편집자주 : 촛불 시민의 힘으로 새로운 정부가 들어서게 되었습니다. 새 정부에서는 국정원을 이대로 놔둘 수 없습니다. 고 김영환 업무일지에서도 드러났듯이 불법 선거 이후로도 국회가 국정원 개혁에 주춤한 사이, 박근혜 정부 하의 국정원은 제 권한 밖의 정치 개입을 자행해 왔습니다. 2014년 8월 7일, 홍성담 화가의 허수아비 그림을 탄압하고 누군지 모를 신부 뒷조사를 담당하기 위해 경찰과 국정원으로 구성된 일명 ‘우병우팀’이 대표적입니다. 국정원 해체와 새로운 정보기관 체제를 모색할 때 반드시 고려해야 할 부분이 바로 사이버 감시의 문제입니다. 2013년 6월, 미국 정보기관은 에드워드 스노든의 폭로 이후 전 세계 시민들의 거센 분노와 비판에 직면하였습니다. 같은 해 12월, 미국 대통령실에 설치된 대통령 검토그룹은 <세계 변동 속에서 자유와 안보>라는 제목의 보고 및 권고를 발표하였습니다. 스노든 이후 백악관이 위기 관리 차원에서 내 놓았다는 한계에도 불구하고, 46개에 이르는 권고 내용에는 막강한 정보기관의 감시 권력을 민주적으로 통제하기 위한 고민이 담겨 있습니다. 특히 신호정보기관인 NSA의 감시 기능을 해외정보로 제한할 것을 권고하였습니다. 권고문 전체와 그에 대한 백악관의 요약소개문을 소개합니다.
번역오류는 della 골뱅이 jinbo.net 으로 알려주세요.
제목 : 세계 변동 속에서 자유와 안보
원문 : Liberty and Security in a Changing World
작성 : 2013년 12월 18일, 정보기관과 통신기술에 대한 대통령 검토그룹
세계 변동 속에서 자유와 안보
◈ 원칙
1. 美정부는 국가 안보와 개인 프라이버시권이라는 서로 다른 형태의 안전을 한꺼번에 보장해야 한다.
미국 전통 속에서, ‘안전’이라는 말은 다의적이다. 최근의 용법에서 이는 종종 ‘국가 안보’나 ‘국토 안보’의 의미로 언급된다. 정부의 가장 기본적인 책무 중 하나는 이러한 형태의 안전을 보호하는 것이라고 통상 이해되고 있다. 동시에, 미국 수정헌법 제4조에서 안전이라는 관념은 위와 동등한 기본적 가치이자 상당히 다른 의미로 언급된다. “불합리한 압수와 수색에 대하여 신체, 주거, 서류, 물건의 ‘안전’을 확보할 국민의 권리는 침해되어서는 아니된다.(강조표시 : 필자)” 두 가지 형태의 안전은 모두 다 보장받아야 한다.
2. 중심 임무는 위험 관리의 일환이어야 한다. 복합적인 위험이 수반된다는 점과, 모든 위험요소들이 고려되어야 한다.
공직자가 해외 정보를 습득하면 국가안보에 미치는 모든 위험을 고려하기에 앞서 [해당] 위험을 감소시키려 한다. 물론 문제는 복합적인 위험이 수반된다는 것이다. 정부가 합리적인 안전보호장치를 만들려면 이런 위험의 부분이 아니라 모든 위험요소들을 고려해야만 한다. 국가안보에 대한 위험요소 저감에 더하여, 공직자는 4가지 다른 위험을 고려해야 한다.
☞ 프라이버시에 미치는 위험
☞ 인터넷 안팎에서 시민 자유권에 미치는 위험
☞ 다른 국가와의 관계에 미치는 위험
☞ 국제경제를 비롯하여 무역과 경제에 미치는 위험
3. ‘균형’이란 관념은 진실의 중요한 요소이지만, 부적당하고 호도될 여지가 있다.
