국문요약 7
제1장 연구의 목적과 범위 33
제1절 연구의 목적 33
제2절 연구의 방법과 범위 35
제2장 사이버범죄의 보안대책 37
제1절 인터넷 이용현황 37
제2절 사이버범죄의 최근동향 39
제3절 정보보안의 현실 41
제4절 보안기술의 종류 42
1. 침입차단기술 42
2. 암호기술 43
3. 바이러스백신 45
4. 침입탐지시스템 47
제3장 암호와 암호기술 49
제1절 정보사회와 암호 49
1. 정보사회와 암호의 발달 49
2. 암호와 암호기술 50
제2절 암호사용의 필요성 56
1. 개인정보와 프라이버시의 보호 56
2. 지적재산권의 보호 57
3. 전자거래의 신뢰성과 안전성 확보 58
제3절 암호기술의 순기능과 역기능 59
1. 암호기술의 순기능 59
2. 암호기술의 역기능 61
제4장 암호기술의 역기능 방지대책 67
제1절 법집행력 확보의 필요성 67
제2절 법집행력 확보의 타당성 68
제3절 정보적 자기결정권과 그 제한 69
제4절 키복구제도 73
제5장 암호에 관한 법규와 정책 85
제1절 암호기술의 규제에 관한 각국의 동향 85
1. 배 경 85
2. 미 국 87
3. 유 럽 90
4. 아시아 95
제2절 우리 나라의 암호관련 법규와 정책 97
1. 국가기밀을 위한 암호법규 97
2. 개인의 기밀을 위한 암호법규 102
3. 암호에 관한 정책 106
제6장 우리 나라에서의 암호정책의 개선 필요성 109
제1절 국가안보와의 관계 109
제2절 불법암호데이터에 대한 형사소송법상의 수사절차 110
제3절 암호이용촉진법 추진동향 113
제7장 결론 및 제언 117
참고문헌 123
영문요약 128
Ⅰ. 연구의 목적
오늘날 전자상거래의 활성화와 정보통신기술의 발달은 정보의 지위변화를 초래하였고 각국은 정보보호 및 정보보안을 위한 제도마련에 고심하고 있다. 정보보호 및 정보보안의 효과적 수단의 하나로 인정되고 있는 이른바 암호의 사용은 전자거래의 신뢰성 및 안전성 보호, 개인정보 및 지적재산권 보호, 소비자 보호, 표현의 자유 보호 등에 매우 유용하다고 할 수 있다.
그러나 한편으로 이러한 강력한 암호의 광범위한 사용은 자칫 조직범죄자, 마약거래자, 테러리스트 등에 의하여 악용되기 쉬울 뿐 아니라 나아가 적법한 영장에 의한 법집행기관의 수사권에 상당한 장애를 초래하여 암호화된 데이터에 수사권이 미치지 못하거나 또는 수사권이 미친다 하더라도 막상 압수된 증거물을 해독하지 못할 경우 애써 수집한 증거물의 증거능력을 상실하게 될 가능성이 큰 것이다.
실제로 지난 2001년 9월 납치한 민간항공기를 무기로 사용한 미국 뉴욕의 세계무역센터 빌딩 폭파 테러사건의 주범으로 알려져 있는 오사마 빈 라덴을 비롯한 중동의 각 테러그룹들은 인터넷을 이른바 e-지하드(성전)에 이용하고 있는바, 예컨대 인터넷상의 각종 암호기술과 소프트웨어를 이용하여 테러목표와 공격방법에 대한 정보․지시를 조직원에게 전달한다고 한다. 즉 사전에 조직원들이 인터넷 상에서 암호화기술 및 암호해독 소프트웨어를 공유한 뒤, 테러공작과 관련된 정보를 일반에 공개된 채팅룸이나 포르노사이트를 이용하여 교환한다는 것이다. 특히 라덴은 지난 해 미국 CIA가 아프가니스탄의 은거지로부터 송출되는 위성통신을 감청한다는 사실을 눈치채고는 연락수단을 암호화된 인터넷 통신으로 대체한 것으로 알려진 바 있다.
이러한 암호의 범죄이용 등 역기능에 대비할 목적으로 각국은 불법 암호데이터에 대한 적법한 수사권의 실현을 위하여 키위탁 또는 키복구 제도를 검토하는 등 각종의 보안대책을 강구하고 있는 상황이지만, 개인의 프라이버시 보호와 표현의 자유 등을 근거로 한 시민단체의 입법반대주장에 부딪혀 어려움을 겪고 있는 상황이다.
이에 따라 현 시점에서 각국의 암호기술 및 암호정책 동향을 분석하고 나아가 국내의 바람직한 암호정책, 나아가 정보보안대책 수립을 위한 체계적이고 깊이 있는 연구가 매우 절실한 상황이며 나아가 이 연구를 통하여 불법 암호데이터에 대한 필요한 수사절차를 규정할 수 있는 방안도 함께 제시하고자 한다.
Ⅱ. 사이버범죄의 보안대책
1. 인터넷환경의 변화와 사이버범죄의 최근 동향
2001년 9월말 현재 우리 나라 7세 이상 월평균 한 번 이상 인터넷을 이용하는 사람은 모두 2,412만명(이용률 56%)으로, 이는 세계 상위권 수준으로 전세계 5억1천3백만 인터넷 이용자 중 우리 나라가 4.7%를 차지하는 수치이다. 이와 같은 인터넷이용인구의 폭발적 증가와 함께 이른바 해킹 및 바이러스 유포행위가 크게 증가하고 있다.
대검찰청 통계에 따르면 지난 1997년부터 2001년 6월 30일 현재까지 인터넷범죄로 처리된 건수는 총 2,051건이었고 처리된 인원은 2,931명(400명 구속)이었다. 유형별로 보면 전자문서관련죄가 56건 99명, 전산업무방해죄가 64건 81명, 전자기록비밀침해죄가 16건 27명, 컴퓨터사용사기죄가 684건 933명, 전자기록손괴죄가 16건 21명, 정보통신망이용촉진법 위반이 1029건 1366명, 개인정보보호법 위반이 35건 68명, 기타 특별법 위반이 151건 336명이었다.
경찰청통계도 그 수치는 다르지만 동향은 비슷하다. 1997년부터 2001년 6월까지의 사이버범죄 발생현황을 보면 1997년에는 121건의 사이버범죄중 사이버테러(해킹 및 바이러스)가 5건이었던 것이, 1998년에는 394건의 사이버범죄중 사이버테러가 18건으로 늘었고, 1999년에는 1,709건의 사이버범죄중 사이버테러는 23건이었으며, 2000년에는 총 2,444건의 사이버범죄중 452건이 사이버테러였으며, 2001년에는 1월부터 6월까지 즉 상반기에만 총7,422건의 사이버범죄가 발생하였는데 이 중 2,206건이 사이버테러 사건이었다. 검거현황을 보면 1997년부터 2000년까지 4년간 총 3,932건에 4,886명의 사이버범죄자가 검거되었는데 이중 해킹 및 바이러스와 관련된 사이버테러사범이 324건 416명이었다. 그런데 2001년 1월부터 6월까지의 상반기에만 총 1,694건에 1,944명이었는데 이중 사이버테러사범은 328건에 393명이었다.
