아시아 국가별 사이버 보안법 비교 – 인도

제약, 항공우주, 금융, 법, 친목 활동 등 오늘날 우리 삶의 모든 영역은 컴퓨터와 직간접적으로 연결되어 있습니다. 컴퓨터로 인해 삶의 편리함은 증대되었으나, 새로운 난제 또한 직면하게 되었습니다.

마이크로소프트의 창업자인 빌 게이츠는 “컴퓨터는 이전에 존재하지 않던 문제를 해결하기 위해 태어났다”라고 말한 바 있습니다. 컴퓨터에 대한 높은 의존도로 발생하는 특정 문제들은 사회에 부정적인 영향을 미칠 수 있으며, 강력하고 견고한 법적 프레임 없이는 사회를 보호하는 것이 어려워질 수도 있습니다.

다양한 영역의 디지털화가 이루어짐에 따라, 인도 정부는 우선 전자 기록과 디지털 절차에 대한 제제의 필요성을 인식했습니다. 디지털 시대의 새로운 난제에 대응하기 위해 일부 현행법의 개정이 이루어졌습니다.

인도의 사이버 보안 부문에 있어서 가장 중요한 첫 행보는 2000년 ‘정보통신법(IT법)’의 제정이었습니다. 이후 다소 미흡하긴 하나 법학적 발전을 통해 사이버 보안 부문에 대한 진전이 이루어졌으며, 2008년 개정 IT법의 통과로 이어졌습니다.

개정 IT법은 다양한 사이버 범죄와 위반 행위를 광범위하게 다룹니다. IT 관련 형사 범죄로 간주되는 모든 행위는 IT법에 포함되어 있습니다.

해킹: IT법이 해킹을 특정하게 언급하고 있지는 않으나, 제43절은 소유자의 허가 없이 컴퓨터, 컴퓨터 시스템 및 컴퓨터 네트워크에 접근한 자(제a관), 데이터를 다운로드, 복사 및 추출한 자(제b관), 시스템에 기술적 혼란을 야기한 자(제e관)가 피해자에게 피해 보상금을 지불할 책임이 있다고 규정하고 있습니다. 또한 제66절은 제43절에서 정의된 위반 행위(해킹 포함)가 최대 3년의 직역형이나 최대 7,100 미 달러의 벌금형, 또는 양자에 처할 수 있다고 명시하고 있습니다.

피싱: IT법은 피싱에 대해 특정하게 언급하고 있지는 않습니다. 그러나 제66C절과 66D절은 유사한 종류의 위반 행위에 대한 처벌을 규정하고 있습니다. 제66C절은 제3자의 전자서명, 패스워드 및 기타 신원 식별에 사용되는 기능을 부정하게 취득한 자에게 최대 3년의 징역형과 1,300달러의 벌금을 부과합니다. IT법과 별개로 1860년 인도 형법 제419절 또한 신분 사칭에 대해 유사한 처벌을 규정하고 있습니다.

악성 소프트웨어/바이러스 공격: 제43절의 부차 항목은 소유자의 허가 없이 컴퓨터에 악성 소프트웨어나 바이러스를 유포한 자가 피해 보상금을 지불할 책임이 있다고 규정하고 있습니다. 이는 또한 제66절에 따른 처벌을 받을 수 있습니다.

사이버 테러: 사이버 테러는 2008년 개정을 통해 신설된 부문으로, 제66F절에서 다루고 있습니다. 인도의 통합성, 완전성, 안보 및 주권을 위협하거나 국민을 공포에 질리게 할 의도로 행해진 행위, 또는 해당 행위가 인명 및 재산의 피해 야기, 삶에 필수적인 재화와 서비스 공급의 장애 야기, 주요 정보 인프라에 부정적인 영향을 끼친 경우 사이버 테러로 간주되어 종신형에 처합니다.

인도 정부는 IT 산업의 빠른 발전 속도에 발맞춰 새로운 난제에 대응하기 위해 지속적으로 IT법의 지평을 넓혀가고 있습니다. 인도 정부는 여러 관련 규칙을 제정했으며, 특히 다음의 규제는 사이버 보안과 개인정보 보호에서 주요한 역할을 수행하고 있습니다.

(1) 2011년 IT 규칙 – 합리적 보안 관행 절차와 민감한 개인 정보 (SPDI 규칙)

(2) 2011년 IT 규칙 -중개자 가이드라인

(3) 2011년 IT 규칙 – PC방 가이드라인

(4) 2011년 IT 규칙 – 전자 서비스 제공

(5) 2013년 IT 규칙 – 인도 컴퓨터 비상 대응팀의 수행 기능과 의무 (CERT-In 규칙)

(6) 2018년 IT 규칙 – 보호 시스템에 대한 정보 보안 관행 절차

정부의 다양한 IT 관련 규칙은 개별 조직과 책임자가 보안 관행을 준수하고, 사이버 보안 사건을 보고하도록 의무화했습니다. CERT-In 규칙에 따라, ‘사이버 보안 사고’가 발생한 개별 기업과 책임자는 인도 컴퓨터 비상 대응팀(CERT-In)에 보고해야 합니다. 사이버 보안 사고는 준거 보안 정책을 직간접적으로 위반하는 행위로, 사이버 보안과 관련된 실제 또는 의심 사고를 의미합니다.

