아시아 국가별 사이버 보안법 비교 – 인도네시아

아시아 각국의 정부는 데이터 보호와 사이버 보안 영역의 규제를 발전시키고 있습니다. 본 기고는 아시아 역내 주요 국가의 사이버 보안법과 이에 대한 전문가의 해석으로 구성되어 있습니다.

IT 산업은 인도네시아 경제에 중요한 역할을 수행해왔으며, 디지털 산업의 빠른 성장으로 인해 보다 선진적이고 통합적인 사이버 보안법과 개인정보 보호법의 필요성이 대두되었습니다.

인도네시아 정부는 급속도로 발전하는 디지털 기술의 특성을 고려하여 2008년부터 전자 정보와 전자 결제를 주관하는 규제를 도입해왔습니다. 2008년 법령 제11호 전자 정보와 결제법(EIT법)은 2016년 법령 제19호에 의해 개정되었으며, 사이버 보안과 개인정보를 포함하는 다양한 맥락에서 전자 정보와 시스템 운영에 관한 근본적인 규칙을 규정합니다.

그러나 인도네시아의 전자상거래 플랫폼은 여전히 내부 데이터베이스 위반으로부터 자유롭지 못하며, 사용자명, 이메일 주소, 전화번호, 암호화 패스워드 등의 사용자 정보가 대규모로 유출되는 사건이 발생하기도 했습니다. 이는 경제의 주요 동력으로서 나날이 의존도가 높아지는 전자상거래 시스템의 보안이 얼마나 취약한지를 여실히 드러냈습니다. 이에 따라 인도네시아 정부에서는 정책과 규제를 통해 기술적 변화와 난제에 대응하고 있습니다.

사이버 보안

EIT법과 ‘2019년 정부 규제 제71호 전자 시스템과 결제 조항’ 등의 관련 규제는 사이버 보안에 대한 일반 규정을 모두 다루고 있습니다. 해당 규제는 전자 결제 시스템의 신뢰를 촉진하고, 중립 기술로서의 원칙을 유지할 것으로 예상됩니다. EIT법은 전자시스템 운영자(ESO)가 신뢰할 수 있고 안전한 방식으로 시스템을 제공하고, 적절하게 운영할 책임이 있음을 의무화합니다. 보안 측면은 전자 시스템에 관한 물리적/비물리적 보호를 포괄하며, 규제 제71호에 따른 하드웨어와 소프트웨어의 보안을 포함합니다. 나아가, 전자시스템 운영자가 보안 위협과 공격에 대한 예방, 완화, 보안을 위한 시설 및 시스템을 도입하고 유지할 의무를 규정하고 있습니다.

인도네시아 통신정보과학부의 ‘2016년 규제 제4호 정보 보안 관리 시스템’에 의거한 정보 보안 관리 준수 의무는 전자 시스템의 리스크 카테고리에 따라 달라집니다. 해당 규제는 리스크 카테고리를 1) 전략적 리스크, 2) 높은 리스크, 3) 낮은 리스크로 구분하고 있습니다.

인도네시아는 동남아시아에서 빠르게 성장하는 디지털 기반 경제입니다. 인도네시아 정부는 ‘산업 4.0’ 시대를 맞이하여 국내 디지털 사업 개발과 중소기업(SME)의 IT 산업 참여를 적극적으로 장려하고 있어, 앞으로도 이러한 흐름이 지속될 전망입니다.

IT 산업은 인도네시아 경제에 중요한 역할을 수행해왔으며, 디지털 산업의 빠른 성장으로 인해 보다 선진적이고 통합적인 사이버 보안법과 개인정보 보호법의 필요성이 대두되었습니다.

인도네시아 정부는 급속도로 발전하는 디지털 기술의 특성을 고려하여 2008년부터 전자 정보와 전자 결제를 주관하는 규제를 도입해왔습니다. 2008년 법령 제11호 전자 정보와 결제법(EIT법)은 2016년 법령 제19호에 의해 개정되었으며, 사이버 보안과 개인정보를 포함하는 다양한 맥락에서 전자 정보와 시스템 운영에 관한 근본적인 규칙을 규정합니다.