이러한 통계수치를 놓고 볼 때 해킹 및 바이러스 유포 등 보안관련 사범의 수가 최근 급격히 늘고 있으므로, 이에 따라 보안대책의 필요성이 크게 증가되고 있음을 알 수 있다.
2. 보안기술의 종류
정보보안 기술에는 범죄의 사전예방적 기술로서 침입차단기술(방화벽, Firewall)과 암호기술이 있고, 사후방지적 기술로서 바이러스백신 및 침입탐지시스템(IDS) 등이 있다.
먼저 침입차단시스템인 방화벽(Firewall)은 인터넷과 같은 외부 네트워크에 연결되어 있는 내부 네트워크의 중요한 정보 및 자원을 외부 네트워크를 통한 불법적인 침입으로부터 안전하게 보호하기 위한 침입차단시스템을 말한다. 방화벽 시스템은 외부로부터 내부 네트워크를 보호하기 위해 강력한 접근 제어를 제공하는데, 이를 위해 외부망과 내부망의 구성을 위한 별개의 네트워크를 갖고 있다. 이런 네트워크의 구성 때문에 외부망 사용자가 내부망에서 제공하는 서비스를 사용하려면 반드시 방화벽 시스템을 통과해야만 한다. 따라서 외부에서 내부로의 공격이나 침입을 시도한다 할지라도 내부망에 접근하려면 두 네트워크 사이의 방화벽을 반드시 거쳐야 하기 때문에 관리자가 이를 탐지하고 방어할 수 있는 시간을 벌 수 있으며 근본적으로 공격 자체를 어렵게 만드는 것이다.
둘째로, 암호기술로서 공개키 기반구조(PKI:Public Key Infrastructure)를 들 수 있다. 두 차례의 세계 대전을 거치고 컴퓨터의 기능이 향상되면서 암호기술은 빠른 속도로 발전하였다. 메시지나 데이터의 보호를 위해 사용된 암호기술은 대칭키 암호 알고리즘의 등장으로 정보 보안에 더욱 크게 기여하게 되었다. 그러나 암호화와 복호화에 필요한 키(key)를 비밀스럽게 보관하고 교환해야 하는 문제가 점점 심각해지자 공개키 암호 알고리즘이 등장하여 두 개의 키를 생성하여 하나는 공개하고 다른 하나만 비밀스럽게 보관하는 방법으로 이 문제를 해결하였다. 공개키기반구조(PKI)는 공개키 암호 알고리즘이 갖고 있는 송신자와 메시지의 합법성 등을 확인해야 하는 인증의 문제를 해결하기 위해 제안되었다. 공개키 기반 구조는 공개키 암호 알고리즘에서 사용자의 공개키를 안전하게, 그리고 신뢰할 수 있게 인증하는 수단을 제공함으로써, 공개키를 이용해서 인증체계를 구축하기 위한 전체 기반 구조의 역할을 담당한다.
셋째로, 바이러스백신이다. 최근 신종 컴퓨터 바이러스가 속속 등장하여 극성을 부리면서 전세계에 걸쳐 점점 그 피해가 커지고 있고 그 피해규모도 갈수록 늘어나는 추세이다. 나아가, 컴퓨터 바이러스가 상대방 정보를 빼내거나 무력화시키는 고도의 해킹수단으로 이용되고 있어 바이러스 대책도 정보보안 차원에서 마련돼야 할 것으로 지적되고 있다. 이에 따라 해킹과 바이러스에 대한 대응을 따로 하던 기존 인식에 전환이 불가피해졌다. 즉 백신뿐 아니라 방화벽, 침입탐지시스템 등을 포함한 종합보안시스템 차원에서 문제를 해결해야 하는 것이다.
넷째로, 침입탐지시스템(IDS: Intrusion Detection System)은 전산시스템과 네트워크에서 송수신되는 모든 데이터의 움직임을 감시하는 시스템이다. IDS는 기업정보에 대한 크래킹을 감지하고 차단하는 역할을 한다. 이를 위해 네트워크에 접속해 전산시스템을 이용하려는 로그온, 명령어 입력 등 모든 접속 시도와 움직임을 감시한다. 시스템 로그온 기록을 저장, 의심이 가는 행동이 포착될 경우 즉시 침입을 차단하게 된다. 이 침입탐지시스템(IDS)은 해커의 공격형태가 점점 다양화됨에 따라 기존의 정보보호기술만으로는 정보시스템 또는 네트워크를 안전하게 보호할 수 없다는 인식과 함께 더욱 주목을 받고 있다.
이상 살펴본 바와 같이 사이버범죄에 대한 보안기술에는 여러 가지 다양한 방법이 있다. 그러나 이 보고서에서는 최초의 연구목적에 따라 암호기술의 중요성을 더욱 강조하고자 하며, 이하에서는 암호기술의 법적 규제에 대해서만 고찰하기로 한다.
Ⅲ. 암호와 암호기술
1. 암호사용의 필요성
사이버공간에서는 익명성이라는 그 특성상 상대방을 현실적으로 대면할 수 없는 상황이기 때문에 이용자의 신분을 전자적으로 확인하기 위한 특별한 형태의 확인수단이 요구될 뿐 아니라, 한편 공개적 구조를 갖는 사이버공간에서 타인에게 공개되어서는 안 될 필요가 있는 모든 전자적 내용을 불법적 접속으로부터 보호해야 할 당위성이 존재하게 된다. 이에 따라 사이버공간에서는 개인이나 기관 간의 정보전달과정에서의 보안의 수요가 발생하게 된 것이다. 이러한 보안의 수요는 컴퓨터의 대중적 보급에 따라 누구나 손쉽게 암호에 필요한 수학적 연산을 할 수 있게 됨으로써 이른바 암호의 발달을 촉진하게 된 것이다.
암호화된 기록은 정당한 권한이 있는 자, 즉 내용을 전달받도록 정해진 수신자나 암호화를 행한 자가 이렇게 암호화된 내용을 본래의 내용으로 전환하는 복호화 과정을 통해서 원래의 내용을 파악할 수 있다. 물론 복호화하는 방법은 복호화 권한이 있는 자만이 알고 있고 행할 수 있다. 나아가 복호화 권한이 없이도 암호화된 데이터의 내용을 알아내기 위하여 암호를 해독하는 기술도 함께 발전되어 왔으며 이러한 암호화와 암호해독기술은 서로간에 영향을 주며 동시에 암호기술을 발전시켜 왔다.
이러한 암호기술에 의한 암호사용의 필요성은 일반적으로 개인정보와 프라이버시 보호, 지적재산권 보호, 전자거래의 신뢰성과 안전성 확보 등에서 찾을 수 있다.
2. 암호기술의 종류
데이터를 암호화하는 방식은 기본적으로 대칭키 암호방식과 비대칭 암호방식(공개키 암호방식)의 두 가지가 있다. 대칭키 암호방식(Symmetric Cryptosystems)은 암호화하는 키와 복호화하는 키가 동일한 경우이며, 비밀키 암호방식 또는 공통키 암호방식이라고도 한다. 비대칭 암호방식(Asymmetric Cryptosystems)은 암호화하는 키와 복호화하는 키가 서로 다른 경우이며 암호화하는 키 또는 복호화하는 키를 공개하기 때문에 공개키 암호방식이라고도 한다.