두 가지 형태의 안전 간에 올바른 “균형”에 도달하는 것이 근본적인 목표라고 제시할 법 하다. 이런 제언은 진실의 중요한 한 요소이다. 그러나 어떤 안전보호장치는 전혀 균형을 맞출 수 없다. 자유사회의 공직자라면, 정적을 처벌하기 위해, 표현이나 종교의 자유를 제한하기 위해, 정당한 비판과 반대 의견을 억압하기 위해, 자신들이 선호하는 회사나 산업을 장려하기 위해, 국내 기업에 부정경쟁으로 이득을 주기 위해, 종교·민족·인종·성정체성 측면에서 혜택을 주거나 부담을 주기 위한 목적으로 감시를 사용해서는 안 된다.
4. 정부는 그 결과가 미칠 혜택과 비용 모두를 비롯한 세심한 분석에 의거하여 (실현이 가능한 정도에서) 결정을 내려야 한다.
공공정책의 많은 영역에서, 공직자들은 자신들의 결정이 미칠 결과에 대해 철저하게 분석할 필요성을 점점더 강조하고, 직관과 개인적인 진술에 의존하지 않고 증거와 데이터를 신뢰하는 일의 중요성을 고집한다. 감시에 대한 결정은, 그 착수 이전에, 모든 범위의 관련 위험요소를 포함하여 (실현이 가능한 정도에서) 예상 결말에 대한 신중한 평가에 기반해야 한다. 이러한 결정들에 따른 실수는 [이후] 교정될 수 있도록 소급 분석을 비롯한 정밀조사를 계속적으로 받아야 한다.
◈ 요약
• 투명성 향상 – 국회는 정보 제공을 지시하는 정부 명령을 수신한 전화, 인터넷, 기타 통신사업자들이 그 일반 현황을 공개할 수 있도록 법률을 제정해야 한다. 나아가 정부는 그 존재가 기밀이 아닌 프로그램에 의해 발동한 명령에 대해서는 정기적으로 일반 현황을 공개해야 한다.
• 기관 개혁 – 일련의 기관 개혁을 권고한다.
☞ 백악관 심리 – 민감한 정보기관 활동에 대해 승인하는 절차에 대하여, 미국 경제 정책에 책임이 있는 정책결정자를 포함하여 새로이 만들 것을 대통령에 권고한다.
☞ 해외정보감시법원 – 국회는 프라이버시 및 시민자유권의 이해를 대표하는 공익법률단체의 지위를 재판에 앞서 신설하고, 해외정보감시법원 결정의 투명성을 향상시키고, 판사 임명 절차를 변경해야 한다.
☞ 프라이버시 및 시민자유 감독 기구(PCLOB) – PCLOB를 대체하여 새로이 공인되고, 강화되고, 독립적인 시민자유와 프라이버시 보호하는 기구(CLPPB)의 설립을 촉구한다. 이 기구는 반테러 정책 뿐 아니라 해외정보 관련 정부 활동을 검토할 권한을 부여받아야 한다.
☞ 국가안보국(NSA) – NSA에 대하여, 그 국장을 상원에서 지명하고, 민간인이 그 직책을 수임하며, 사이버사령부가 NSA로부터 분리되어 더이상 한 기관이 두 가지 역할을 수행하지 못하도록 할 것을 제안한다. 나아가 정보보증부(Information Assurance Directorate)는 국방부로 분리하여 국방부장관실 내 사이버정책단위에 보고할 것을 권고한다.
• 내부 위협 – ‘내부 위협’과 연계된 리스크를 감소시키는 일련의 단계들을 권고한다. 이런 조치들에는 직원 베팅 검사(주 : 정보의 누설을 막기 위하여 배경을 조사하는 일)와 네트워크 보안에 대한 개선을 모두 포함한다. 또한 기밀정보 배포 및 정보권한관리(Information Rights Management) 소프트웨어의 실행에 대하여 직무관련접근(Work-Related Access) 조치를 제도화할 것도 권고한다.
