본 글은 미국의 정보통신망의 보호에 대한 정부규제와 자율규제, 그리고 업계의 자발적인 노력에 대한 실태 조사를 목적으로 쓰였다. 미국의 정부규제에 비추어 우리가 차용할 수 있는 정부규제와 정부규제를 적용하기 전에 자율규제를 통하여 같은 목적을 성취할 수는 없는지, 또한 기술적인 부분에서 업계의 노력이 더해진다면 정부의 효율적인 자원의 이용이 될 수는 있지 않은지 살펴 보고자 한다. 미국의 자율규제에 대한 실태조사를 통해 호주와 일본의 모범사례를 발견하여 두 사례도 간략히 다루었다. 미국의 사이버보안에 대한 연방법과 미국정부 보고서를 살펴본 결과 미 연방법에서는 타인의 컴퓨터나 네트워크에 접근하여 타인의 컴퓨터나 시스템에 손상을 입히는 여러 행위들을 규정하되 사생활의 보호와 범죄의 방지와 처벌이라는 두 가치의 공존을 위한 균형을 조심스럽게 찾고 있다. 정부보고서에서는 미 정부가 강력한 리더쉽을 가질 것을 제안하지만 정부의 일방적인 주도에 의한 사이버보안보다는 정부와 민간기업의 공조를 통한 사이버 보안을 이룰 것을 촉구하고 있다. 미국의 자율규제 환경을 살펴보면, 정부주도의 규제보다는 모범 사례의 발굴 및 홍보를 통하여 사용자 보안을 추구하는 것이 보다 효율적이라는 미국 정부의 인식을 엿볼 수 있다. 그 어떤 분야보다도 발전의 속도가 빠른 IT산업의 특성상, 정부는 네트워크의 위험을 줄이고 치명적인 의존 상태가 어디에 있는지 찾아내어 위협을 감소시킬 수 있는 방법을 제시하는 역할에 충실하고, 그 구체적인 적용에 대해서는 각 산업별로, 그리고 서비스제공자별로 모범 사례를 찾아서 널리 장려하는 방법이 효과적이라고 미국 정부는 보았다.정부 주도의 규제 방식, 특히 정부가 주체가 되어 사용자 컴퓨터 사용 환경을 모니터링하는 방식에는 사용자와의 “신뢰 모델”을 깨뜨릴 수 있다는 위험이 상존하며, 그러한 경우 정부로서는 “사생활의 보호”와 “정부와 사용자간 신뢰 구축”이라는 두 가지 문제를 해결해야 하는 부담을 안게 된다. 그러한 이유로 미국 정부는 “신뢰 모델”과 “사후 조치 모델”이라는 기조를 취하게 된 것이다. 충분한 사용자 교육을 전제로 하여, 업계의 자율적 규제를 보충하고 사후 처벌을 위한 수단으로 사용될 때 정부 규제는 그 효과를 극대화할 수 있을 것으로 보인다.

The purpose of this paper is to research the government and market regulation as well as industry's self-regulation in achieving the information network security system in the U.S. This paper reviews the U.S. government regulation for our reference, and then reviews the market regulation to check the possibility of achieving the same goals through a market regulation before the government steps in, and then reviews the industry's self-regulation for more efficient allocation of government resources in case the network security could reach a certain level of comfort through industry's technical innovation. The review of the U.S. federal legislation and the government's studies on cyber security indicates that the U.S. government's approach toward the cyber security tries to strike a sensitive balance between the two important values, the privacy protection and the deterrence of cyber crimes and punishment. The U.S. government study calls for strong government leadership in cyber security, but only through a close collaboration with the private sector. The review of U.S. market regulation also indicates that it may be more efficient to achieve cyber security through identifying industry best practices and user education than introducing the government regulation before the market gives its honest and best efforts for self-regulation. Given the very fast moving nature of the IT industry, rather than taking a more proscriptive approach, the U.S. government has taken the position that the government's role is to focus on ways to minimize risk and identify critical inter-dependencies to help lessen the threat and to identify the best practices of each industry and service providers. The proscriptive regulation led by the government, especially, the government taking an action in monitoring user computing environment, always has an inherent risk of endangering the trust model between the government and the users, and as a result, the government will end up taking on the unnecessary burden of balancing two conflicting values, the protection of user privacy and the building the trust between the government and the users. It appears that based upon industry-wide and government-sponsored user education, the government regulation will achieve the most efficiency when it is complemented with the market regulation and is used for punishment after the market regulation fails.

Ⅰ. 미국의 정보통신망 정부규제 현황
1. 정보보호 관련 법률 현황
2. 컴퓨터 사기 및 오용법(Computer Fraud and Abuse Act : CFAA)
3. 기타 컴퓨터 네트워크 범죄 관련 연방법전 규정
4. 2009사이버보안법안(Cybersecurity Act of 2009)
5. 연방정부의정보보안관리에관한법률 (Federal Information Security
Management Act of 2002: FISMA)
6. 사이버보안에 관한 미하원에서의 증언(Cyber Security - Testimony Before
the Subcommittee on Technology and Innovation, Committee on Science
and Technology, House of Representatives)
7. Homeland Security Presidential Directive (HSPD-7)
8. 미국 주요 인프라 보호 계획 (National Infrastructure Protection Plan)
9. 소 결
Ⅱ. 미국, 호주에서의 정보통신망 자율규제 현황
1. 미국의 자율규제 현황
2. 호주의 자율규제 현황
3. 일본의 자율규제 현황
4. 마이크로소프트의 노력
5. 소 결

• 양지연(한국마이크로소프트 변호사) | Jiyeon Yang