특정 법안과 규칙 및 부문 중심의 규정이 인도의 사이버 보안에 필요한 법적, 규제적 및 제도적 기준이 되고 있는데, 이를 통해 보안 기준을 일관되게 유지하면서 사이버 범죄를 정의하는 것은 물론 사고 발생 시 보고를 요구하고 있다.
개요
정보기술(IT)법 2000은 사이버 보안, 데이터 보호 및 사이버 범죄를 다루는 핵심 법안으로, 주요 특징은 다음과 같다.
- 전자 상거래 및 통신을 법적으로 인정하고 이를 보호한다.
- 전자 데이터와 정보 및 기록을 안전하게 보호한다.
- 컴퓨터 시스템의 무단 또는 불법 사용을 예방한다.
- 해킹, 서비스 거부 공격, 피싱(phishing), 악성 소프트웨어 공격, 신분 위조 및 전자 절도 등 ‘처벌이 가능한 범법 행위’를 식별한다.
정보기술법에 의거하여 기준이 마련된 규칙과 규정으로 다음과 같은 여러 가지 유형의 사이버 보안을 규제한다.
파트너
Bengaluru 소재 Ikigai Law
이메일: nehaa@ikigailaw.com
- 정보기술(인도 컴퓨터 긴급 대응 팀 및 기능 및 의무 수행 방식) 규정 2013(이하 “2013 규정”)에 의거하여 사이버 보안 사고에 관한 정보를 수집, 분석 및 보급하고 긴급 대응 조치를 취할 수 있도록 컴퓨터 긴급 대응 팀(CERT-In)이라는 새로운 행정 기구를 만들었다. 이에 따라 중간업체와 서비스제공업체 또한 사이버 보안 사고를 의무적으로 보고해야 한다.
- CERT-In이 20022년에 발표한 바 대로, 안전하고 신뢰할 수 있는 인터넷 환경 구축을 위해 정보 보안 실무, 절차, 예방, 대응 및 보고에 관한 지침이 2013 규정에 의거하는 기존의 사이버 보안 사고 보고 의무에 추가되었다.
- 정보기술(합리적인 보안 실무 및 절차와 민감한 개인 데이터 또는 정보) 규정 2011(이하 “SPDI 규정”)에 따라, 민감한 개인 데이터 또는 정보를 처리, 수집, 보관 또는 이전하는 회사들은 합리적인 보안 실무 및 절차를 실행해야 한다.
- 정보기술(중간업체를 위한 가이드라인 및 디지털 미디어 윤리 규정) 2021에 따라, 중간업체들은 자사의 컴퓨터 자원과 정보의 안전 확보를 위해 합리적인 보안 실무와 절차를 실행하여 ‘세이프 하버(safe harbour)’의 보호 기능을 유지해야 한다. 또한, 중간업체들은 사이버 보안 사고를 CERT-In에 보고해야 한다.
- 정보기술(보호가 필요한 시스템의 정보 보안 실무 및 절차) 규정 2018에 따라, 정보통신법에 의거하여 정의된 바 대로 시스템을 보호하고 있는 회사들은 구체적인 정보 보안 조치를 취해야 한다.
선임 소속 변호사
New Delhi 소재 Ikigai Law
이메일: vijayant@ikigailaw.com
사이버 보안 관련 조항이 명시된 기타의 법규를 살펴보면, 사이버 공간에서 발생하는 범법 행위(예: 비방, 불법 행위, 형사 처벌 대상이 되는 협박 및 음란 행위)를 처벌하는 인도 형법전 1860, 기업의 전자 기록 및 시스템에 무단으로 접속하거나 불법적으로 조작하지 못하도록 안전하게 보호할 것을 요구하는 회사(관리 및 경영) 규정 2014 등이 있다. 또한, 규제 대상이 지켜야 하는 의무적인 사이버 보안 기준을 강제하기 위해 규제 기관이나 관련 기관에서 발표한 부문 중심의 규정도 있는데, 이러한 기관에는 인도중앙은행, 인도증권거래위원회, 인도국가보건국 등이 포함된다.
핵심 정보 인프라(기능이 훼손되거나 파괴되면 국가 안보, 경제, 공중 보건 및 안전에 막대한 피해를 줄 수 있는 컴퓨터 자원; 이하 “CII’)의 사이버 보안은 국가 핵심 정보 인프라 보호 센터(NCIIPC)에서 발표한 가이드라인을 통해 규제한다.
정보통신법에 의거하여, 정부는 보호가 필요한 시스템의 CII 시설에 영향을 주는 컴퓨터 자원을 고지하여 보호가 필요한 시스템을 다루는 회사들의 사이버 보안 의무를 명시할 수 있다.
지정된 CII 부문에는 교통, 전기통신, 은행과 금융, 전력, 에너지 및 시민들이 언제라도 접근할 수 있는 전자 거버넌스(e-governance)가 포함된다. 이러한 부문의 경우, 관련 기관에서는 특정의 컴퓨터 시스템을 ‘보호가 필요한 시스템’으로 고지할 수 있다. 해당 부문을 담당하는 규제 기관이나 관련 기관(중앙전력청 포함)에서도 사이버 보안 및 CII에 관한 규정과 가이드라인을 만들었다.
제도적 장치
사이버 보안은 특정 부문에 한정된 문제가 아니기 때문에 사이버 보안에 필요한 제도적 장치는 정부 부처 곳곳에 복잡하게 얽혀 있지만, 이중 몇몇 부처와 전담 기구에서 핵심적인 역할을 수행한다. 예를 들면, 전자정보기술부(MeitY)에서는 IT, 전자 및 인터넷과 관련이 있는 정책을 다룬다(사이버 법 포함). 사이버 사고 대응 활동에 필요한 협조와 관련 업무 처리할 수 있도록 CERT-In을 전담 자문기구로 지정했다.