◈ 권고
[권고 1] 해외정보감시법원이 특정 개인에 대한 사적 정보를 제3자에 공개할 것을 강제하는 제215장[해외정보감시법 : 이하 같음]의 명령에 대하여, 오로지 다음의 경우에만 발동할 수 있도록 제215장의 개정을 권고한다.(1) 정부가 수색하려는 특정 정보가 ‘국제 테러리즘이나 비밀 정보 활동에 대처’하려는 취지의 공인된 수사와 관련 있다고 믿을만한 합리적인 근거가 있을 경우
(2) 소환장(subpoena)과 마찬가지로 이 명령이 합리적인 초점, 범위, 폭을 가지고 있을 경우
[권고 2] 법원이 국가안보서신을 발급하도록 한 조항에 대하여, 오로지 다음 사항을 확인할 때만 허용하도록 국가안보서신 발급 조항 개정을 권고한다.
(1) 정부가 수색하려는 특정 정보가 ‘국제 테러리즘이나 비밀 정보 활동에 대처’하려는 취지의 공인된 수사와 관련이 있다고 믿을만한 합리적인 근거가 있을 경우
(2) 소환장(subpoena)과 마찬가지로 이 명령이 합리적인 초점, 범위, 폭을 가지고 있을 경우
[권고 3] 국가안보서신의 사용에 대한 모든 조항에 대하여, 제215장의 명령 사용에 대한 현재의 규율과 동일한 감독 체계, 최소화, [자료]보관, 표준 배급을 요구하도록 개정할 것을 권고한다.
[권고 4] 일반적인 규칙으로서, 정부가 고위 정책부서의 심리 없이, 장래의 검색을 위해 일체의 대량, 원본, 비공개 개인정보를 수집하고 보관하거나 해외 정보 목적으로 데이터 마이닝을 하는 것이 허용되어서는 안 된다. 그런 데이터에 대한 정부의 수집 및 보관 행위와 관련된 모든 프로그램은 정부의 중요한 이익에 기여할 수 있도록 세밀하게 목표설정이 되어야 한다.
[권고 5] 제215장에 의해 정부가 통화내역 메타데이터를 대량으로 보관하는 정책을 중단시킬 법률 제정을 권고한다. 그 대신 민간 통신사나 민간 제3자가 메타데이터를 보유하는 시스템으로 가능한한 빨리 전환할 것을 권고한다. 이러한 데이터에 대한 접근은 권고1의 요건에 부합하는 제215장의 해외정보감시법원 명령에 의해서만 허용되어야 한다.
[권고 6] 메타데이터와 다른 정보 유형 간의 차이점을 판단할 수 있는 법률적, 정책적 선택지에 대한 연구를 의뢰할 것을 정부에 권고한다. 이 연구에는 기술 전문가와 정보기관 업무 및 수사기관에 대한 전문가는 물론 프라이버시와 시민자유권 전문가 등 다양한 관점을 가진 이들을 포함해야 한다.
[권고 7] 국가안보서신, 제215장 회사 기록(business records), 제702장, 펜레지스터(pen register, 전화 이용 상황 기록 장치)와 함정수사명령(trap and trace), 제215장 대량 전화 통화내역 메타데이터 프로그램과 관계된 기관에 대해, 기밀 정보 보호의 필요성을 고려하여 가능한한 최대한, 의회와 미국 국민들 앞에 정기적으로 상세한 정보를 공개하는 법률 제정을 권고한다. 그 존재가 기밀이 아닌 관계 기관들과 프로그램에 대하여서는, 미국 국민과 그들이 선출한 대표가 프로그램의 장점을 스스로 독립적으로 평가하는 것이 가능하도록 투명성에 대한 강력한 추정이 있어야 한다.
[권고 8] 다음을 권고한다.
(1) 개인, 회사, 기타 기관으로 하여금 정부에 정보를 제공할 것을 지시하는 국가안보서신, 제215장 명령, 펜레지스터 및 함정수사명령, 제702장 명령, 그밖의 유사한 명령의 사용에 있어서, 그에 대한 비공개 명령은 이 정보의 공개가 국가안보를 심각하게 위협하고, 진행중인 수사를 방해하고, 누군가의 생명이나 물리적인 안전을 위험에 빠뜨리거나, 외교 관계를 손상시키거나, 기타 유사하게 중대한 정부 및 해외 관심 정보를 위험에 처하게 할 수 있다고 믿을만한 합리적인 근거가 있다는 사법부의 판단에 의해서만 발부될 수 있도록 법률을 제정한다.