인도 컴퓨터 비상 대응팀은 사이버 보안 위기 발생 시 이에 대응하고, 사이버 보안 강화를 위한 정보를 제공하고자 설립되었습니다.

IT법에서 발생한 분쟁은 해결에 특별한 전문 지식이 필요한 경우가 많습니다. 이에 따라 IT법은 IT법으로 인한 분쟁 발생 시 특별 ‘판결 담당관’을 선임하도록 규정하고 있으며, IT법에 따라 설립된 항고심판소에 판결 담당관의 결정에 대해 항소할 수 있도록 했습니다.

2000년 IT법 제48(1)절에 따라, 인도 전자통신기술부는 2006년 10월 ‘사이버 규제 항고심판소(CRAT)’를 설립했습니다. 이후 2008년 개정 IT법은 해당 심판소의 명칭을 ‘사이버 항고심판소(CyAT)’로 변경했습니다. 인도 전자서명 최상위인증기관인 CCA나 판결 담당관으로부터 불리한 판결을 받거나 권리를 침해당한 경우 본 심판소에 항소를 신청할 수 있습니다.

인도 정부는 개인정보 보호와 글로벌 수준에 부합하는 법적 틀을 갖추고자 주요 규제 토대를 마련했습니다. 이러한 규제의 목적은 크게 두 부분으로 나뉘는데, 우선 개별 조직의 보안 정책과 적절한 인프라 수립을 의무화한 것입니다. SPDI 규칙에 따라 금융, 보건, 패스워드, 생체 정보 등의 데이터를 보유한 회사나 조직은 정보의 규모에 상응하는 기술, 운영, 물리적 보안 통제 장치를 포함하는 정책을 수립해야 합니다.

또 다른 목적은 개인정보가 무엇인지 정의하고, 개인정보 보호와 정보 공개에 관련하여 반드시 준수되어야 하는 정책을 명시한 것입니다. SPDI 규칙 제2(i)조에 따르면, 개인정보는 자연인과 관련된 모든 정보를 의미하며, 법인이 현재나 미래에 이용할 수 있고, 다른 정보와 직간접적으로 결합했을 때 해당 자연인의 신분을 식별할 수 있는 정보를 의미합니다. 제3조는 비밀번호, 금융 정보, 신체/정신 건강 정보, 성적 성향, 생체 정보 등을 민감한 정보로 분류하고 있습니다.

개인 및 법인은 웹사이트나 계약서에 개인정보 정책, 개인정보 수집과 사용 목적, 정보공개 정책, 합리적인 보안 절차에 대한 내용을 명시해야 할 의무가 있습니다. 본 규칙은 개인정보가 안전하게 보호되며, 개인정보를 사용하는 이가 개인 정보 수집 목적을 알고 있고, 해당 정보를 사용하는 법인이 개인정보 보호 능력에 확신이 있음을 보장합니다.

IT 산업의 복합성이 증대되며 현행법의 한계 또한 인지되었습니다. 2017년 8월, 인도 대법원은 ‘KS 푸타스와미 판사 대 인도 정부 사건(Justice KS Puttaswamy v Union of India)’에서 개인정보 보호를 위한 보다 강력한 법의 필요성을 인지했습니다. 대법원은 모든 개인이 자신의 개인정보에 대해 근본적인 권리를 지니며, 이에 따라 보다 강력한 개인정보 보호법이 필요하다는 사실을 명백하게 인정했습니다.

이후 BN 스리크리샤나 판사를 의장으로 하는 전문가 위원회에서 보고서와 함께 개인정보 보호법의 초안을 발표했습니다. 현재 인도 의회에 계류 중인 2019년 개인정보 보호 법안은 해당 초안과 일맥상통하며, 2018년 EU의 개인정보보호규정(GDPR)을 반영하고 있습니다.

IT 산업의 역동성을 고려할 때, IT법 또한 다른 분야의 법과는 달리 지속적으로 빠르게 변화해야 할 것입니다. 인도 정부는 이러한 역동성을 인지하고, IT법의 지평을 넓히며 개정해나가고 있습니다.

인도 정부는 최근 개인정보 보호법을 더욱 강화하기 위해 ‘2018년 IT 규칙 – 보호 시스템에 관한 정보 보안 관행 절차’와 개인정보 보호 법안을 도입했으며, 이는 나아가 국가 간 정보 교류에 긍정적으로 작용할 것입니다.

LEXORBIS
709/710 Tolstoy House 15-17 Tolstoy Marg New Delhi – 110 001 India
전화번호: +91 11 2371 6565
팩스: : +91 11 2371 6556
이메일: mail@lexorbis.com
www.lexorbis.com