중국 사이버안보 패러다임 변화와 시사점 -인공지능 시대의 바람직한 거버넌스 구축을 위한 제언- (Paradigm Shift of China’s Cybersecurity and Implications -Suggestions for Establishing Desirable Governance in the Era of AI-)

우리나라는 2019년 4월 사이버안보 위협을 국가안보 위협으로 인식하여 모든 역량을 결집⋅대응할 수 있도록 하는 ‘국가사이버안보전략’을 발표하였으며, 2022년 5 월 공개된 ‘윤석열 정부 110대 국정과제’에도 ‘국가 사이버안보 대응역량 강화’가포함된 바 있으나, 법적기반 구축을 위한 사이버안보 기본법제의 입법은 여러 우려사항이 제기되어 답보 상태이며, 이로 인하여 사이버안보 국가 콘트롤 타워도 부재인 상황이다. 중국의 경우 국가안보의 영역을 사이버공간으로 확장한 국가안전법(2015)의 토대 위에 3법(네트워크안전법, 데이터안전법, 개인정보보호법)을 입법하여 사이버안보 기본 법체계를 구축하였으며, 중앙인터넷안전･정보화위원회와 국가인터넷정보판공실을 중심으로 한 데이터 거버넌스의 법적 근거를 제공하였다. 또한 4차 산업시대의 핵심기술이 사이버안보에 위협이 되지 않도록 반간첩법(2023)은 국가안보⋅이익과 관련된 데이터의 경우 동법의 규율대상이 되도록 확대 규정하였으며, AI관리방법의 시행을 통해 생성형 AI를 규제하기 시작하였다. 이와 같은 입법 변화에 따라 거버넌스도 중앙인터넷안전･정보화위원회→중앙국가안전위원회→중앙과학기술위원회로 확장되었다. 이러한 패러다임 변화의 중심에는 중국공산당이 있으며 강력한 추진력을 제공하고 있다. 우리나라의 사이버안보 입법현안과 거버넌스의 맹점 측면에서 중국의 변화가 시사하는 바를 살펴보면, 사이버안보 기본법제 마련과 함께, 동법에 근거한 사이버안보 국가 콘트롤 타워 구축이 조속히 이루어져야 한다. 사이버안보 이슈가 전 부처를 통할할 수 있는 역량과 강력한 추진력이 필요하다는 점을 고려하면, 대통령 직속 위원회 형식이 적합할 것이다. 또한 AI기술이 사이버안보와 밀접한 관련이 있으며, AI기본법안 및 가짜뉴스 규제 등 AI규제에 관한 논의가 동시기 함께 이루어지고 있다는 점을 고려하여, 두 가지 담론을 포괄하는 거버넌스 구축을 검토해 보아야 한다. 즉 ‘사이버안보’와 ‘AI’를 통할하는 대통령 직속 위원회를 신설하여 파편화된 사이버안보 지휘 체계를 통합하고, AI에 관한 외교⋅안보⋅경제⋅기술정책을 수립하고 심의⋅의결하는 명실상부한 국가 콘트롤 타워로 삼아야 한다. 이를 위해 사이버안보 기본법제와 AI기본법안 입법과정에서 ‘사이버안보’와 ‘AI’라는 두 가지 가치를포용하는 거버넌스 구축에 대한 심도 있는 논의가 진행되어야 할 것이며, 투명성을제고하기 위해서 동 위원회의 기본계획 및 주요정책, 예산 등과 관련하여 국회가견제할 수 있는 프로세스 검토도 함께 이루어져야 한다.

Korea announced the ‘National Cybersecurity Strategy’ in April 2019, and ‘Strengthening national cyber security response capabilities’ was also included in the ‘110 Key Policy Tasks’ released in May 2022. However, the legislation of basic cybersecurity law to establish a legal foundation is at a standstill due to several concerns raised. This is why there is no cybersecurity control tower. In the case of China, three laws(Cyber Security Law, Data Security Law, and Personal Information Protection Act) were enacted on the basis of the National Security Law(2015), which expanded the scope of national security to cyberspace, thereby establishing basic legal systems for cybersecurity. Through this, the legal basis for data governance centered on the Central Leading Group for Cybersecurity and Informatization of the Chinese Communist Party(CCP), and the Cyberspace Administration of China was provided. To ensure that core technologies of the 4th industrial era do not pose a threat to cybersecurity, the Anti-Espionage Law(2023) expanded the scope of the law to include data related to national security. In addition, generative AI was regulated through the implementation of the Interim Administrative Measures for Generative AI Services. Following these legislative changes, governance was expanded from the Central Leading Group for Cybersecurity and Informatization of the Chinese Communist Party(CCP) → National Security Commission of the CCP → Central Science and Technology Commission. At the center of this paradigm shift is the CCP, providing the impetus for the shift. If we apply the implications of China's paradigm shift to our situation, first, Korea must establish a basic cybersecurity law and quickly establish a cybersecurity control tower based on the law. Considering that cybersecurity issues must be supported by the ability to govern all ministries, the structure of a Presidential Council is appropriate. Additionally, considering that AI technology is closely related to cybersecurity and that discussions on AI regulation are taking place together, a governance system that encompasses both cybersecurity and AI must be established. In other words, the Presidential Council will be responsible for ‘cybersecurity and AI’ must be established. Through the Presidential Council, the fragmented cybersecurity command system should be integrated, and it must become the control tower that considers and decides on diplomatic, security, economic, and technological policies regarding AI. In-depth discussions on establishing governance that embraces the two values of ‘cybersecurity’ and ‘AI’ should be conducted during the legislative process of the basic cybersecurity law and AI law in order to reach the result. In order to improve transparency, a review of processes that can be checked by the National Assembly regarding the Presidential Council’s major policies, budget, etc. must also be conducted.