이 문서의 과거 버전 (r1)을 보고 있습니다. 수정일: 2026.02.25 08:19
국가기밀보호법은 국가안보에 중대한 영향을 미치는 정보인 국가기밀을 보호하기 위한 기본 법률이다. 이 법은 국가기밀의 지정 기준과 절차, 이를 취급하는 공무원 및 기업의 의무, 그리고 보호를 위한 필요한 조치와 위반 시의 벌칙을 규정하여 국가의 안전과 이익을 보호하는 것을 목적으로 한다.
이 법률은 1998년 1월 1일 제정되어 시행되었으며, 기술 발전과 보안 환경 변화에 대응하기 위해 여러 차례 개정되었다. 최근에는 2020년 12월 8일 법률 제17648호로 개정된 바 있다. 국가기밀보호법은 국가안보와 정보보호 분야의 핵심적인 법적 근거를 마련함으로써, 정부 부처와 더불어 방산 및 국방 산업 등 국가기밀을 다루는 민간 기업의 활동에 직접적인 영향을 미친다.
법률의 주요 내용으로는 국가기밀의 등급(일급비밀, 이급비밀, 삼급비밀)별 지정 및 해제 절차, 비밀 취급 인가를 받은 자의 선정과 관리, 그리고 물리적 보안 및 기술적 보안 조치 의무 등이 포함된다. 또한, 국가기밀의 유출을 방지하기 위한 보안교육 실시, 정기적인 보안점검, 그리고 보안 사고 발생 시 신고 및 조치 체계에 대해서도 규정하고 있다.
이 법을 위반하여 국가기밀을 누설하거나 훼손한 경우, 관련 개인과 법인인 기업 모두에게 중한 형사적 및 행정적 제재가 가해진다. 따라서 국가기밀을 취급하는 모든 주체는 이 법의 규정을 철저히 이해하고 준수할 의무가 있다.
기업이 국가기밀을 취급하려면 법에서 정한 자격 요건을 갖추고 국가기관으로부터 취급 자격을 허가받아야 한다. 이는 국가기밀의 취급 주체를 엄격히 통제하기 위한 절차이다. 자격 요건에는 해당 기업이 법인으로서 정상적인 경영 상태에 있어야 하며, 국가안보에 위해를 가할 수 있는 요소가 없어야 하는 것이 기본적으로 포함된다. 또한 기업의 대표자와 주요 임원 등이 보안검증을 통과해야 한다.
구체적인 취급 자격 허가 절차는 국가정보원이 주관하며, 신청 기업은 관련 서류를 제출하고 실사 등을 거쳐 심사를 받게 된다. 허가를 받은 기업은 '국가기밀취급자격증'을 발급받으며, 이 자격은 일정 기간마다 갱신 심사를 받아야 유지된다. 허가 범위는 기업이 취급할 수 있는 국가기밀의 등급(예: 1급 비밀, 2급 비밀 등)과 업무 분야가 명시된다.
기업이 특정 국가기밀을 실제로 취급하게 되는 경우, 해당 업무를 발주하는 국가기관(예: 방위사업청, 국방과학연구소 등)과 별도로 비밀유지계약을 체결하는 것이 일반적이다. 이 계약에는 비밀의 구체적 내용, 보호 조치, 위반 시 책임 등이 상세히 규정되어, 기업의 실질적인 보호 의무가 발생한다. 따라서 기업은 법적 자격 허가와 더불어 개별 계약상 의무도 동시에 이행해야 한다.
국가기밀을 취급하는 기업은 반드시 보안관리자를 지정해야 한다. 이는 국가기밀보호법이 정한 핵심 의무 사항이다. 보안관리자는 기업 내 국가기밀 보호 업무의 총괄 책임자로서, 국가정보원 또는 해당 주무기관과의 주요 연락 창구 역할을 수행한다.
보안관리자의 주요 책임은 기업 내 보안관리체계를 구축하고 운영하는 것이다. 이는 보안업무규정의 수립과 시행, 보안교육 실시, 보안점검 수행, 그리고 보안사고 발생 시 신속한 보고 및 조치를 포함한다. 또한 비밀문서의 접수, 등록, 배부, 보관, 반출, 반입, 폐기 등 일련의 취급 과정을 전반적으로 관리해야 한다.
보안관리자로 지정될 수 있는 자격 요건은 법으로 명시되어 있다. 일반적으로 해당 기업의 상근 임원 또는 직원 중에서 선임해야 하며, 국가기밀 취급에 필요한 보안결격사유가 없어야 한다. 일정 규모 이상의 기업이나 취급하는 비밀의 등급과 양에 따라 부보안관리자를 추가로 지정할 수도 있다.