(1) 대칭키 암호방식
대칭키 암호방식에서 사용하는 비밀키는 송신자와 수신자 이외에 제3자는 알 수 없으며 1970년대초부터 상업적으로 이용되어 왔다. 예컨대 상업적 용도로 사용된 최초의 대칭키 암호방식은 DES(Data Encryption Standard)이다. 대칭키 암호방식은 발신자가 키를 이용하여 평문을 암호화하고 누구든지 접근이 가능한 채널을 통하여 정보를 전달하면, 수신자는 비밀키(대칭키)를 이용하여 암호화의 역변환인 복호화 변환을 하여 원래의 평문을 복원하는 것이다.
이 방식은 동일한 키를 사용하기 때문에 처리속도가 빠르고 시스템 상에서의 효율성을 좌우하는 암호화키의 크기가 공개키 암호방식보다 작아 상대적으로 효과적인 암호시스템을 구축할 수 있다. 또한 암호알고리즘이 공개되어도 비밀키를 제3자가 추측하여 생성하기가 어렵기 때문에 송수신자는 안전하게 메시지를 교환할 수 있다. 그러나 대칭키 암호방식은 정보교환 당사자간에 같은 키를 공유하여야 하므로 여러 사람과의 정보교환시 한 사용자는 많은 키를 유지 및 관리해야 하는 어려움이 있다. 따라서 큰 네트워크상에서 키에 대한 신뢰성을 담보하기 위하여는 믿을 만한 제3자나 기관을 만들어야 한다. 대표적인 대칭키 알고리즘으로 DES와 IDEA를 들 수 있다.
(2) 공개키 암호방식
비대칭 암호방식(Asymmetric Cryptosystems), 즉 공개키 암호방식(Public Key Cryptosystem)은 대칭키 암호방식과 달리 두 개의 키를 이용한다. 즉 모든 사용자는 각각 자신의 공개키와 비밀키 쌍을 가지고 있는데, 자신의 비밀키 또는 공개키로 암호화한 암호메시지는 자신의 공개키 또는 비밀키로 다시 복호화하면 원래의 메시지로 복원된다. 따라서 공개키 암호방식의 사용자는 오직 자신의 개인키만 보관하면 되므로 네트워크상에서 대칭키보다는 훨씬 적은 수의 키로도 유지될 수 있다. 그러나 이 방식은 암호화를 위한 키의 크기가 상대적으로 크기 때문에 데이터처리량이 적고, 컴퓨터 수행능력이 떨어진다.
대표적인 공개키 암호방식은 RSA 암호방식인데, 이는 큰 정수를 소수로 인수분해하기 어렵다는 점을 이용한 알고리즘으로 현재 공개키에 대한 기본적인 접근방법으로 응용되게 되었다.
3. 암호기술의 순기능과 역기능
(1) 순기능
암호는 20세기 후반들어 정보의 자유화와 네트워크의 개방화라는 사회발전에 따라 새로운 기능과 목적을 가지게 되는데 현대 암호에서 말하는 기본적 암호의 기능에는 기밀성 보장기능 외에 무결성, 인증, 부인봉쇄 등의 기능들이 있다.
기밀성(Confidentiality)이라 함은 정보의 불법적인 공개로부터의 정보보호를 의미하는 것으로 개인의 프라이버시 보호 등이 이에 속한다. 즉, 전송되는 정보의 경우 문서의 수신자 이외의 사람에게 기밀이 유지되도록 하는 성질을 말하고, 보관되어 있는 정보의 경우 접근 가능한 사람 이외에 기밀이 유지되도록 하는 성질을 말한다. 전술한 바와 같이 현대의 암호학은 크게 비밀키 암호방식과 공개키 암호방식에 의하여 기밀성 유지를 실현하고 있다.
무결성(Integrity)은 불법적인 정보변조를 차단하는 것을 의미하며, 전송 또는 보관중인 정보를 제3자가 인가되지 않은 방법으로 위, 변조할 수 없도록 보호하여 원래 생성된 데이터의 완전성, 정확성, 일관성을 유지하는 것이다.
인증(Authentication)은 공개키 암호방식의 안전성을 보장하기 위한 기술이다. 이른바 공개키 암호방식의 안전성을 보장하기 위하여는 공개키와 비밀키의 안전한 보관 및 관리가 선결되어야 한다. 일반적으로 공개키 암호방식에서 비밀키는 각 사용자가 생성 및 관리를 하지만 공개키는 모든 사용자에게 공개해야 하므로 공개된 공개키의 불법변조, 사칭 등의 공격에 대한 안전한 관리대책이 필요하다. 전자인증은 이러한 공개키에 대한 공격요소들로부터 공개키를 보호하고 체계적으로 관리하여 공개키 암호방식의 안전성을 극대화하고자 하는 기술이다.
한편 부인봉쇄(Non-repudiation)는 발신인에게 데이터메시지를 귀속시키는 것을 말하는데 메시지의 근원, 발신 또는 수신과 메시지 내용의 무결성을 부인하는 것을 차단하는 것을 의미한다. 예컨대 구매자가 전자거래 쇼핑몰에 고가의 매수 청약을 한 후 훨씬 낮은 가격에 동일한 물건을 구입할 수 있음을 알고 그와 같은 청약의 의사표시를 한 적이 없다고 법률효과의 귀속을 부인하는 것을 거래의 안전을 위하여 봉쇄할 필요가 있는 것이다.
(2) 암호기술의 역기능
암호기술의 역기능은 곧 그 부정사용을 의미한다. 암호기술의 부정사용은 불법행위나 범죄활동의 계획, 공모, 수행을 은폐하기 위하여 통신이나 정보저장에 암호기술을 사용하는 것을 말하는바, 예컨대 다음과 같은 사례를 들 수 있다.
첫째, 간첩 및 스파이 행위에서의 사용이다. 암호사용으로 인해 법집행기관의 법집행능력 상실이 가장 우려되는 분야가 바로 국가안보이다. 국가안전과 외교정책상의 이익을 보호하고 공공의 안녕을 유지하기 위한 국가정보기관의 해외정보수집 능력이 대상국이나 집단이 강력한 암호를 사용함으로 말미암아 치명적으로 저하될 수 있는 것이다.
둘째, 조직범죄 및 테러리즘에서의 사용이다. 암호사용에 의해 제기될 수 있는 공공의 안전에 대한 위협으로는 기소에 필요한 증거확보의 실패, 범죄수사에 필수적인 정보수집의 실패, 재난적이고 위해한 공격에 대한 대비 및 회피 실패 등을 들 수 있다. 또한 암호는 수사를 지연시킬 수 있으며 수사비용을 증가시킬 수 있다.
셋째, 자금세탁에서의 사용이다. 암호기술은 부정자금의 이동 혹은 자금세탁에 사용될 가능성이 매우 높다. 예컨대 인터넷상의 카지노 영업사례는 자금세탁을 보다 용이하게 만들고 있는데, 이러한 인터넷거래의 추적불가능성, 고객의 익명성을 보장해주는 기술 등은 암호기술의 사용으로 보다 완벽하게 실행될 수 있게 될 것이다.