(2) 비공개 명령은 사법부 재승인 없이는 180일 이내로만 효력을 갖는다.
(3) 비공개 명령은 이 명령의 수신자가 해당 명령의 적법성에 문제를 제기하기 위해 법률 자문을 받는 것을 금지하는 방식으로 발부되어서는 안 된다.
[권고 9] 그 존재가 기밀이 아닌 프로그램 하에서 발부되는 국가안보서신, 제215장 명령, 펜레지스터 및 함정수사명령, 제702장 명령, 그밖의 유사한 명령의 수신자에 대하여, 그 비공개 명령이 적절하더라도 정부가 그 공개가 국가안보에 위협이 된다는 점을 설득력 있게 제시하지 않는 한, 수신 명령의 수, 준수 명령의 수, 일반적인 정보 분류, 그 분류에 해당하는 이용자수에 대한 일반 현황을 정기적으로 공개할 수 있도록 법률 제정을 권고한다.
[권고 10] 현행법률에 근거하여, 그 존재가 기밀이 아닌 프로그램 하에서 발부되는 국가안보서신, 제215장 명령, 펜레지스터 및 함정수사명령, 제702장 명령, 그밖의 유사한 명령에 대한 일반 현황에 대하여, 그 공개가 국가안보에 위협이 된다는 점을 설득력 있게 제시하지 않는 한, 정기적으로 공개할 것을 정부에 권고한다.
[권고 11] 제215장의 대량 통화내역 메타데이터 프로그램의 규모를 미국 시민들에게 기밀로 하는 것은, 고위 당국의 신중한 심의와 충분한 고려 후에, 그리고 민주정부의 핵심인 강력한 투명성 추정의 존중 속에서만 결정할 것을 권고한다. 이런 프로그램의 규모는 (a) 프로그램이 설득력 있는 정부의 이익에 부합할 때 (b) 적국이 그 존재를 알면 프로그램 효능이 ‘상당한’ 손상을 입을 경우 미국 시민들에게 기밀로 할 수 있다.
[권고 12] 정부가 제702장에 의해 적법하게 통신을 감청할 때, 혹은 미국 영토 바깥에 소재한 비미국인에 대해 지시가 이루어진 기타 정당한 권한에 기반하여 통신을 감청할 때, 통신 참여자에 미국 국민이 포함되어 있거나 미국인에 대한 정보를 노출시킬 경우에는 다음을 권고한다.
(1) 해외 정보적 가치가 있거나 다른 사람에 대한 중대한 해악을 방지할 필요가 있지 않는 한, 미국 국민에 대한 모든 정보를 탐지로부터 제거할 것.
(2) 미국 국민에 대한 정보를 미국 국민을 대상으로 한 절차에서 증거로 사용하지 않을 것.
(3) 정부는 특정 미국 국민의 통신을 식별하려는 취지에서 제702장이나 이 권고들에 포함된 기타 정당한 권한에 의거하여 습득한 통신 내용을 수색하지 말 것. 다만 (a) 해당 정보가 사망 위험이나 심각한 신체 손상 방지에 필요한 경우, 또는 (b) 정부가 미국 국민이 국제 테러리즘 활동을 계획하고 있거나 관여하고 있다고 믿을 만한 상당한 이유에 기반한 영장을 취득한 경우 경우는 예외로 한다.
[권고 13] 제702장을 집행하거나 미국 영토 바깥에 소재한 비미국인을 감시할 수 있는 기타 정당한 권한을 집행할 때, 기존에 실시되고 있는 안전보호장치와 감독 체계에 더하여, 미국 정부가 다음 사항을 재차 확인할 것을 권고한다.
(1) 이러한 감시들이 적법하게 시행된 법률 또는 적절한 권한에 의해 집행된 명령에 의거하여 인가된 것일 것.
(2) 이러한 감시들이 ‘오로지’ 미국과 동맹국의 국가안보 차원에서 지시된 것일 것.
(3) 이러한 감시들이 무역 비밀의 절도나 국내 기업의 상업적인 이득 취득 등 불법적이거나 위법한 목적에서 지시된 것이 ‘아닐’ 것.
