본문으로 바로가기

국내외 과학기술정책에 대한 주요 정보

주요동향

주요동향

글자 크게 글자 작게 Print

OECD, 디지털 보안 정책 프레임워크 발표 원문보기 1

  • 국가 국제기구
  • 생성기관 OECD
  • 주제분류 핵심R&D분야
  • 원문발표일 2022-12-14
  • 등록일 2023-01-13
  • 권호 230



OECD는 경제 및 사회 번영을 위한 디지털 보안 공공 정책의 모범 사례를 반영한 디지털 보안 정책 프레임워크 발표*(’22.12)

* OECD Poilcy Framework on Digital Security


ㅇ 경제 및 사회의 디지털 전환이 급속히 이루어지고 있으며, 이는 기업, 공공 조직 및 개인에게 경쟁력 강화와 복지를 향상 및 디지털 의존성 증가와 보안 위협에 대한 평가와 조치 요구

- 업데이트 및 인증 프로세스의 절차가 충분히 안전하지 않아 사용자는 보안 위협에 노출되고 복잡한 사이버 보안 기술 용어에 난항을 겪는 중

- 사이버공격에 의한 피해는 연간 6조 달러로 추산되며, 매년 중가

- 개인 차원에서는 신원 도용, 사이버 사기, 개인 데이터에 대한 오용의 피해가 발생하며 기업 차원에서는 자산, 경쟁력, 글로벌 공급망 붕괴의 위험성 존재


OECD는 디지털 보안 정책 프레임워크를 1)기초 기반, 2)전략 구성, 3)시장 규제, 4)기술에 집중하여 제시

디지털 보안 위협 관리(Digital Security Recommendation, 발표 예정), 국가 디지털 보안 전략(Strategies Recommendation, 발표 예정), 핵심 활동의 디지털 보안(Critical Activities Recommendation, 2019), 제품 및 서비스의 디지털 보안(Products and Services Recommendation, 발표 예정), 디지털 보안 취약성 관리(Vulnerabilities Recommendation, 발표 예정)의 권고안에 기초를 두고 작성


. 기초기반

OECD의 관점에서 디지털 보안을 정의하고 경제적, 사회적 관점에서 사이버 보안에 접근할 때 명심해야 할 기본 원칙들을 포함하며, 프레임워크 체계의 토대가 됨

- (디지털 보안) 경제적, 사회적 번영을 위해 디지털 보안 위협을 관리하기 위해 취해지는 일련의 조치로 정의

- (디지털 보안 위협) 디지털 보안 사고가 경제 및 사회 활동에 미칠 수 있는 해로운 영향이며, 데이터의 가용성 또는 기밀성을 방해함

- (디지털 보안 위협 관리) 경제적, 사회적 기회를 극대화하면서 디지털 보안 위협을 해결하기 위해 사람과 조직이 수행하는 작업

- (디지털 보안 위협 관리 원칙) 모든 이해 관계자는 디지털 보안 위협 및 관리에 관한 책임과 이해를 바탕으로 디지털 보안 문화를 양성해야 하며, 일관된 인권 및 가치에 대한 기준으로 타 주체들과 협력 및 관리 필요

그 외 시행 원칙으로는 협력, 전략 및 거버넌스 관리, 보안 위협 관리 전략 마련, 위험 지속 관리, 보안 조치, 혁신, 탄력성, 대비성, 지속성의 원칙 요구 

 

. 전략구성

ㅇ 디지털 보안 문화를 조성하며 모든 디지털 보안 관계자들이 일관된 방식으로 힘을 모을 수 있도록 명확한 비전에 기초한 전략적 접근

- 사이버 보안의 모든 차원 간의 일관성과 상호 보완성을 보장하고, 전략의 개발과 실행에 있어 기업, 기술 및 시민 사회 공동체의 실질적 참여 중요

- 정부 기관 간에 명확한 책임 할당 및 상호 협력 필요

- 디지털 경제 정책, 개인 정보 및 데이터 보호, 부문별 정책 및 국제 협력 등 다른 정책 영역과의 교류 및 시너지 효과를 창출할 것을 권고


. 시장 규제

ㅇ 상품과 서비스, 그리고 주요 활동에 대한 디지털 보안에 관하여 시장의 힘으로 최적의 수준을 만들기 부족하기에 정책 개입이 필요한 영역을 다룸

- (핵심 활동) 디지털 보안 규제는 사회가 인식하는 위험 수준과 일치시켜야 하며, 신뢰 기반의 파트너십을 촉진할 것을 권고

- (제품 및 서비스) 공급자의 책임, 국내외 협력, 투명성과 정보공유, 유연한 정책, 그리고 혁신 및 경쟁을 통해 전략을 세울 것을 권고


. 기술

ㅇ 정책 안내가 필요한 기술적 측면에 초점을 두며, 대표적으로 이해관계자의 제품의 보안 취약성 공개, 정보 시스템에서의 취약성 관리 개선, 그리고 해당 분야 연구원들의 보호 등을 포함함

- 정보 시스템도 취약성을 띠게 되며, 범죄자들은 취약성을 악용하므로 이를 대비하기 위해서는 개인, 개발자와 기관들이 각자의 역할에 맞게 취약성 보완 필요

- 정책 입안자들이 비효율적이고 비생산적인 정책 조치를 피하기 위해 기술 커뮤니티와 협력하여 접근할 필요가 있음



배너존