보안관리자의 지정 및 변경 사항은 지체 없이 국가정보원장 또는 주무기관의 장에게 보고해야 한다. 보안관리자가 부재하거나 직무를 제대로 수행하지 못할 경우, 이는 기업 전체의 보안관리 체계에 심각한 결함으로 이어져 법적 제재를 받을 수 있다. 따라서 기업은 보안관리자의 책임과 권한을 명확히 하고, 원활한 업무 수행을 보장해야 할 의무가 있다.
기업은 국가기밀을 취급하는 경우, 해당 기밀의 유출을 방지하기 위해 법에서 정한 물리적 및 기술적 보안조치를 반드시 구축하고 유지해야 한다. 물리적 보안조치는 국가기밀을 보관하고 취급하는 공간 자체에 대한 접근 통제와 보호를 의미한다. 이는 국가기밀 취급 구역의 지정, 출입 통제 장치의 설치, CCTV와 같은 감시 장비의 운용, 방화 및 방범 시설의 구비 등을 포함한다. 특히 비밀문서를 보관하는 금고나 서버가 위치한 정보시스템실 등 핵심 구역에 대해서는 다중의 출입 통제 절차를 적용하는 것이 일반적이다.
기술적 보안조치는 국가기밀 정보가 저장되고 전송되는 과정에서 적용되는 보호 수단이다. 주요 내용으로는 암호화 기술을 통한 정보의 보호, 침입 차단 시스템 및 보안 정보 및 이벤트 관리 시스템 도입을 통한 네트워크 모니터링, 악성코드 탐지 및 방지 조치, 그리고 접근 통제를 위한 강력한 인증 시스템의 운영이 있다. 또한 국가기밀을 처리하는 컴퓨터와 저장매체는 외부 인터넷과 물리적으로 차단된 독립된 네트워크에서 운영되어야 하며, USB 메모리와 같은 이동식 저장매체의 사용은 엄격히 통제된다.
이러한 보안조치의 수준과 구체적 내용은 기밀의 등급과 업무 환경에 따라 차등 적용될 수 있으나, 기본 원칙은 기밀 정보에 대한 무단 접근, 유출, 변조, 파괴를 기술적으로 봉쇄하는 데 있다. 기업은 국가정보원이 고시한 보안 기준을 준수하여 자체 보안대책을 수립하고, 신기술의 위협에 대응하기 위해 지속적으로 보안 체계를 점검하고 강화해야 할 의무가 있다.
국가기밀보호법에 따른 기업의 인적 보안 관리는 국가기밀을 취급하는 인력의 신원과 행동을 관리하여 내부 위협으로부터 기밀을 보호하는 체계이다. 이는 단순히 보안관리자를 지정하는 것을 넘어, 기밀 취급 인력의 선발부터 교육, 감독, 퇴직 시 관리에 이르기까지 전 과정을 포괄한다.
인적 보안 관리의 핵심은 신원조사와 보안서약서 제도이다. 기업은 국가기밀을 취급하게 될 직원에 대하여 법이 정한 절차에 따라 신원조사를 실시하거나 관련 기관의 조사를 받아야 한다. 또한 해당 직원으로 하여금 보안서약서를 작성하게 하여 비밀 유지 의무를 법적으로 확인시킨다. 이 과정은 임용 전에 완료되어야 하는 것이 원칙이다.
기밀 취급 인력에 대한 지속적인 보안교육과 감독도 중요한 의무이다. 기업은 정기적인 보안 교육을 통해 직원들의 보안 의식을 제고하고, 업무 중 보안 수칙 준수 여부를 관리감독해야 한다. 특히 보안관리자는 직원들의 접근 권한을 엄격히 통제하고, 불필요한 접근이나 이상 행위를 조기에 발견할 수 있는 체계를 마련해야 한다.
인적 보안 관리는 퇴직 또는 전보 시에도 지속된다. 기밀을 취급하던 직원이 퇴직하거나 다른 부서로 이동할 경우, 해당 직원의 접근권한을 즉시 말소하고 보안교육 이수 여부 및 보안서약서 이행 상황을 확인하는 절차를 거쳐야 한다. 이를 통해 기밀 정보가 불법적으로 유출되거나 오용되는 것을 방지한다.
기업은 국가기밀보호법에 따라 취급하는 국가기밀문서를 엄격하게 관리해야 한다. 비밀문서의 생성, 접수, 등록, 열람, 보관, 이송, 폐기 등 모든 취급 과정은 법에서 정한 절차를 따라야 하며, 이 과정에서 보안관리자의 감독 하에 이루어진다. 특히 비밀문서는 지정된 금고 또는 비밀문서함에 보관해야 하며, 무단 반출이 금지된다. 문서의 열람과 복제는 반드시 사전 승인을 받아야 하고, 그 내역은 상세히 기록되어 관리된다.