(4) 해당 정보가 미국과 동맹국의 국가안전 보장과 관련이 없는 한, 이러한 감시들이 비미국인에 대한 정보를 전파하지 않을 것.
더불어, 미국 정부는 다음 사항을 명백히 하여야 한다.
(1) 이러한 감시들이 오로지 해당 개인의 정치적 관점이나 종교적 신념에만 근거하여 미국 영토 바깥에 소재한 비미국인을 표적으로 하지 않을 것.
(2) 이러한 감시들이 미국과 동맹국의 국가안전 보장에 부합하는 세심한 감독과 최고 수준의 투명성을 갖출 것.
[권고 14] 이 분야에 특정되고 설득력 있는 다른 모델이 없는 상황에서, 미국 정부는 국토안보부 모델을 따라 1974년 프라이버시법을 미국 국민과 비 미국인에 동일한 방식으로 적용할 것을 권고한다.
[권고 15] 대테러 감시의 알려진 표적이 미국에 최초 입국하였을 때, 해외정보감시법원이 미국내 계속적인 감시 권한을 인가하는 명령을 발부할 동안, NSA는 그를 계속 추적할 수 있는 법정 비상 권한을 제한적으로만 발휘할 것을 권고한다.
[권고 16] 대통령이 모든 민감 정보 요건에 최고 수준의 승인을 요구하는 새로운 절차를 만들고, 정보 공동체의 방식에 이를 적용할 것을 권고한다. 이런 절차는 무엇보다 해외 국가에서 그 지도자들에 대한 감시의 사용과 제한을 식별해야 한다. 정예 정책 비서진과 정보 전문가들이 한해를 통털어 계속적으로 민감한 활동에 대한 정보 수집을 검토해야 하고, 계획에 없던 검토를 허가받아야 한다고 생각될 때는 국가안전보장회의(National Security Council) 장관급 위원회와 차관급 위원회에 자문해야 한다.
[권고 17] 다음을 권고한다.
(1) 고위 정책결정자는 국가정보 우선순위 체제(National Intelligence Priorities Framework)에서 1단계와 2단계 요건 뿐 아니라 민감하다고 결정된 다른 모든 요건들도 검토해야 한다.
(2) 고위 정책결정자는 민감하다고 간주되는 모든 단계에서 요건상 수집 방식과 표적도 검토해야 한다.
(3) 기밀 정보의 공개는 미국의 경제적 이익에 해로운 영향을 미칠 수 있는 바, 미국의 경제적 이익에 대해 책임을 지고 있는 연방 기관의 고위 정책결정자는 절차 검토에 참여해야 한다.
[권고 18] 정보 공동체가 고위 정책결정자 결정을 준수하도록 보장하기 위하여, 미국 국가정보장(Director of National Intelligence)이 그 수집과 배포 활동을 감독할 체제를 수립할 것을 권고한다. 이러한 목적에서, 국가정보장은 국가안보보좌관(National Security Advisor)에 대해 이 주제에 대한 연간 보고를 마련하고 의회 정보위원회와 공유할 수 있도록 해야 한다.
[권고 19] 해외 지도자의 감시에 관여하는 결정은 다음 기준을 고려할 것을 권고한다.
(1) 우리 국가보안에 대한 중대 위협을 평가하기 위하여 그런 감시에 관여할 필요성이 있는가?
(2) 그 나라가 우리의 비전과 이익을 공유하고 있거나, 우리와 협력적 관계를 맺고 있거나, 그 지도자가 높은 정도로 존중하고 경의를 표해야 할 상대방인가?
(3) 해당 해외 지도자가 미국 고위 당직자와의 관계에서 불성실하거나 미국에 국가안보 우려와 관련한 정보 은폐를 시도할 수 있다고 믿을 만한 이유가 있는가?
(4) 필요한 정보를 확실하게 드러낼 수 있다는 가치를 보여주거나 이를 목표로 삼는 다른 정보가 있었는가?
(5) 해당 지도자가 미국의 정보 수집을 알게 되거나 관련 국가 국민들이 마찬가지로 이를 알게 되었을 때 어떤 역효과가 있는가?