그러나 인도네시아의 전자상거래 플랫폼은 여전히 내부 데이터베이스 위반으로부터 자유롭지 못하며, 사용자명, 이메일 주소, 전화번호, 암호화 패스워드 등의 사용자 정보가 대규모로 유출되는 사건이 발생하기도 했습니다. 이는 경제의 주요 동력으로서 나날이 의존도가 높아지는 전자상거래 시스템의 보안이 얼마나 취약한지를 여실히 드러냈습니다. 이에 따라 인도네시아 정부에서는 정책과 규제를 통해 기술적 변화와 난제에 대응하고 있습니다.

사이버 보안

EIT법과 ‘2019년 정부 규제 제71호 전자 시스템과 결제 조항’ 등의 관련 규제는 사이버 보안에 대한 일반 규정을 모두 다루고 있습니다. 해당 규제는 전자 결제 시스템의 신뢰를 촉진하고, 중립 기술로서의 원칙을 유지할 것으로 예상됩니다. EIT법은 전자시스템 운영자(ESO)가 신뢰할 수 있고 안전한 방식으로 시스템을 제공하고, 적절하게 운영할 책임이 있음을 의무화합니다. 보안 측면은 전자 시스템에 관한 물리적/비물리적 보호를 포괄하며, 규제 제71호에 따른 하드웨어와 소프트웨어의 보안을 포함합니다. 나아가, 전자시스템 운영자가 보안 위협과 공격에 대한 예방, 완화, 보안을 위한 시설 및 시스템을 도입하고 유지할 의무를 규정하고 있습니다.

인도네시아 통신정보과학부의 ‘2016년 규제 제4호 정보 보안 관리 시스템’에 의거한 정보 보안 관리 준수 의무는 전자 시스템의 리스크 카테고리에 따라 달라집니다. 해당 규제는 리스크 카테고리를 1) 전략적 리스크, 2) 높은 리스크, 3) 낮은 리스크로 구분하고 있습니다.

전략적 또는 높은 리스크군으로 분류된 전자 시스템은 정보 보안에 대해 ‘ISO/IEC 27001 기준’을 준수해야 하며, 낮은 리스크군의 전자 시스템은 ‘정보 보안 인덱스’의 가이드라인을 반드시 이행해야 합니다.

그러나 종전의 전자시스템 운영자 구분법을 사용하는 규제 제4호는 ‘2012년 정부 규제 제82호 전자 시스템 결제 조항’이 규제 제71호에 의해 폐지됨에 따라 향후 수정될 것으로 보입니다.

정보 보안 인덱스를 포함한 정보 보안 관리의 기술적 의무사항을 규정하는 업무는 종래는 통신정보과학부가 주관했으나, 현재는 국가 사이버 암호화 안보국(BSSN)으로 주무 기관이 변경되어 정보 보안에 대한 의무와 준수 사항과 관련된 기술적 규제가 수립될 예정입니다.

국가 사이버 암호화 안보국과 더불어 사이버 보안을 담당하는 또 다른 주무 기관은 ‘인터넷 인프라/조정센터(ID-SIRTII)’ 산하의 ‘인도네시아 보안 사건 대응팀’입니다. 해당 팀은 2007년 통신정보과학부에 의해 발족되었으며, 인터넷과 이동통신 네트워크에 IT 보안, 선진 모니터링, 선진 감지, 선진 위협 경고 시스템에 대한 인식을 제고하는 것을 목표로 합니다.

EIT법 제46조는 위반 행위에 대한 형사 처벌 또한 규정하고 있습니다. 사이버 보안 위반 행위는 최대 8년의 징역형 및/또는 최대 8억 루피아(53,000달러)의 벌금형에 처합니다.

개인정보 보호

데이터와 개인정보 보호는 인도네시아 헌법 제28G조에 따라 인간의 기본권으로 인정되고 있습니다. 제28G조는 모든 개인이 자신과 가족, 명예, 존엄성과 재산을 지킬 권리가 있다고 명시하고 있습니다. 그러나 현재까지 인도네시아에는 데이터와 개인정보 보호를 위해 별도로 제정된 법은 없으며, 여러 법과 규제에 관련 내용이 분산되어 있는 상태입니다.