넷째, 탈세에서의 사용이다. 과거에는 과세자료가 주로 서류로 작성되었지만 과세자료가 디지털화되고 암호화되어 컴퓨터에 저장될 경우 세무조사 등 탈세혐의를 밝혀내기 위한 법집행이 매우 어려워질 것이다. 따라서 암호기술은 거래자료의 은닉에 의한 조세회피 혹은 탈세에 이용될 수 있으며, 정부의 조세징수권 집행능력을 상당히 제한할 수 있을 것이다.
한편, 암호기술의 폐해는 합법적 사용에 의한 경우도 있다. 기업과 개인의 중요한 메시지, 파일 혹은 통신의 기밀성과 내용을 보장하기 위한 암호의 합법적 사용 시에도 복호화에 필요한 키가 분실되었다든지 혹은 파손되었을 경우 중요한 정보에 대한 접근을 불가능하게 한다. 또한 정보의 소유자와 키의 보유자가 다를 경우 키 보유자의 직장 이탈, 사보타지(고의훼손) 등은 정보의 소유자로 하여금 정보에 대한 접근을 어렵게 만들 수 있다.
Ⅳ. 암호기술의 역기능 방지대책
1. 법집행력 확보의 필요성
암호사용의 순기능을 장려하고 그 역기능을 방지하기 위한 암호정책이 필요하다는 점에 대하여는 정부, 산업계 및 민간단체 간의 견해차이는 없는 것으로 보인다.
암호사용의 역기능을 방지하기 위하여는 불법적 암호데이터에 대한 수사기관의 법집행력 확보가 절대적으로 필요하다. 정부의 법집행기관, 즉 수사기관이 어떠한 행위가 범죄를 구성한다고 혐의를 두는 경우 행위의 구성부분이 암호사용으로 인하여 범죄수사를 심히 곤란하게 하거나 불가능하게 하는 경우 법원의 영장이나 명령을 통하여 그 암호문에 대응하는 평문을 입수할 수 있도록 해야 하는 것이다. 수사대상으로서 키를 규정하는 경우도 있고 평문을 규정하는 경우도 있을 수 있다.
암호사용의 증대는 국가, 기업의 비밀보호 및 개인의 프라이버시 보호, 안전한 전자상거래 구현 등의 순기능을 갖는 반면에, 암호가 범죄조직 등에서 조직의 비밀을 누설하지 않기 위한 수단 또는 사이버테러 등에 악용되는 경우에는 국가의 합법적 감청이 사실상 불가능하게 되어 국가안보, 공공의 안녕, 법집행력 등에 문제를 일으키는 역기능을 야기하는 것이다.
그런데 후술하는 바와 같이 현행 형사소송법상 컴퓨터데이터에 대한 압수수색 및 검증의 절차가 분명하게 규정되어 있지 않은 것으로 해석되므로, 이러한 암호의 역기능을 방지하기 위하여 수사기관의 적법한 수사절차를 확보함으로써 국민으로 하여금 범죄로부터 안전할 수 있도록 대책을 마련해야 할 것이다.
그러나 정부의 법집행력 확보만이 최선의 길은 아니다. 정부는 개인정보와 전자거래에 관한 정보 등 사회에 영향을 끼치는 정보보호에 관하여 충분한 보안성을 충분히 확보하기 위한 암호정책을 강구하여야 한다. 특히 암호수단에 관한 정부의 관리는 정부가 그 책임을 수행하기 위하여 필요최소한의 것으로 제한하여 사용자가 암호수단을 자유로이 선택하고 사용할 수 있는 권리를 침해해서는 안 되며, 정부는 그러한 규제를 하여서는 아니 될 것이다.
2. 키복구제도
불법적 암호데이터에 대한 정부의 합법적 수사권을 보장하기 위한 기술적 방법이 이른바 키복구시스템이다. 키복구시스템은 암호의 역기능에 대한 대응으로서 정부가 법에 근거하여 효율적으로 법집행력을 확보하게 할 수 있다. 그러나 데이터의 은닉에 사용되는 암호키가 아닌 데이터의 인증과 무결성을 위해서만 이용되는 암호키는 그 법적 소유자의 동의없이 이용되어서는 안 될 것이다.
현재 키복구에 대한 명확한 정의는 내려져 있지 않다. 일반적으로 키복구란 기밀성 목적의 암호사용에 있어서 암호화된 평문을 해독할 수 있는 키 또는 관련 정보를 제3자에게 위탁시키고 일정한 조건하에 위탁된 키 또는 관련정보 또는 평문을 적법한 권한 있는 자에게 인도하는 것을 말한다.
키복구의 개념이 등장하게 된 것은 암호의 사용이 증대될수록 중요한 정보를 암호화한 사용자가 해당키를 분실한 경우 그 경제적 손실을 만회하기 위하여 일종의 여벌키를 보관하고자 하는 상업적인 용도를 주장하는 산업계의 주장에 근거한 것이다. 그러나 정부가 주장하는 수사권의 확보를 위하여 키위탁이라는 개념이 등장한 시점에는 특히 미국의 경우 상업적인 고려가 완전히 배제되어 있었다.
그렇다면 상업적 용도의 키복구는 차치하고 정부의 수사권을 보장하는 방법으로 키복구가 유일한 방법인가 하는 의문이 있을 수 있다. 기술적으로 정부의 수사권을 허용하면서 암호의 자유로운 사용을 보장할 수 있는 암호사용제도는 키복구제도가 유일하다고 한다. 즉 키복구제도 이외의 대체가능성이 존재하지 않는다는 것이다. 결국 법집행력의 확보를 위한 정부의 키복구 필요성은 직접적으로 정부의 수사권의 필요성에 귀결된다고 볼 수 있다.
현재 암호의 범죄목적 부정사용을 방지하기 위하여 키위탁 및 키복구제도의 필요성은 크게 인정되고 있다. 그러나 범죄의 적발 및 수사기관의 사실입증, 증거수집을 효율적으로 보장하고 합법적인 통신감청을 가능하게 하는 이러한 키위탁 및 키복구제도에 대하여 민간단체들은 프라이버시를 침해하는 불필요한 제도이며 수사기관은 이 제도가 아닌 기존의 증거수집방법의 정교한 활용에 의하여 충분히 키에 접근할 수 있으며, 나아가 범죄자들이 키위탁제품들을 사용하지 않을 것이므로 키복구제도의 목적은 실패하게 될 것임을 주장하고 있다.
우리 나라도 1999년 키복구제도가 명시된 민간암호의 이용을 위한 법규를 제정하려는 시도가 있었으나 통신상의 암호데이터에 대하여 정부기관 등의 무제한적인 검열의 소지가 있다거나, 핵심기반분야인 암호기술을 정부가 지나치게 규제하면 산업 자체를 위축시킬 가능성이 크다는 각계의 비판이 제기되면서 암호법 제정논의가 흐지부지된 바 있다.