[권고 20] 미국 정부에 대하여, NSA와 기타 정보 기관들로 하여금 대량 정보 수집보다 표적 정보 습득을 손쉽게 수행할 수 있는 소프트웨어 제작의 실행가능성을 검토할 것을 권고한다.
[권고 21] 미국 정부에 대하여, 소수의 밀접 동맹국 정부와 관련하여서는 특정한 기준을 준수하여 (수집과 관련한 취지, 제한, 한계를 적절히 포함하여) 쌍방 국가 국민들에 대한 정보 수집 가이드라인이나 실행 관련한 합의나 협의를 분석할 것을 권고한다. 이 기준들은 다음을 포함해야 한다.
(1) 국가 안보 목표의 공유
(2) 고위 정책결정자 간에 밀접하고, 공개적이고, 진실하고, 협력적인 관계
(3) 정보기관의 정보 공유와 분석적 사고에 의해서 뿐 아니라 공동의 국가안보 관심 하에서 위험한 표적에 대한 기능적인 협력에 의해서도 특징지어지는 정보 서비스 간의 관계. 그러한 합의나 협의는 고위 정책결정자의 감독 하에서, 관련된 정보기관 공동체 간에 이루어져야 한다.
[권고 22] 다음을 권고한다.
(1) NSA 국장은 상원이 지명해야 한다.
(2) 민간인이 그 직책을 수행해야 한다.
(3) 대통령은 차기 NSA 국장을 민간인으로 임명하는 것을 심각하게 고려해야 한다.
[권고 23] NSA에 대하여, 명백히 해외정보기관으로 지정할 것을 권고한다. 해외 정보 수집 외의 임무는 일반적으로 다른 기관에 다시 부여되어야 한다.
[권고 24] 국방 기구의 수장, 사이버 사령관, NSA 국장을 한 공직자가 맡아서는 안 된다.
[권고 25] (NSA의 큰 부서로서 해외 정보 활동에 관여하지 않는) 정보보증부(Information Assurance Directorate)는 국방부 내 분리된 기관이 되어, 국방부장관실 내 사이버정책단위에 보고할 것을 권고한다.
[권고 26] 백악관 국가안보 비서진 및 관리예산국 내에 프라이버시 및 시민자유 담당관 신설을 권고한다.
[권고 27] 다음을 권고한다.
(1) 프라이버시 및 시민자유 감독 기구(PCLOB) 인가서는 새롭고 강력한 기관인 시민자유와 프라이버시 보호 기구(CLPPB)를 설립하는 내용으로 개정되어야 한다. 이 기관은 반테러 목적만이 아니라 해외 정보 목적의 정보 공동체 활동을 감독할 수 있어야 한다.
(2) CLPPB는 정보 공동체 직원으로부터 프라이버시와 시민자유 침해 우려와 관련한 내부고발자의 진정을 공식적으로 수령해야 한다.
(3) CLPPB 내에 정보 공동체의 기술 계획을 평가하고 프라이버시 증진 기술(privacy-enhancing technologies)을 지원하기 위한 기술평가국을 신설해야 한다.
(4) 몇가지 이행점검 직무는 기업 외부 감사 직무와 유사하게, NSA 및 다른 정보 기관들로부터 CLPPB로 이전되어야 한다.
[권고 28] 다음을 권고한다.
(1) 국회는 프라이버시 및 시민자유권의 이해를 대표하는 공익법률단체의 지위를 해외정보감시법원에 앞서 신설한다.
(2) 해외정보감시법원은 현재보다 더 높은 기술적인 전문성을 가지고 판사들이 이에 접근할 수 있도록 해야 한다.
(3) 해외정보감시법원 결정의 투명성을 향상시켜야 하고, 이는 현행 기준에 대한 준수 여부를 검토하는 비기밀 절차의 도입을 포함해야 한다.
(4) 의회는 해외정보감시법원에 판사를 임명하는 절차를 변경해야 하고, 지명 권한을 연방 대법관들 간에 나누어야 한다.
[권고 29] 암호화와 관련하여 미국 정부에 다음을 권고한다.
(1) 암호 표준을 마련하려는 노력을 전적으로 지원하고 훼손하지 말 것.
