시설 안전보호 체계
    • 1. 국가주요기반시설 안전보호 체계
    • 2. 재해 및 재난 관련 법제
    • 3. 주요국가기반시설 보호 체계
    • 4. 주요정보통신기반시설 보호 체계
    • 제2절 안전관리 관점의 법률 분류 기준 수립
    • 1. 국가재난 안전관리 활동의 단계별 정의
    • 2. 안전관리 활동의 단계별 내용
    • 3. 안전관리 관점의 법률 기준 도출
    • 제3절 재난 및 안전관리 기본법 분석
    • 1. 제정 배경 및 의의
    • 2. 주요 내용
    • 3. 안전관리 관점의 법률 분류
    • 4. 법제 분류 결과 및 시사점
    • 제4절 정보통신기반보호법 분석
    • 1. 제정 배경 및 의의
    • 2. 주요 내용
    • 3. 안전관리 관점의 법률 분류
    • 4. 법제 분류 결과 및 시사점
    • 제5절 원자력 안전 관련 법 분석
    • 1. 원자력 안전 관련 법 체계
    • 2. 주요 내용
    • 3. 안전관리 관점의 법률 분류
    • 4. 법제 분류 결과 및 시사점
    • 제6절 소결
    • 제4장 해외 주요국 주요기반시설 보호 법제 분석
    • 제1절 미국의 주요기반시설 법령 분석
    • 1. 미국 주요기반시설 보호 법제 개관
    • 2. 주요기반시설 보호 관련 법령
    • 3. 안전관리 관점의 법률 분류
    • 4. 법제 분류 결과 및 시사점
    • 제2절 영국의 주요기반시설 법령 분석
    • 1. 영국 주요기반시설 보호 법제 개관
    • 2. 주요기반시설 보호 관련 법령
    • 3. 안전관리 관점의 법률 검토
    • 4. 법제 분류 결과 및 시사점
    • 제3절 독일의 주요기반시설 법령 분석
    • 1. 독일 주요기반시설 보호 법제 개관
    • 2. 주요기반시설 보호 관련 법령
    • 3. 안전관리 관점의 법률 분류
    • 4. 법제 분류 결과 및 시사점
    • 제5장 SW 안전 확보를 위한 법제도 개선 방안
    • 제1절 개관
    • 제2절 입법체계 정립
    • 1. 정보통신기반보호법 개정을 통한 공공분야 소프트웨어 안전 강화
    • 2. 소프트웨어 안전 관리에 관한 법률 제정을 통한 지능정보사회 전반의 안전성 제고
    • 제3절 주요 제도개선 과제
    • 1. 침해 사고 및 위기에 대한 예방, 대응 및 복구의 체계화
    • 2. 안전한 소프트웨어 관리체계 수립을 위한 컨트롤 타워 정립
    • 3. 기술 인력의 전문성과 직접 고용에 관한 법정화
    • 4. 안전기술의 보급과 전문 인력의 양성
    • 제4절 입법 전략 제시
    • 1. 정부 및 의원 입법과정의 고려
    • 2. 정부입법
    • 3. 의원입법
    • 4. 입법절차별 장·단점
    • 5. 정책 제언
    • 제6장 결론
    • 참고 문헌
    • [부록1] 정보통신기반보호법 개정(안)
    • [부록2] 소프트웨어 안전 관리에 관한 법률(안)
  • CONTENTS
    • Chapter 1. Introduction
    • Chapter 2. Significance of SW safety and policy systemhapter 2. Significance of SW safety and policy system
    • Chapter 3. Analysis of domestic infrastructure protection law
    • Chapter 4. Analysis of major infrastructure protection legislation of overseas major countries
    • Chapter 5. Improvement of the legal system to secure SW security
    • Chapter 6. Conclusion