Ⅴ. 암호에 관한 법규와 정책
1. 암호기술의 규제에 관한 국제동향
미국에서는 1993년에 발표한 Clipper Chip이나 Skipjack을 기초로 하는 키 에스크로 구상 이후, 법제화를 도모하는 정부기관과 그에 반발하는 프라이버시 보호단체나 암호제품 판매자와의 대립이 계속되고 있다.
유럽에서는 키위탁기관, 키복구기관, 인증기관의 역할을 담당하는 TTP(Trusted Third Party)라는 개념을 창안하여, 이에 기초한 키위탁/키복구제도의 도입을 도모하는 연구가 행해져 왔다. 이는 국가의 인가를 받는 TTP에 비밀키 제출을 의무화하는 것으로, 미국형의 제품공급측에 대한 규제와는 다른 어프로치의 합법적 억세스가 가능하다.
그러나 현 단계에서는 TTP 도입에 적극적이었던 프랑스나 영국에서도 TTP에의 키위탁을 의무화하는 어프로치는 그 논조가 약해졌다. 또한 ETSI(유럽전기통신표준화기구)에서도 TTP에 관한 유럽표준을 책정하려는 움직임이 보였지만, 현재는 동결되어 있다.
한편 법집행기관에 의한 암호데이터의 평문 또는 비밀키에의 합법적 접근에 대하여는 법집행기관측의 수요가 높아, 프랑스나 영국에서도 법제화가 추진되고 있다.
아시아 각국에서는 키위탁/키복구제도의 도입에 관한 정책은 아직 보이지 않는다. 그러나 몇몇 국가에서는 OECD 암호시책 가이드라인의 공시와 전후하여, 법집행기관에 의한 암호문해독을 합법화하는 움직임이 발견된다.
2. 우리 나라의 암호관련 법규와 정책
전통적으로 암호는 국가 비밀보장의 도구라는 관점에서 사용되어 왔으므로 우리 나라의 암호에 관한 법규 역시 그러한 관점에서 입법되어 왔다. 이러한 전통적 가치관에 입각한 암호관련법률로는 예컨대 국가정보원법과 보안업무규정, 사무관리규정, 군형법, 비밀보호규칙 등을 들 수 있다.
암호에 관한 핵심법률은 국가정보원법(법률 제5681호 일부개정 1999.1.21)이다. 동법 제3조는 직무에 관한 규정을 두어 제1항 제2호에서 국가기밀에 속하는 문서․자재․시설 및 지역에 대한 보안업무를 국가정보원의 직무로 규정하고, 동조 제2항에서 제2호의 직무수행을 위하여 필요한 사항을 대통령령으로 정하도록 하고 있다. 이에 따라 대통령령으로서 보안업무규정(대통령령 제16211호 일부개정 1999.3.31)을 두어 국가정보원법 제3조 제2항의 규정에 의하여 보안업무수행에 필요한 사항을 규정하고 있다.
기타 보안업무규정 제2조, 제7조 제1항, 제8조, 제21조 제1항, 제22조 등과, 군형법 제14조, 제81조, 사무관리규정 제17조, 비밀보호규칙 제42조, 제45조 및 선거관리위원회 사무관리규칙 제17조 등이 암호에 관하여 다양하게 규정하고 있다.
한편, 정보시대의 도래에 따라 현행법규에서도 현대적 암호에 관한 규정을 두고 있는데, 먼저 기밀성을 위한 암호에 관하여는 전자거래기본법이 관련규정을 두고 있다. 전자거래기본법 제18조 제1항은 전자거래당사자 등은 전자거래의 안전성 및 신뢰성을 위하여 암호제품을 사용할 수 있다고 암호제품의 사용을 원칙적으로 허용하고 있다. 그러나 동조 제2항은 정부가 국가안전보장 등을 위하여 인정하는 경우에는 암호제품의 사용을 제한할 수 있으며, 암호화된 정보의 원문 또는 암호기술에의 접근에 필요한 조치를 취할 수 있음을 규정하여 국가통제의 가능성을 광범위하게 열어놓고 있다. 그 외에도 제20조에서는 암호화 등 전자거래의 안전성 및 신뢰성의 확보에 관한 사항에 대해 전자거래 촉진계획을 수립․시행할 것을 국가에 의무화하고 있다. 그러나 이 전자거래기본법은 전자문서를 사용하는 거래를 적용범위로 하고 있기 때문에 그 외의 정보통신상의 암호일반에 모두 적용되는 것은 아니라고 할 것이다. 기타, 전기통신기본법 제33조, 정보화촉진기본법 제15조 제1항, 대외무역법 제21조, 제54조 제2호, 전자서명법 제21조 등이 암호관련 규정을 두고 있다.
Ⅵ. 우리 나라의 암호정책 도입필요성
1. 국가안보와의 관계
앞에서 살펴본 바와 같이 강제적 키복구제도는 여러 가지 항목에서 비판을 받고 있고 국제적 동향도 암호규제를 완화하는 경향에 있는 것이 현재의 상황이다.
그러나 우리 나라의 경우는 분단상황이라는 특수한 현실에 처해 있으므로 다른 나라의 국가안보적 관점보다는 훨씬 강화된 국가안보의 필요성이 제기되며 이에 따라 암호의 공공질서적 가치가 더욱 중대하게 작용할 것으로 생각된다.
따라서 이러한 우리의 특수한 현실을 반영할 경우 국제동향보다는 좀더 앞서서 강제적 키복구제도를 수용하고 정부의 적법한 수사권을 인정하여야만 국가안보와 법집행력을 확보할 수 있을 것이다. 다만 OECD 가이드라인에서 민간주도, 사생활보호 등의 원칙을 최대한 존중하여야 한다는 제한이 부과되어 있고 우리 헌법에서도 기본권이 국가적 통제보다 우선적인 것으로 다루어지고 있을 뿐 아니라 외국에서의 우려와 마찬가지로 강제적 키복구제도의 적용은 암호산업의 발전을 위축시키고 민간의 암호이용에도 악영향을 미칠 것이다. 따라서 강제적 키복구제도를 도입함에 있어서도 자발적인 키복구제도 병행 등 많은 노력이 있어야 할 것이다.
국가안보와 관련하여서는 미국과 같이 적성국에의 암호수출을 규제하는 정책이 필요할 것이고 국가기밀에 관한 암호의 개발 및 제작은 국가가 전담해야 할 것이며 국가기밀유지를 위한 암호의 이용도 필요최소인원에게만 허용하는 현재의 정책이 고수되어야 할 것이다.
법집행력과 관련하여서는 범죄목적의 암호사용 비율이 현재 그다지 높지 않다 하더라도 법익보호를 위한 필수조치로서 법집행력의 확보가 필요할 것이다. 이를 위하여는 영국에서와 같이 산업계와 국가가 긴밀한 협조관계를 수립함으로써 민간의 암호기술발전에 뒤지지 않는 국가의 암호기술 보유를 기해야 할 것이다. 또한 국가의 복호능력 제고를 위하여 복호지원을 위한 전문기구의 설립도 필요한바 이는 미국과 영국 등에서 설립을 고려하고 있는 것과 보조를 맞추게 될 것이다.