(2) 일반에 보급되는 상업용 소프트웨어에 대한 신뢰를 훼손시키거나 기반이나 능력을 약화시키거나 취약하게 만드는 어떤 일도 하지 말 것.
(3) 클라우드 및 기타 장소를 경유하거나 이에 보관되어 있는 데이터에 대한 보호를 증진하기 위해, 암호화 사용을 증진하고 미국 회사들 역시 마찬가지 조치를 취하도록 권고할 것.
[권고 30] 컴퓨터 응용프로그램이나 시스템 상에서 사전에 알려지지 않은 취약점을 이용한 공격과 관련하여, 국가안전보장회의 비서진들이 미국 정부의 활동을 정기적으로 검토하는 간(間)기관 절차를 관리할 것을 권고한다. 개발자들이 취약점에 대응하여 패치를 배포할 수 있는 여유가 0일이기 때문에 이러한 공격들은 종종 ‘제로데이’ 공격이라고 호칭된다. 미국의 정책당국은 원칙적으로 제로데이를 신속하게 차단하여 미국 정부 및 기타 네트워크에서 근원적인 취약점에 대한 패치가 이루어질 수 있는 방향으로 나아가야 한다. 아주 드문 사례에서 미국의 정책당국이, 높은 우선순위의 정보 수집을 위해, 적절한 부서들의 참여와 고위 기관간 검토를 거쳐 잠시 제로데이 사용을 허가할 수는 있다.
[권고 31] 온라인 통신 보안에서 통신 비밀을 증진하는 특수 수단에 대한 국제 규범과 국제적 합의를 미국이 지지할 것을 권고한다. 이러한 수단들은 다음을 고려해야 한다.
(1) 정부는 국내 기업의 이익을 위해 산업 기밀을 훔치려는 목적에서 감시를 사용해서는 안 된다.
(2) 정부는 회계 계정이 보유한 금액을 바꾸거나 회계 시스템을 조작하려는 목적에서 사이버 공격 역량을 사용해서는 안 된다.
(3) 정부는 통신사업자에 대해 이루어지는 수사기관 및 기타 요청의 수량과 유형에 대한 투명성을 향상시켜야 한다.
(4) 이 분야에 특정되고 설득력 있는 다른 모델이 없는 상황에서, 미국 정부는 국내화(localization)에 대한 요구를 피해야 한다. 국내화란 (a) 서버와 다른 정보 기술 설비의 국내화를 의무화하고 (b) 국경간 데이터 이동을 금지하는 것이다.
[권고 32] 국제 정보 기술 이슈 관련 외교를 책임지는 국무차관보를 둘 것을 권고한다.
[권고 33] 국제 정보 기술 이슈에 대한 외교 의제의 한 분야로 미국이 정부 뿐 아니라 모든 적절한 이해당사자를 포함하는 인터넷 거버넌스 모델을 옹호하고 그 이유에 대해 설명할 것을 권고한다.
[권고 34] 상호사법공조조약 절차를 통해 전자 통신을 습득하려는 적법한 국제 요청에 필요한 절차를 미국 정부가 간소화할 것을 권고한다.
[권고 35] 통신에 적용되는 빅데이터와 데이터 마이닝 프로그램에 대하여, 이들 기술이 통계적으로 신뢰할수 있고 비용 효율적이며 프라이버시 및 시민자유를 보호할 수 있도록, 미국정부가 프라이버시 및 시민자유권 영향평가를 개발할 것을 권고한다.
[권고 36] 통신 기술의 미래 발전을 위하여, 미국이 전문 기술자들이 자문하는 프로그램 대 프로그램(program-by-program) 검토 절차를 마련할 것을 권고한다. 이는 CLPPB나 기타 기관을 통하여 최신 프라이버시와 시민자유권 이슈를 평가하고 대응하기 위한 것이다.
[권고 37] 보안 검열을 위한 직원 베팅 검사(주 : 정보의 누설을 막기 위하여 배경을 조사하는 일) 관련 이면 수사들을, 오로지 미국 정부 직원들이나 비영리, 프라이버시 분야 기업에 의해서만 수행되는 시스템으로 이전할 것을 미국 정부에 권고한다.