비밀문서의 이동 및 전달 시에도 엄격한 보안 절차가 적용된다. 기업 내부에서의 이송은 봉인된 상태로 보안요원이 동행해야 하며, 외부로의 발송은 등기우편이나 특송 등 안전한 방법을 사용해야 한다. 전자문서 형태의 국가기밀은 암호화 통신 등 기술적 보안조치를 통해 전송해야 한다. 문서를 운반하는 차량에는 GPS 추적 장치를 설치하는 등 물리적 안전을 확보해야 한다.
비밀문서의 보관 기간이 만료되거나 보존 가치가 상실된 경우, 해당 문서는 적법한 절차에 따라 폐기해야 한다. 폐기는 소각이나 파쇄 방식으로 이루어지며, 폐기 과정은 보안관리자가 입회하여 감독해야 한다. 폐기 완료 후에는 폐기 일시, 방법, 대상 문서 목록, 입회자 등이 기록된 폐기 확인서를 작성하여 일정 기간 보관한다. 이를 통해 문서의 생명주기(문서 생명주기 관리)가 종료될 때까지 책임 소재를 명확히 하는 것이 중요하다.
국가기밀보호법에 따라 국가기밀을 취급하는 기업은 반드시 정기적인 보안교육 및 훈련을 실시해야 한다. 이는 법에서 정한 핵심 의무 사항 중 하나로, 기업 내 모든 임직원이 국가기밀의 중요성과 취급 절차를 숙지하도록 하여 인적 요인에 의한 보안 사고를 예방하는 데 목적이 있다. 교육 대상은 기밀을 직접 취급하는 직원뿐만 아니라, 기밀 취급 구역에 출입할 수 있는 모든 구성원을 포함한다.
교육 내용은 국가기밀의 정의와 분류, 비밀문서의 작성·접수·인계·보관·폐기 절차, 보안서약서 작성, 업무상 비밀 준수 의무, 외부 반출 및 복제 금지 원칙 등 실제 업무와 직결된 실무 중심으로 구성된다. 또한, 사이버 보안 위협, 사회공학 기법을 이용한 정보 유출 수법과 같은 최신 보안 위협에 대한 대응 방안도 다룬다. 교육은 신규 채용 시, 보안 자격 취득 시, 정기적으로(보통 연 1회 이상) 실시해야 하며, 그 이수 여부와 성적은 관리 기록으로 보관한다.
기업은 교육을 효과적으로 운영하기 위해 내부 보안관리자가 직접 진행하거나, 국가정보원이나 국방부 등 관계 기관, 또는 공인된 보안 컨설팅 회사로부터 전문 강사를 초빙할 수 있다. 특히 정보통신망을 통한 원격 교육 시스템을 활용하는 경우도 많다. 모든 교육 참여자는 교육 내용을 이해했음을 확인하는 서명을 하며, 미 이수자에 대해서는 보안 취급 자격 정지 등의 행정 조치가 취해질 수 있다.
기업은 국가기밀보호법에 따라 정기적 또는 수시로 보안점검을 실시하고, 보안사고 발생 시 신속히 대응해야 하는 의무를 진다. 보안점검은 기업이 자체적으로 실시하는 자체점검과, 국가정보원 등 관계 기관이 실시하는 합동점검으로 구분된다. 자체점검은 보안관리규정에 따라 정기적으로 수행해야 하며, 그 결과를 기록하고 보관한다. 합동점검은 관계 기관의 요구에 따라 이루어지며, 기업은 이에 성실히 협조해야 한다. 점검 항목에는 물리적 보안 시설의 상태, 기술적 보안 장비의 운영 현황, 비밀문서의 관리 실태, 보안교육 이수 여부 등이 포함된다.
보안사고란 국가기밀의 누설, 유출, 도난, 분실 또는 이에 준하는 사건을 말한다. 기업은 사고 발생 즉시 긴급보고 체계에 따라 국가정보원 및 관할 경찰서 등에 신고해야 한다. 신고 내용에는 사고 발생 일시와 장소, 관련 국가기밀의 종류와 등급, 사고 경위와 원인, 현재까지의 조치 사항, 예상 피해 규모 등이 포함되어야 한다. 신고 후에는 사고 확산을 방지하고 2차 피해를 최소화하기 위한 긴급조치를 취해야 한다.
