프랑스 사이버안보 법제— 정보시스템 보호 관련 논의를 중심으로 —

Abstract

사이버안보법 체계를 정립하기 위해서는 국경이 없는 사이버공간의 특성상 외국 법제의 동향을 파악하고 이를 반영해나가지 않을 수 없다. 이 연구는 프랑스 사이버 안보 법제를 정보시스템 보호 관련 논의를 중심으로 검토한다. 프랑스 법제에 관한 연구는 최근에 들어서야 조금씩 증가하고 있는데, 2008년 프랑스 국방백서의 발간 이래로 프랑스는 정보시스템보안 문제에서 능동적인 방어전략을 취해 왔고, 크고 작은 테러가 빈발했던 2015-2016년을 기점으로 다시금 법체계를 정비하였다는 점에서 검토할 가치가 있다. 이 연구의 초점은 사이버안보 영역에서의 행정법적 쟁점이다. 즉, 공익활동수행의 주체로서의 국가가 정보와 정보시스템을 어느 범위까지 통제하고 관리할 수 있을 것인가에 대한 것이다. 과거에는 국가가 수집한 정보 그 자체와 국가의 정보시스템을 보호하고자 노력하였다면, 통신망이 점점 더 촘촘하게 연결되고 그에 대한 의존도가 점점 더 높아지고 있는 현재 상황에서는 국가의 정보와 정보시스템뿐 아니라 국가의 존립에 영향을 줄 수 있는 정보시스템을 관리하는 기업도 보호하고 관리할 필요가 생겨나고 있다. 이 글에서는 사이버안보 관련 법적 논의의 대상을 ‘정보시스템에 대한 보호’에 한정하고, 이러한 쟁점을 프랑스가 어떻게 바라보고 풀고 있는지를 찾고자 한다. 그리고 그 관점에서 법체계의 연혁 및 현황을 개관하고, 관련된 쟁점으로 국가정보시스템보안청(ANSSI)과 같은 통제 내지 지원 주체와 필수기반시설운영자(OIV)와 같은 협력주체 내지 지원 객체 간 법적 관계를 검토한다. Afin d'etablir un systeme legal sur la cybersecurite, il est inevitable de comprendre et d'appliquer les tendances de la legislation etrangere en tenant compte de la caracteristique du cyberespace qui n'a pas de frontiere. Parmi ces legislations etrangeres, la legislation francaise retient de plus en plus l'attention. Depuis le Livre Blanc de 2008, la France a adopte des strategies de defense actives en matiere de protection des systemes d’information. En outre, la France a reorganise ses systemes juridiques apres avoir connu des terreurs en 2015-2016. L'un des problemes lies a la cybersecurite en droit administratif concerne la maniere de definir la limite de la portee de contrôle et de gestion de l'information par l'Etat. En raison de la densite croissante des reseaux de communication, les Etats doivent s’efforcer non seulement de proteger les informations qu’ils ont collectees, mais egalement de proteger les systemes d’information des grandes entreprises. Cet article limite l’objet de l’argumentation juridique a la «protection du systeme d’information» et cherche a determiner comment la France et l’Union europeenne resolvent le probleme. Et dans cette perspective, l'article vise a donner un apercu du systeme juridique actuel en matiere de cybersecurite en France ainsi que de son histoire. Des questions connexes, telles que la relation juridique entre le contrôleur et le contrôle du systeme d’information, seront examinees en detail.