북한 콤퓨터망관리법

북한에도 사이버보안을 위한 법이 존재할까? 북한은 2011년 제정한 콤퓨터망관리법에 보안 관련된 규정을 갖추고 있다. 북한은 보안체계를 갖추지 않으면 네트워크를 운영할 수 없다며 강력히 규제하고 있다.

북한 전문가들에 따르면 북한은 2011년 12월 14일 최고인민회의 상임위원회 정령 제2039호로 '조선민주주의인민공화국 콤퓨터망관리법'을 채택했다.

콤퓨터망관리법 6조는 '컴퓨터망보안은 컴퓨터망의 안전과 운영과 정보자료를 보호하기 위한 기본담보이다. 국가는 컴퓨터망보안체계를 정연하게 세우고 기관, 기업소, 단체와 공민이 컴퓨터망보안 질서를 엄격히 지키도록 한다'고 규정하고 있다.

북한은 컴퓨터망이 컴퓨터 호상간 또는 컴퓨터와 말단 장치들을 통신선로로 연결해 정보를 교환하거나 처리하는 체계로 정의하고 있다. 컴퓨터망을 이루는 구성요소에는 컴퓨터와 통신선로, 말단장치, 컴퓨터망보안시설, 운영 프로그램이 속한다. 사용자 컴퓨터와 네트워크, 인터넷을 포함하는 개념으로 보인다. 

북한은 콤퓨터망관리법에 제5장으로 컴퓨터망보안에 관한 세부 사안을 두고 있다.

북한은 '기관, 기업소, 단체는 발전하는 현실의 요구에 맞게 컴퓨터망보안체계를 엄격히 세우고 컴퓨터망을 운영해야 하며 컴퓨터망보안체계를 세우지 않고서는 컴퓨터망을 운영할 수 없다'고 법으로 정하고 있다.

즉 보안체계가 업으면 네트워크를 운영하거나 서비스를 하지 못하도록 한 것이다.

위에서 밝힌 보안체계는 신분확인기능, 접근통제기능, 자료확인기능, 사건기록 및 추적기능, 보안관리기능 등이다. 컴퓨터망보안체계는 북한 중앙소트프웨어산업지도기관의 심의를 받아야 한다.

또 해외 보안 솔루션의 경우 심의를 받아서 사용할 수 있도록 하는 규정도 있다. 이와 함께 기관, 기업소, 단체는 컴퓨터망에 불법침입 같은 비정상적인 현상이 발생하였을 경우 즉시 해당 기관에 통보해야 한다.

콤퓨터망관리법을 어겨 엄중한 결과를 일으킨 기관, 기업소, 단체의 책임있는 일군과 개별적 공민에게는 정상에 따라 행정적 또는 형사적책임을 지운다고 북한 법은 명시하고 있다. 

북한은 컴퓨터 체계와 서비스를 운영할 때부터 보안체계를 갖출 것을 요구하고 있으며 그 보안체계에 대해 정부 당국이 심의를 하고 있다. 해외 보안 솔루션 사용은 심의를 거치도록 해 통제하고 있고 해킹, 전산사고가 발생하면 즉시 신고하도록 하고 있다. 이는 북한도 사이버보안에 대해 민감하게 생각하고 있음을 보여주고 있다.

 

북한 콤퓨터망관리법 제5장 콤퓨터망보안 전문

제34조 (콤퓨터망보안체계의 수립)
해당 기관, 기업소, 단체는 발전하는 현실의 요구에 맞게 콤퓨터망보안체계를 엄격히 세우고 콤퓨터망을 운영하여야 한다. 콤퓨터망보안체계를 세우지 않고서는 콤퓨터망을 운영할 수 없다.

제35조 (콤퓨터망보안기준의 준수)
해당 기관, 기업소, 단체는 콤퓨터망보안 기준의 요구에 맞게 신분확인기능, 접근통제기능, 자료확인기능, 사건기록 및 추적기능, 보안관리기능 같은 보안기능을 원만히 갖춘 콤퓨터망 보안체계를 세워야 한다. 콤퓨터망보안기준을 정하는 사업은 중앙쏘프트웨어산업지도기관이 한다.

제36조 (콤퓨터망보안체계심의신청)
콤퓨터망보안체계는 중앙쏘트프웨어산업지도기관의 심의를 받아야 한다. 이 경우 해당 기관, 기업소, 단체는 신청문건을 만들어 중앙쏘프트웨어산업지도기관에 내야 한다.

제37조 (콤퓨터망보안체계심의)
중앙쏘프트웨어산업지도기관은 콤퓨터망보안체계 심의 신청문건을 접수하였을 경우 1개월 안으로 심의하여야 한다. 심의결과는 합격 또는 불합격으로 한다.

제38조 (콤퓨터망보안체계심의방법)
콤퓨터망보안체계심의는 신청한 문건에 대한 검토와 콤퓨터망체계상에서 보안기능을 시험하는 방법으로 한다. 중앙쏘프트웨어산업지도기관은 콤퓨터망보안체계심의를 위하여 해당 기관, 기업소, 단체에 필요한 자료와 조건보장을 요구할수 있다.

제39조 (콤퓨터망보안체계의 갱신)
기관, 기업소, 단체는 콤퓨터망보안체계를 갱신할수 있다. 이 경우 중앙쏘프트웨어산업지도 기관의 재심의를 받아야 한다.

제40조 (콤퓨터망보안기술연구개발 및 도입)
중앙체신지도기관과 중앙쏘프트웨어산업지도기관, 해당 기관은 콤퓨터망보안과 관련한 새 기술을 적극 연구개발하고 제때에 도입하여야 한다.

제41조 (콤퓨터망보안프로그람의 리용)
기관, 기업소, 단체와 공민은 콤퓨터망보안프로그람의 리용질서를 엄격히 지켜야 한다. 새로 개발하였거나 다른 나라에서 들여온 콤퓨터망보안프로그람은 중앙쏘프트웨어산업지도 기관의 심의를 받아야 리용할수 있다.

제42조 (심의과정에 알게 된 비밀준수)
중앙쏘프트웨어산업지도기관과 해당 성원은 콤퓨터망보안체계심의과정에 알게된 비밀을 루설하지 말아야 한다.

제43조 (콤퓨터망보안체계의 관리운영)
기관, 기업소, 단체는 콤퓨터망보안체계를 정상적으로 관리운영하며 그 보호대책을 엄격히 세워야 한다. 콤퓨터망보안체계의 관리운영과 관련한 문건은 기요문건취급절차에 따라 보관취급한다.

제44조 (비정상적인 현상에 대한 통보)
기관, 기업소, 단체는 콤퓨터망에 불법침입 같은 비정상적인 현상이 발생하였을 경우 즉시 해당 기관에 통보하여야 한다.

 

강진규 기자  maddog@nkeconomy.com

 

저작권자 © NK경제 무단전재 및 재배포 금지