그러나 EIT법, 규제 제71호, 규제 제20호가 개인정보의 관리에서 주요법으로 사용되고 있으며, 전 사업 부문 전자 시스템의 운영에 적용되고 있습니다.

위 규제들은 모두 전자 매체를 통한 개인정보의 사용 시 정보주체의 동의를 얻는 것의 중요성을 강조하고 있습니다. (관련법이나 규제가 다르게 정의하는 경우 제외.)

EIT법의 기본 개념은 “개인정보의 보호는 개인의 프라이버시 권리에 속한다”라는 것으로, 이는 규제 제20호의 기저 원칙으로 작용합니다. 규제 제20호는 개인정보의 처리와 관리 시 정보주체의 동의를 얻는 것의 중요성과 개인정보의 검증, 정보주체의 개인 정보에 대한 권리 보호를 강조하고 있습니다.

규제 제20호는 개인정보의 수집, 처리, 보관, 공유, 삭제 등의 모든 데이터 처리 단계에 있어서 전자시스템 운영자가 정보주체의 동의를 얻어야 한다고 규정하고 있습니다.

정부는 규제 제71호를 통해 보다 일반적인 기준에 기반한 개인정보 보호 규칙을 적용하고자 했는데, 이는 아래에서 보듯이 EU GDPR의 영향을 크게 받은 것으로 보입니다.

규제 제71호 14(1)조는 개인정보 보호의 기본 원칙을 명시하며, 대체로 GDPR 제5조와 유사합니다.

또한, GDPR 제6조는 개인정보 처리의 적법성이 단일 또는 복수 목적의 정보 사용에 대한 정보 주체의 동의 취득과 의무사항의 준수를 기반으로 한다고 정의하고 있으며, 규제 제71호 또한 이와 동일한 입장을 취하고 있습니다. 그러나 규제 제71호는 동의 취득 의무에 대한 예외 사항을 별도로 규정하지 않고 있습니다.

‘개인정보 관리자(pengendali data pribadi)’라는 용어는 GDPR에서 직접적으로 차용한 것입니다. 해당 용어는 규제 제71호 14조에서만 사용되는데, 용어에 대한 별도의 설명이 없습니다. 또한, GDPR와는 달리 ‘개인정보 관리자’와 ‘개인정보 처리자’를 구분하지 않았습니다.

‘잊혀질 권리’라는 개념은 EIT법에서 처음 정립되었으며, 법원 명령 또는 정보주체의 요청에 따라(‘폐지 권리’와 ‘삭제 권리’의 행사), 전자시스템 운영자가 통제 하의 유효하지 않은 모든 전자 정보 및/또는 전자 서류를 삭제할 것을 규정하고 있습니다.

정부는 현재 개인정보 보호 법안을 준비 중이며, 가장 최근의 초안으로 미루어볼 때 GDPR의 원칙을 더욱 확대한 것으로 보입니다. 이는 인도네시아의 규제와 산업 전방위적 기준 간의 상호성을 증진할 수 있을 것입니다. 초안은 개인정보 관리자와 개인정보 처리자를 구분하고, 개인정보 유출 시 고지 기간을 기존 규제 제20호의 14일에서 3일로 단축했습니다. 그러나 해당 법안이 실제 법으로 발효될지는 아직 미지수입니다.

주요 초점

최근 디지털 플랫폼 회사의 잇따른 사이버 공격 피해 사례에서도 볼 수 있듯, 사이버 범죄는 갈수록 증가하고 있습니다. 데이터가 회사의 중요한 자산으로 간주되는 만큼, 정부와 민간 부문은 앞으로 기존의 예방 조치를 침해하지 않는 선에서 사이버 보안과 데이터 보호에 보다 주력할 것으로 보입니다. 이에 따라 정부와 기업의 노력은 사이버 범죄에 대한 인식 제고와 효율적인 개인정보 보호 시스템의 구축에 집중될 것입니다.

ABNR COUNSELLORS AT LAW
Graha CIMB Niaga 24/F Jl Jenderal Sudirman Kav 58 Jakarta 12190 Indonesia
전화번호: +62 21 250 5125
이메일: info@abnrlaw.com
www.abnrlaw.com