사이버 보안을 포함하는 국내 보안 문제는 내무부에서 담당한다. 이를 위해 사이버 범죄, 사이버 보안 및 모니터링을 전담하는 팀으로 구성된 ‘사이버정보보안국’을 만들었다. 2018년에는 사이버 범죄 퇴치를 위해 ‘인도 사이버범죄 협업센터’도 문을 열었다. CII의 자문 기구인 NCIIPC는 국가보안자문위원이 관리한다. 국가 사이버 보안 책임자(Co-ordinator)는 총리실의 감독을 받으면서 연방 차원에서 여러 관련 기관들과 협조한다.
보안 조치
연방 차원에서, 정보통신법에는 민감한 개인정보를 취급하는 주체가 보안을 책임지도록 명시되어 있다. SPDI 규정에 따라, 기업들은 경영, 기술, 운영 및 실무 분야에서 보안 관리 조치를 취해야 한다. 이러한 규정은 정보 보안 관리에 관한 ISO/IEC 27001 국제 표준에 의거하고, 최소한 연간 1회 또는 처리 방식 및 컴퓨터 자원을 대대적으로 업그레이드할 때, 정부에서 승인한 독립적인 감사기관의 확인을 받아야 한다.
부문별 규제 기관과 자문 기구 또한 보안 조치를 정해 놓고 있다. 인도중앙은행은 은행에 적용되는 기준을 마련했고, 여기에는 사고 처리와 보고에 필요한 장치, 사이버 위험 관리와 지속적인 시스템 감시 및 고객 정보 보호에 필요한 준비 작업이 포함된다. 인도중앙은행은 은행들이 ISO/IEC 27001과 ISO/IEC 27002를 반드시 준수하도록 지시하고 있다.
비(非)은행권 금융기관들도 이와 유사한 기준을 적용한다. 인도증권거래위원회는 주식 거래, 예치 및 청산 업무를 수행하는 회사들은 ISO/IEC 27001, ISO/IEC 27002 및 COBIT 5와 같은 기준을 따르도록 요구하고 있다.
사이버 사고 보고
선임 소속 변호사
New Delhi 소재 Ikigai Law
이메일: anand@ikigailaw.com
2013 규정에 따라, 관련 주체들은 합리적인 시간 이내에 사이버 사고를 CERT-In에 보고해야 한다. 이러한 사고에는 서비스 거부 공격, 피싱 및 악성 소프트웨어 사고, 웹사이트 변조 및 네트워크나 웹사이트를 대상으로 하는 스캐닝(scanning)이 포함된다.
2022년 4월, CERT-In은 2013 규정에 의거하는 의무를 변경하는 새로운 지침을 발표했는데, 여기에는 6시간 이내에 사이버 보안 사고를 보고하거나, 시스템 시계를 정부 서버에서 제공한 시간에 맞추거나, 보안 로그를 인도에서 관리하거나, 추가적인 고객 정보를 저장하는 일이 포함된다. 또한, 2021 규정에 따라 중간업체들은 상당한 주의 의무의 일환으로 보안 위반 사항을 CERT-In에 통보해야 한다.
부문별로 여러 가지 보고 의무 또한 적용된다. 예를 들면, 금융 서비스 부문의 경우에 모든 은행들은 사고 감지 후 2~6시간 이내에 보고해야 한다. 마찬가지로, 보험회사들은 사고 감지 후 48시간 이내에 보험규제개발청에 사이버 보안 사고를 보고해야 한다. 전기통신 사업자들은 기술 관련 시설에 대한 침입, 공격 및 사기 행위를 모니터링할 수 있는 시설을 구축하고, 이러한 행위들을 전기통신부에 보고해야 한다.
사이버 범죄
절도, 사기, 위조, 명예 훼손 및 기물 손괴와 같은 전통적인 범법 행위(이들 모두 인도 형법전 1860에 명시되어 있다)는 사이버 범죄에 포함될 수 있다. 정보통신법에서는 시스템 조작(tampering), 해킹, 음란한 정보 공개, 보호가 필요한 시스템에 대한 무단 접근, 비밀유지 및 개인정보보호 위반, 가짜 디지털 서명 인증서 발급 등 새로운 형태의 범법 행위를 다루고 있다. 이메일을 통한 협박 메시지 발송, 명예를 훼손하는 메시지 발송, 전자 기록 위조, 사이버 사기, 이메일을 통해 사용자의 정보를 가로채는 스푸핑(spoofing), 웹재킹(web-jacking) 및 이메일 악용 또한 처벌을 받을 수 있는 범법 행위에 해당한다.
향후 전망
연방 정부는 국가 사이버 보안 책임자를 통해 새로운 국가 사이버 보안 전략을 수립하는데, 인도의 사이버 보안 시스템의 부족한 부분을 보완하고 전반적인 사이버 보안 정책 기조를 강화하는 것이 그 목적이다.
또한, 인도 정부는 국내외 디지털 및 기술 환경의 발전 속도에 맞춰 정보통신법 개정을 검토하고 있다. 이렇게 되면, 기존의 사이버 범죄, 사고 보고, 보안 측정 및 기준 체계에도 변화가 있을 것이다.
IKIGAI LAW
New Delhi | Bengaluru
이메일:contact@ikigailaw.com