2. 불법암호데이터에 대한 형사소송법상의 수사절차
우리 형사소송법은 압수수색의 대상물을 물건에 한정하고 있고, 특수매체기록이나 전자문서에 대하여 증거조사방법을 규정하고 있지 않으며, 특수매체기록이나 전자문서에 대하여 전문법칙 규정이 없는 점 등을 감안할 때 정보사회에 기반을 두지 않은 것으로 보아야 한다.
암호는 전자문서나 통신을 그 대상으로 하므로 전자문서에 대한 형사소송법상의 수사절차를 살펴볼 필요가 있다.
먼저 임의수사원칙은 정보범죄에 대하여도 무리없이 적용될 것이다. 예컨대 정보범죄의 증거를 가지고 있는 자가 증거 또는 복호키를 임의로 제출하거나 출력행위에 협조하는 경우이다. 이 경우 서버 관리자의 권한으로 증거를 조사해야 하는 경우 당해 서버관리자의 협조를 얻어야 함은 물론 일반 사용자의 데이터에 대하여는 그 소유자의 동의도 획득해야 할 것이다. 그렇지 않을 경우 형법 제316조 제2항의 비밀침해죄를 구성할 수 있기 때문이다.
강제수사에 있어서는 영장주의가 예외없이 적용된다. 영장주의란 법관이 발부한 적법한 영장에 의하지 아니하고는 수사상 필요한 강제처분을 할 수 없다는 원칙을 말한다. 디지털 데이터에 대한 압수수색은 정보적 자기결정권을 비롯한 기본권을 침해하므로 강제수사에 해당하고 따라서 영장주의가 적용되며, 이는 저장된 데이터에 대하여뿐 아니라 전송중인 데이터에 대한 통신제한조치에도 적용되어야 한다. 통신중인 데이터는 통신비밀보호법상의 통신제한조치의 대상물에 포함되므로(제2조 제3호) 동법의 적용을 받지만, 저장된 데이터의 경우 형사소송법상의 압수수색에 관한 규정(제106조-138조, 제215조-220조)이 적용되는가에 대하여는 견해가 갈린다. 왜냐하면 형사소송법은 압수수색의 대상물을 물건, 즉 유체물에 한정하고 있기 때문이다.
우리 형사소송법 제106조는 증거물 또는 압수할 것으로 사료하는 물건을 압수대상으로 하고 있고, 수색이란 압수할 물건이나 피의자 또는 피고인을 발견하기 위하여 사람의 신체나 물건 또는 일정한 장소를 뒤져서 찾는 강제처분이다(형사소송법 제109조, 제219조). 즉, 전자기록 자체는 유체물이 아니므로 압수의 대상물에 포함되지 않는다고 해야 한다. 그런데 형법에는 전자기록을 수단 또는 대상으로 하는 새로운 범죄유형을 신설하고 있으므로 그러한 범죄의 흔적은 전자적 데이터에 대하여 압수수색의 대상에 포함시켜 규정하거나 아니면 새로운 강제처분을 규정하는 입법적 조치가 필요할 것이다. 그러나 데이터나 프로그램 자체가 아니라 그것이 기록된 출력물, 자기테이프나 플로피디스크, 하드디스크 등은 유체물이므로 당연히 압수의 대상이 될 수 있을 것이다.
현행법상 압수수색의 목적물에 전자적 데이터가 포함되지 않는다고 본다면 이 문제는 입법에 의하여 해결할 수밖에 없다. 입법에 의하여 전자기록을 압수수색의 대상에 포함시키거나 새로운 강제처분을 규정하는 경우에는 범죄와의 관련성이 없는 정보가 함께 기록된 시스템이나 기록매체에 대한 처분에 있어서는 그 대상을 확정해야 하는바, 예컨대 통신망에 연결된 다중사용자시스템을 압수하는 것은 허용되지 않으며 또는 모든 전자기록을 압수대상으로 할 수도 없을 것이다. 이는 일반영장을 허용하지 않는 영장주의의 취지상 당연하다.
정당하게 압수한 디스켓 등 매체에서 수사기관이 그 내용을 알아내는 것은 마치 봉함이나 자물쇠를 여는 것과 같은 필요한 처분으로서 현행법상 허용된다고 할 것이다. 아울러 그 내용을 출력하는 행위도 마찬가지로 보아야 할 것이다. 이와 관련하여 운영체제나 응용프로그램이 특정 시스템하에서만 작동되는 경우 운영자 등 관련자의 협조가 필수적인데 수사기관이 이러한 관계자에게 전자문서의 출력을 강제할 수 있는가가 문제된다. 이에 대하여 법원의 제출명령은 별론으로 하고, 형사소송법 제120조와 제210조에 따라 컴퓨터증거에 대한 압수, 수색시 필요한 처분의 하나로서 출력을 강제할 수 있다는 긍정설과 이는 현행법상 인정하기 어려운 것이라는 부정설이 대립하고 있다. 피의자의 진술거부권 등을 고려할 때 출력을 강제할 수는 없다고 보아야 할 것이다. 따라서 입법에 의하여 법원의 영장을 통하여 이것이 가능하도록 해야 할 것이다.
데이터를 출력한 서면의 증거능력은 인정되지만, 영속성․가시성․가독성을 결하는 전자기록 자체는 서면이라 할 수 없기 때문에 증거능력이 인정되지 않는다고 보아야 한다. 그러나 예외적으로 법령에 의하여 서면성이 인정되는 전자기록, 예컨대 자동차등록업무에 관한 전자기록(자동차관리법 제29조), 전산처리된 지적대장(지적법 시행령 제28조), 전자서명법에 의하여 서면성을 인정받은 전자기록(전자서명법 제3조) 등은 전문법칙이 적용되며 증거능력이 인정된다. 전자기록의 증거능력에 관한 형사소송법 규정의 보완이 필요하다고 생각된다.
3. 암호이용촉진법 추진동향
지난 1999년에 민간암호사용을 위한 법규를 제정하려는 시도가 국가정보원, 정보통신부 등에 의하여 시도되었다. 국가정보원은 전문가들로 실무팀을 구성하여 민간 암호사용과 키 복구제도를 명시한 암호법 제정을 추진하였으며, 정보통신부도 민간의 암호이용을 촉진하고 암호산업을 육성하기 위한 가칭 암호이용촉진법의 제정을 밝혔다. 그리고 한국정보보호진흥원에서는 키복구기술을 개발하기로 하였다.
그러나 당시 시민단체들은 통신상의 암호데이터에 대하여 정부기관 등의 무제한적인 검열의 소지가 있다며 키복구제도에 대하여 극히 부정적인 입장을 취하였고 정보보호법계도 핵심기반 분야인 암호기술을 정부가 지나치게 규제하면 산업자체를 위축시킬 가능성이 크다며 회의적인 반응이었다.
결국 암호법 제정논의는 키복구제도에 대한 정부 각 기관과 민간단체 및 산업계의 입장차이를 극복하지 못하였을 뿐 아니라 세계 최초로 이 분야의 입법을 시도하는 것에 대한 부담이 작용하여 논의가 흐지부지되고 말았다. 그러나 공식적으로 입법을 포기한다는 의사표현은 없었으므로 추후 어떠한 방식으로든 재개될 가능성은 남아 있는 셈이다.