사고 대응의 핵심은 사고 조사와 재발 방지 대책 수립이다. 기업은 사고 원인을 철저히 규명하고, 책임 소재를 명확히 하며, 유사 사고의 재발을 방지하기 위한 구체적인 대책을 마련해야 한다. 이 과정에서 내부 감사를 강화하거나, 보안관리규정을 개정하는 등의 조치가 이루어질 수 있다. 사고 조사 결과와 재발 방지 대책은 관계 기관에 제출하며, 법령에 따라 행정적 제재나 형사처벌의 대상이 될 수 있다. 따라서 기업은 평소 비상연습과 대응 매뉴얼을 갖추어 두는 것이 중요하다.
국가기밀보호법을 위반한 경우, 법에 따라 기업과 개인 모두에게 엄격한 법적 제재가 가해진다. 법적 책임은 행위의 성격과 중대성에 따라 형사처벌과 행정제재로 구분된다. 특히 국가기밀을 누설하거나 침해하는 행위는 국가안보에 직접적인 위협을 가하는 것으로 간주되어 중형에 처해진다.
형사처벌의 핵심은 국가기밀의 누설, 탐지, 수집 또는 누설 목적의 간첩 행위에 대한 처벌 규정이다. 예를 들어, 국가기밀을 외국 또는 반국가단체에 누설한 자는 무기 또는 5년 이상의 징역에 처해진다. 국가기밀을 부정하게 탐지 또는 수집하거나 이를 목적으로 공무원을 매수한 자 또한 3년 이상의 유기징역에 처해지는 등 그 죄질에 따라 다양한 형량이 부과된다. 이러한 범죄의 미수나 예비, 음모 또한 처벌 대상이 된다.
기업에 대한 제재는 법인 자체에 대한 벌금형과 행정적 제재로 이루어진다. 법인은 그 대표자나 종업원이 업무 관련 범죄를 저질렀을 때 해당 조문에 규정된 벌금액을 부과받는다. 또한, 국가기밀 취급 자격을 부여받은 기업이 법을 위반하면 국가정보원 원장은 해당 기업에 대해 국가기밀 취급 자격의 정지 또는 취소, 보안조치 이행명령, 시정명령 등의 행정처분을 내릴 수 있다. 이는 기업의 영업 활동에 직접적인 영향을 미치는 중대한 제재이다.
개인에 대한 제재는 형사처벌 외에도 보안관리상의 의무 위반에 대한 처벌을 포함한다. 예를 들어, 허가 없이 국가기밀을 열람하거나 복제한 자, 정당한 사유 없이 국가기밀을 소지하거나 반출한 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해진다. 또한, 보안관리자가 법이 정한 보안교육 실시, 보안점검 등의 의무를 게을리 한 경우에도 1년 이하의 징역 또는 1천만 원 이하의 벌금형에 처해질 수 있어, 관리적 책임도 명확히 규정하고 있다.
기업이 국가기밀보호법을 준수하며 실무를 수행하기 위해서는 법의 요구사항을 구체적인 업무 프로세스로 전환해야 한다. 실무 가이드는 이러한 프로세스를 체계적으로 안내하는 역할을 한다. 핵심은 국가기밀의 생성, 유통, 보관, 폐기라는 전 주기(Lifecycle)에 걸쳐 통제를 적용하는 것이다. 예를 들어, 비밀문서는 지정된 금고에 보관하고, 이동 시에는 승인을 받아 비밀봉투를 사용하며, 폐기 시에는 파쇄기를 이용해 복원 불가능한 상태로 만들어야 한다. 모든 취급 행위는 비밀취급인가를 받은 자만이 수행할 수 있으며, 그 과정은 보안일지에 상세히 기록되어 관리된다.
기업 내에서는 보안관리자가 이 실무 가이드의 이행을 총괄하며, 각 부서별로 세부 절차를 수립하고 교육한다. 주요 실무 항목으로는 출입통제, 보안검색, 정보통신보안, 외부인 반출 통제 등이 포함된다. 특히 정보통신망을 통한 국가기밀의 처리와 전송은 별도의 암호화 장비와 승인된 채널을 통해 이루어져야 하며, 사이버 보안 위협으로부터 보호받아야 한다. 물리적 보안 차원에서는 보안구역 설정, 감시카메라 설치, 방화문 및 침입탐지시스템 운영 등이 요구된다.
인적 보안 측면의 실무는 신원조회와 보안서약서 작성으로 시작하여, 정기적인 보안교육과 보안점검으로 이어진다. 직원은 보안사고 발생 시 즉시 보안관리자에게 보고해야 할 의무가 있으며, 기업은 사고 조치 및 재발 방지 대책을 마련해야 한다. 또한 퇴직자나 전보자에 대해서는 비밀취급인가 해지 및 보안교육 이수를 확인하는 절차가 필수적이다. 이러한 일련의 실무 절차는 국가정보원의 지침과 기업의 특성을 반영하여 구체화되며, 지속적인 개선을 통해 법적 요건을 충족시켜 나가야 한다.