정보보안 침해 사건 분석에 기초한 정보보안의 법적 개념 요소 도출 (Legal Concept :Based on Analysis of Cases about Information Security)

정보통신에 대한 관심은 정보통신기술을 수용하는 환경에 따라 3가지 유형으로 살펴볼 수 있다. 제1유형은 정보처리 ‘능력(설비)’에 대한 관심이다. 제2유형은 정보의 ‘보호’에 대한 관심이다. 제3유형은 정보의 ‘보안’에 대한 관심이다. 이 중 정보보안에 대한 관심은 개인뿐만 아니라, 정부․정당․언론기관․금융기관 등 사회주요시설의 전산망에 대한 해킹이 증가되는 상항 과 맞물려 급상승하고 있다.
정보보안 침해 사건은 양적으로 증가하고 있으며, 질적으로도 정교해지고 있다. 이에 더하여 그 피해가 개인․기업․사회․국가 전반에 걸쳐 심각하게 발생하고 있다. 이러한 현상의 원인은 유비쿼터스 사회(Ubiquitous Society)의 구조에 있다. 유비쿼터스 사회에서 대부분의 영역은 정보통신기술에 의존하고 있다. 따라서 그 부작용 역시 고스란히 사회 전반에 미치는 것이다. 이와 같은 전방위적 위기에 대응하기 위해 최근 학계와 실무계는 정보보안에 대한 연구에 적극적이다.
그러나 정보보안에 대한 연구를 위해서는 선결해야 할 문제가 있다. 정보보안은 보안설비 관점에서 정보처리의 ‘설비’, 보안대상 관점에서 정보의 ‘보호’와 각각 관련되어 있다. 또한, 다른 행위와 결합하거나 가중된 결과가 발생하기도 한다. 이러한 이유로 정보보안의 문제가 전통적인 설비의 문제나 정보보호의 문제로 취급될 수도 있다. 혹은 설비나 정보보호의 문제가 정보보안의 문제로 다루어 질 수도 있다. 어느 경우든 정보보안 법제를 마련함에 있어 장애가 된다.
따라서 정보보안의 법적 외연(外延)을 분명하게 확정하는 것이 필요하다. 이를 위해서는 법적 개념이 정립되어야 한다. 법적 개념은 규범적 개념 요소를 중심으로 구성되어야 한다. 또한, 정보보안에 대한 독자적인 개념 형성의 필요성과 독자적인 법제 형성의 필요성 역시 법적 개념 요소를 검토함으로서 명확해 진다. 법적 개념 요소가 불명확하면 법적 개념이 모호해지고, 모호한 법적 개념은 법제형성의 공백이나 중복을 초래하게 된다. 결국, ‘법적 개념 요소의 도출’이 정보보안의 법적 외연을 확정하기 위한 출발점이 된다.
본 연구는 법적 개념 요소를 도출하기 위하여 귀납적 연구방법을 취하였다. 정보보안 침해사건으로 다루어지는 사례를 분석하여, 다양한 차원의 유형이 혼재되어 있음을 발견하였다. 정보보안 침해 사건을 ‘전자적 침해 개념에 해당하는 유형, 전략적 개념에 해당하는 유형, 전술적 개념에 해당하는 유형’으로 구분한 후, 전술적 단계의 사례를 주요 분석대상으로 삼았다.
전술적 개념에 해당하는 유형 중에서 비전자적 침해와 관련된 유형은 소거하였으나, ‘행위의 결합 형식이나 결과적 가중 형식’에 대해서는 그 유형에 해당하는지 여부 자체가 사실적 분석과 법리적 분석을 거친 후에야 비로소 명확해지므로 소거하지 않았다. 사실적 분석을 통하여 ‘비보편적인 유형, 불명확한 유형, 정보보안 침해 유형에 관한 설명이 아니라 침해된 상태를 설명하는 유형’ 등을 제외하였다. 이 과정을 거쳐 법리적 분석대상을 선정하였다. 선정된 대상에 대해 먼저 ‘객체, 행위태양, 법익’ 등 법리적 분석기준을 도출하고, 이어서 도출된 기준을 대상 사례에 적용하여 법리적 분석을 진행하였다.
이상과 같이 정보보안 침해의 개별 사례에서 출발하여 사실분석과 법리분석을 거쳐 도출된 법적 개념 ‘요소’는 정보보안의 핵심이다. 도출된 핵심 ‘요소’는 정보보안에 대한 법적 ‘개념’을 구성하는 데 활용될 수 있을 것이다. 더 나아가 정보보안에 대한 최소한의 독립된 법적 ‘외연’을 확보하는 데에도 기여할 수 있을 것이다.

There are three types of growing concerns about info-communications under different circumstances. They are about facilities. protection and security. Among these, The concern about information security is as hacking is increasing steeply.
Hackers try to attack computer systems of important organizations over the country—like the governments, political parties, mass media organizations, as well as individual systems. we are faced with a problem where the quantity, quality and the level of damage caused by hacking has become much more severe.
This situation with information security becoming hacked have urged us to study about security for the ubiquitous society. However, there is the first consideration to start researching on information security.
Information security is related to both areas of facilities and protection for info-communications. In addition to this, it could be combined with other actions or damages. These two peculiarities, which the problems of information security have, could be considered problems of facilities or protection, not security. On the contrary, the problems of facilities or protection could be treated as problems of security.
In either case, it would be hurdles to set legal systems for information security. Hence, we should confirm the legal range of information security for which its legal concept has to be defined prior to it. The legal concept must be composed by the component parts of the legal concept of information security.
This study picks inductive methods to draw component parts of the information security's legal concept. The component parts drawn by this research would contribute to finding a clear answer for the ongoing debate about wether the information security needs its own legal concept and system separated from others—facilities, protection.