암호관련제품의 생산과 수출, 그리고 사용에 이르는 암호와 관련된 모든 활동을 포괄하는 암호정책 방향에 대한 법적 고찰은 실제적이고도 사실상의 필요성에 근거하고 있다. 개인의 프라이버시를 보호하고 국가의 국방 및 외교상의 기밀을 보호하며 범죄단체나 테러단체의 악용을 방지해야 할 뿐만 아니라 전자거래의 발전을 위해서도 반드시 필요하기 때문이다. 그러나 암호의 사용을 어느 정도의 수준으로 보장하고 규제해야 할 것인지를 확정하는데는 큰 어려움이 있는 것이다.
국가정보원과 정보통신부가 제정을 추진했던 암호이용촉진법 초안은 국회에 상정할 만큼 충실히 다듬어진 상태가 아닐뿐더러 일반에 공개도 되지 않은 문서이므로 여기에서는 초안에 제시된 입법의 필요성과 주요내용만을 소개하기로 한다.
먼저 입법의 필요성에 대하여 동 초안은 정보화진전에 따라 정보시스템 해킹, 개인정보 유출 및 위변조 등 역기능이 증가하므로 이러한 역기능에 대응하기 위하여는 중요정보를 보호할 수 있는 암호사용이 필수요소이고 따라서 정보화진전에 상응하도록 암호사용에 관한 제도를 정립하고 21세기 고부가가치 산업으로 기대되는 정보보호산업을 육성시키기 위한 기반을 조성하기 위함을 제시하고 있다.
초안에 담겨진 주요내용은 첫째, 암호제품의 사용에 대한 내용, 둘째, 암호제품의 제작 및 판매에 대한 내용, 셋째, 암호제품의 수출입에 대한 내용, 넷째, 범죄수사를 위한 암호복구정보에 대한 접근절차, 다섯째, 국가안보를 위한 암호복구정보에 대한 접근절차, 여섯째, 암호기술 개발에 관한 내용, 일곱째, 암호산업 육성에 관한 내용 등이다.
Ⅶ. 결론 및 제언
서두에서 살펴본 바와 같이 컴퓨터와 인터넷이 보편화된 오늘날의 상황하에서는 사이버공간에서의 정보보호 내지 정보보안 및 본인확인을 위한 기술적․법적 대책이 절대적으로 필요하다. 이러한 필요성에 입각하여 정보보안의 강력한 해결수단으로서의 암호 및 암호정책에 대한 법제도적 연구와 결실이 적극적으로 요망되는 바이다.
현재 우리의 법제는 전자거래상의 무결성, 진정성, 부인봉쇄를 확보하기 위한 전자서명과 인증기관에 대하여는 법률화되어 있으나 암호에 관한 포괄적인 입법은 추진되지 않고 있을 뿐 아니라 논의가 중단된 상태이다. 그러나 세계적으로 정보보안의 수요를 충족시키기 위한 암호기술이 급속히 발전하고 있고 이에 따라 국내산업으로서의 암호산업을 육성하고 보호해야 하는 차원에서는 어떠한 형식으로든 입법에 의한 보다 체계적인 정책개발이 필요하다고 생각된다. 다만 입법에 있어서는 가칭 암호이용촉진법과 같은 특별법을 제정하는 방법과 아니면 대외무역법 및 형사소송법 등 관련법령을 일부 정비하는 방법의 두 가지가 있을 것으로 생각한다.
먼저 암호이용법의 제정에 대하여는 과거 국가정보원을 비롯하여 정부기관에서 이를 추진하려한 바도 있었고 몇몇 논문과 보고서에서 그 이론적 뒷받침을 제시하기도 하였다. 이제까지 주장된 암호이용법 제정의 필요성을 요약하면 다음과 같다.
첫째, 암호의 이용 및 활용을 촉진하기 위한 입법이 요망된다. 암호는 종전까지 국가의 전유물로서 국가보안을 위한 역할에 머물러 있었으나 정보사회의 발전에 따라 민간영역에서의 정보보안의 수요가 급증하고 있고 이를 위한 도구로서 암호가 활용되고 있으므로 이러한 암호의 이용 및 활용을 촉진하고 체계적으로 규율하기 위한 입법이 필요하다.
둘째, 암호의 역기능, 즉 부정사용을 방지하기 위한 입법이 요망된다. 정보보안을 위한 암호사용의 증대는 국가와 기업의 기밀보호 및 개인의 프라이버시 보호, 안전한 전자상거래 구현 등의 순기능을 가지고 있지만, 암호가 범죄 등에 악용될 경우에는 법집행력 확보에 심각한 문제를 야기할 수 있으므로 암호의 부정사용을 방지하기 위한 입법이 필요하다. 그러나 암호의 역기능을 방지하기 위한 지나친 암호사용 규제는 이른바 표현의 자유 등 개인의 기본권을 침해할 염려가 있기 때문에 암호의 역기능을 적절히 방지하고 개인의 기본권을 아울러 보장할 수 있는 조화된 법규 제정이 필요한 것이다.
셋째, 암호기술의 개발과 제작, 판매를 장려하고 수출입을 적절히 규율하기 위한 입법이 요망된다. 암호정책의 구체적 내용은 민간부문에서 사용되는 암호에 대하여는 자유로운 암호기술의 개발과 제작 및 판매 그리고 수출입이 이루어지도록 보장하는 것을 원칙으로 하고 국가기밀의 유지 및 보호를 위한 암호의 개발 및 수출입규제는 최소한도로 행해지도록 해야 할 것이다.
넷째, 불법적 암호정보에 대한 적절한 수사절차가 필요하다. 암호의 부정사용을 이유로 한 수사기관의 압수수색절차가 적정하게 규정되지 않을 경우 개인의 기본권을 침해당하기 쉽기 때문이다. 형법, 형사소송법 등 기존 형사절차와 관련하여서도 디지털정보로서의 특징을 갖는 불법적 암호정보의 수사절차에 관한 법률규정이 요망된다.
다섯째, 암호키의 위탁과 복구는 안전성과 신뢰성을 기본 바탕으로 하여야 하므로 부실한 기업이나 기관이 암호사업을 할 수 없도록 그 설립의 기준에 관한 내용이 입법으로 해결되어야 할 것이다. 또한 국가가 암호기술, 키위탁 또는 키복구기술의 개발에 대하여 지원할 수 있는 지원센터에 대한 입법도 요망되는 바이다.
그런데 이러한 가칭 암호이용법의 내용을 살펴보면 결국 두 가지 관점이 포함되는 것으로 생각할 수 있다. 첫째는 국가가 정보보안을 위하여 암호이용을 장려하고 나아가 암호기술의 개발과 암호산업을 육성하기 위하여 국가의 지원에 대하여 규정하는 등 암호산업의 발전을 위한 관점을 들 수 있을 것이고, 둘째는 암호기술의 범죄이용 등 부정사용을 방지하기 위하여 불법 암호데이터에 대한 수사기관의 합법적 접근을 보장하기 위한 규제의 관점을 들 수 있다.