[권고 38] 기밀 정보 접근에 대한 직원 베팅 검사를 주기적이 아니라 계속적으로 실시할 것을 권고한다. 개인계속모니터링(Personnel Continuous Monitoring)의 기준이 채택되어야 하고, 내부 위협프로그램과 상업판매 프로그램에 대한 데이터를 포함해서 이들 프로그램의 신용순위 변화나 정지, 소송 여부를 파악하도록 한다.
[권고 39] 보안 검열에 대하여, ‘행정적 접근’ 허가를 생성하여 보다 높은 수준으로 차별화할 것을 권고한다. 이는 지원부서나 정보기술담당자가 필요시, 실제 정보나 정보 자원에 대한 불필요한 접근에 대해 허가를 받는 일 없이 접근할 수 있도록 한다.
[권고 40] 미국 정부에 대하여, 보안 검열에서 개인들에 접근 점수를 부여할 때 실증 프로젝트를 도입할 것을 권고한다. 이는 자신들이 접근하는 정보의 민감성에 기반해야 하고, 자신들이 보유한 분리자원 및 특별접근 프로그램에 대한 허가의 민감성과 수량에 기반해야 한다. 이런 접근 점수는 주기적으로 갱신되어야 한다.
[권고 41] ‘공유 필요’나 ‘파악 필요’ 모델에 대하여, ‘직무 관련 접근’ 모델로 대체할 것을 권고한다. 이 모델은 그 역할상 특정한 정보에 대한 접근이 필요한 모든 직원이 그에 대한 접근권을 갖고, 정보에 관심이 없는 검열 후 직원에게 데이터에 대한 일반적인 접근을 허용하지 않는다.
[권고 42] 비밀과 보다 높은 수준의 기밀 정보를 소통하는 정부망에 대하여, 외부와 내부의 위협에 대응하는 최고의 사이버 보안 하드웨어, 소프트웨어 및 절차적 보호의 사용을 권고한다. 국가안보보좌관과 관리예산국장은 대통령에게 이런 기준의 실행에 대해 매년 보고해야 한다. 계약된 회사들을 비롯하여 기밀 정보를 소통하는 모든 네트워크는, 네트워크 트래픽을 실시간으로 기록하고 변칙적인 활동, 악성 활동, 정보 유출을 탐지하는 사후 검토를 위해 ‘아인슈타인3’이나 ‘튜터리지’ 프로그램과 같은 네트워크계속모니터링(Network Continuous Monitoring) 프로그램을 받아야 한다.
[권고 43] 기밀 네트워크의 보안을 개선하라는 행정명령 13587호 대통령 우선 지시에 대하여, 가능한한 빨리 전적으로 집행할 것을 권고한다. [권고 44] 국가안전보장회의 장관급 위원회에 대하여, 기밀 정보를 소통하는 미국 정부망의 보안 상태, 그 보안에 대한 개선 프로그램, 그 네트워크에 대한 진화된 위협을 검토하는 회의를 매년 개최할 것을 권고한다. 간(間)기관 ‘레드팀’은 장관들에 매년 독립적으로, 기밀 정보 네트워크의 보안 상태에 대한 ‘2차 의견’을 보고해야 한다.
[권고 45] 기밀정보를 가진 미국 기관과 부처들에 대하여, 특별히 허가받은 이들만 접근할 수 있도록 문서와 데이터에 대한 접근권을 제한하는 소프트웨어, 하드웨어 및 절차의 사용 확대를 권고한다. 미국 정부는 기밀 네트워크의 사용에 대한 감사 절차 뿐 아니라, 그 접근과 사용권을 보다 더 제한적으로 공급하는 방식으로 기밀 정보의 배포를 통제하는 정보권한관리(Information Rights Management) 소프트웨어 개선판의 개발, 입수, 광범위한 이용을 위한 재정지원을 해야 한다.
[권고 46] 개인 보안 및 네트워크 보안 수단에 대한 판단에 맞추기 위하여, 장래 적용과 소급 적용 모두에서 비용효율적인 분석과 위험관리 접근의 사용을 권고한다.