그러나 이러한 입법방식은 법안의 명칭을 암호이용촉진법으로 정하고 또한 그 입법에 있어서 암호이용촉진에 주안점을 두고 암호사용을 규제하는 쪽으로 기능하지 않도록 유의한다고 하더라도 어쨌든 국가가 개인 및 기업의 암호제품에 대한 제한없는 검열을 가능하게 할 소지가 분명히 존재하기 때문에 결국은 암호이용촉진법이 아니라 암호이용규제법으로 전락할 소지가 크다는 문제점을 안고 있을 뿐 아니라, 전자거래의 활성화와 정보통신망의 발전을 염두에 둘 때 불필요한 법적 규제를 양산하는 결과밖에 될 수 없을 것으로 생각된다. 종래 암호이용법의 입법논의가 중단된 것도 이러한 점에 핵심이 있지 않았나 싶다.
따라서 가칭 암호이용법의 제정이 현단계에서 어렵다거나 불필요한 작업이라고 한다면 위의 입법필요성은 관련법령의 정비를 통하여 해결할 수밖에 없을 것으로 생각된다.
먼저 암호제품의 사용에 대하여는 이미 전자거래기본법 제18조 제1항이 전자거래당사자 등은 전자거래의 안전성 및 신뢰성을 위하여 암호제품을 사용할 수 있다고 암호제품의 사용의 자유에 대하여 원칙적으로 선언하고 있다. 따라서 암호제품의 개발을 장려하고 암호산업의 발전을 위하여 국가에서 지원해 줄 수 있는 제도적 장치만 마련하면 될 것이다.
다음 암호의 범죄이용 등 부정사용을 방지하기 위하여 관련 규정의 정비가 필요하다는 내용과 관련하여 범죄행위에 암호를 이용하는 행위를 별도의 범죄행위로 규정할 필요는 없을 것이다. 또한 이미 전자거래기본법 제18조 제2항은 정부가 국가안전보장 등을 위하여 인정하는 경우에는 암호제품의 사용을 제한할 수 있으며, 암호화된 정보의 원문 또는 암호기술에의 접근에 필요한 조치를 취할 수 있다고 규정하여 국가통제의 가능성을 광범위하게 열어놓고 있는 상황이다. 다만 국가안전보장과 관련되지 않는 일반 범죄목적의 불법 암호데이터에 대하여는 그 수사절차와 관련하여 현행 형사소송법에 의해서는 유체물에 대하여만 압수수색을 할 수 있다는 해석이 있으므로 좀더 분명한 규정을 위하여, 증거물 또는 압수할 것으로 사료하는 물건을 압수대상으로 하고 있는 형사소송법 제106조를 개정하여 증거물 또는 압수할 것으로 사료하는 물건이나 전자기록으로 표현하는 것을 하나의 방안으로 제시하고 싶다. 이 경우와 정확히 일치하는 규정은 아니지만, 독일 형사소송법의 경우 동법 제98조a (개인관련 데이터의 기계적 비교조사)가 마약류거래, 무기거래, 통화 또는 유가증권위조의 영역, 국가보호의 영역, 공공위험범죄의 영역, 신체, 생명, 성적 자기결정권 또는 개인적 자유 영역, 범죄단체조직 등 다양한 범죄에 대하여 전자데이터를 비교조사할 수 있도록 규정하고 있고 동법 제98조b가 비교조사 명령권에 대하여, 그리고 동법 제98조c가 수사목적의 데이터비교조사에 대하여 각각 적절히 규정하고 있는 것이 참고가 될 것이다.
다음, 암호의 수출입에 대하여는 대외무역법 제21조에서 통산산업부장관이 국제평화와 안전의 유지 및 국가안보를 위하여 필요하다고 인정하는 때에는 공고하는 전략물자를 수출하고자 하는 자에게 관계행정기관의 장의 수출허가를 받게 할 수 있도록 규정하고 있고 제54조 2호에서는 허위 기타 부정한 방법으로 전략물자수출허가를 받거나 수출허가를 받지 아니하고 전략물자를 통상산업부장관이 공고하는 수출제한지역으로 수출하는 경우 5년 이하의 징역이나 수출가액의 3배 이하에 해당하는 벌금을 부과하도록 규율하고 있으므로 이 규정에 의하여 암호데이터도 적절히 규제할 수 있을 것으로 보는 견해도 있으나 이 법의 규율대상은 물건에 한정된다고 보아야 하므로 좀더 분명한 규정을 위하여 형사소송법 규정의 개정문제와 마찬가지로 전자기록을 포함할 수 있도록 개정할 필요가 있을 것이다.
그리고 암호키의 위탁과 복구는 안전성과 신뢰성을 기본 바탕으로 하여야 하므로 그 설립 기준에 관한 내용의 입법적 해결이 필요하다는 점에 대하여, 강제적 키복구제도를 채택하는 것이 무리라고 생각되는 이상 이를 특별히 입법으로 해결할 필요는 없을 것이다.
보다 중요한 것은 암호의 부정사용에 대한 방지를 위하여 암호키를 강제로 위탁하게 하는 시스템을 채용할 것이 아니라, 암호기술개발을 전문으로 하는 보다 전문화된 부서를 설립하거나 또는 한국정보보호진흥원 등 기존 국책연구기관의 자원을 좀더 확충하여 암호기술의 개발 및 향상을 도모함으로써 추후 암호의 부정사용에 대하여 언제든지 대처할 수 있는 능력을 갖추는 일이라 할 것이다.
끝으로 암호데이터를 포함한 디지털데이터에 대한 적법한 수사절차에 관한 관련법령의 개정 필요성을 사이버범죄방지조약에서도 찾을 수 있다는 말을 첨언하고자 한다. 현재 유럽을 중심으로 이른바 사이버범죄방지조약이 체결되어 발효를 앞두고 있는데, 이 조약에는 유럽 회원국 뿐만 아니라 조약의 성안 단계에서 많은 참여를 해온 미국, 캐나다, 남아공, 일본 등 비회원국도 가입을 한 상태이다. 이 조약에는 해킹 등 사이버범죄행위에 대하여 각국이 관련 입법을 해야 한다는 의무조항을 두고 있을 뿐 아니라 범죄관련 컴퓨터데이터에 압수수색을 강제할 수 있는 규정을 두도록 규정하고 있기 때문에 이 조약이 발효될 경우 앞에서 서술한 불법 암호데이터에 대한 적법한 수사절차의 법적 근거로 작용할 수 있을 것을 예상할 수 있다. 미국, 유럽 등 선진각국에서 불법암호데이터에 대한 수사권을 규정하지 못하고 있는 이유가 표현의 자유 침해를 이유로 한 민간단체의 주장 때문이라고 하였는바 동 조약의 인준과정에서도 같은 이유로 상당한 반대에 부딪칠 가능성이 있다. 하지만 현재 동 조약이 유럽과 주요선진국의 합동노력에 의하여 가입된 상태이므로 어떻게든 인준을 통과할 가능성을 강력히 시사하고 있으므로 차후 우리 나라도 결국 동 조약에 가입하지 않을 수 없는 상황이 될 것을 예상한다면 전술한 바와 같이 형사소송법 등 관련 조항을 개정할 필요성이 있는 것이다.