국가사이버안전관리, 누가 하나

[일러스트=박용석 기자]

지난 3월 방송사·금융기관에 대한 사이버 테러 이후 정부 여당을 중심으로 국가사이버안전관리법을 제정하자는 움직임이 재개됐다. 이에 대해 “정보력과 전문성을 갖춘 국가정보원이 컨트롤타워 역할을 맡는 게 효율적”이란 주장과 “관련 없는 부처까지도 포괄할 수 있도록 사이버 안보보좌관을 두자”는 의견도 만만치 않다. 두 갈래의 목소리를 들어봤다.

박노형
고려대 법학전문
대학원 교수

여당이 ‘국가사이버안전관리법’ 제정을 추진하고 야당이 반대하면서 사이버 위기에 대응하는 법의 제정이 또다시 우리 사회의 뜨거운 감자가 되고 있다. 2009년 7·7 디도스 대란 직후 같은 법의 제정이 추진됐지만 국가정보원의 ‘빅 브러더’ 논란으로 실패했다. 그 후 2011년 농협 전산망 마비와 2012년 중앙일보 해킹 등 다양한 유형의 사이버 공격이 발생했다. 일반 국민도 사이버 공간에서 발생하는 범죄와 테러는 물론 무력공격에 준하는 사이버 공격의 현실적 위협을 새로운 고통으로 인식하고 있다.

　가칭 국가사이버안전관리법 제정과 관련해 몇 가지 검토가 필요하다. 첫째, 사이버 위기에 대한 종합적이고 효율적인 대응이 필요하다는 사실은 부인할 수 없다. 사이버 공격은 국방은 물론 경제·사회 등 분야를 가리지 않고 무차별적으로 실행되고, 또한 동시다발적으로도 가능하다. 최근의 주요 방송사와 일부 금융기관에 대한 사이버 공격 사실은 다른 어떤 기관이나 영역에도 가능하다는 점을 확인시켜 준다. 따라서 국민의 안전을 책임지는 정부는 사이버 위기에 대해 범정부 차원에서 종합적이고 효율적으로 대응할 수밖에 없다.

　둘째, 사이버 위기에 대한 정부 대응이 법에 근거해야 하는 사실도 부인할 수 없다. 사이버 안전과 관련된 대표적인 법적 근거는 사이버안전관리규정과 국가위기관리지침인데, 이들은 대통령훈령에 불과하다. 훈령은 하급 관청의 권한행사를 지휘하기 위해 발하는 명령으로서 법규의 성질을 갖지 않는다. 국기에 대한 경례를 규정한 국민의례규정이 대통령훈령의 좋은 예다. 법률도 아니고 대통령령도 아닌 대통령훈령이 사이버 위기에 대한 정부 대응의 법적 근거인 것은 법치국가로서 부끄러운 일이다. 올가을 런던과 부다페스트에 이어 사이버공간회의를 주최하는 우리로서 대통령훈령의 근거는 조속히 청산해야 한다. 사이버 안보 및 위기에 관한 정부 대응의 법적 지위가 이렇게 미비한 사실에서 국회와 정부의 사이버 위기에 대한 대응의 진정성을 의심할 수밖에 없다.

　셋째, 현실적인 문제는 누가 가칭 국가사이버안전관리법에 따라 사이버 위기에 대한 정부 대응을 주도하느냐다. 이 법에 대한 반대는 국정원의 역할에 집중돼 있다. 국정원이 모든 정보를 관리하고 통제해 ‘빅 브러더’가 될 수 있다는 우려다. 사실 어느 정부기관도 이러한 법의 관리주체가 되면 빅 브러더라고 비난받게 된다. 업무의 속성상 그럴 수밖에 없다. 그러나 누군가는 사이버 위기에 대한 대응에서 주도적 역할을 할 수밖에 없다. 사이버 위협 내지 공격에 대해 국방부·방송통신위원회·경찰 등 정부기관은 각자 소관 업무에 따라 대응해야 하고, 이 점에서 국정원도 자신의 역할을 수행하면 된다. 주어진 권한의 오·남용으로 국정원이 빅 브러더가 될 수 있다는 우려는 제대로 된 법으로 불식시키면 된다.

　사이버 위기 내지 공격은 이미 일상적이다. 우리 모두 또 다른 사이버 공격의 가능성을 예상하고 있다. 또 다른 사이버 공격을 앞두고서 어떤 이유로도 이에 대한 대응체제를 마련하지 않는 것은 상상할 수 없다. 그 대응체제의 핵심은 관련 법률의 채택이다. 국회와 정부는 이번에 국민을 위해 슬기롭게 사이버 위기에 대응할 수 있는 법체제를 만들어야 한다.

박노형 고려대 법학전문 대학원 교수

청와대 사이버 안보보좌관이 총괄·관리해야

임채호
KAIST 정보보호
대학원 교수

최근 ‘3·20 대란’을 겪으면서 많은 국민이 우리나라의 사이버 보안에 대해 근심 어린 시선으로 바라보고 있다. 또한 공격당한 언론사 및 금융기관들은 고객들에 대한 신뢰 상실과 만만치 않은 복구비용으로 이중의 피해를 보고 있다. 하지만 이번 사태는 앞으로 나타날 또 다른 가상의 대란에 비교한다면 아무것도 아닐지 모른다. 향후 원자력·항공·교통·금융·댐·항만 등 주요 정보통신망 인프라를 대상으로 하는 사이버 테러가 발생한다면 국가의 안보와 민생경제에 엄청난 피해가 우려된다. 이러한 상황은 외화벌이와 테러를 목적으로 하는 북한이 있는 한 언제든 가능하다.

　3·20 대란은 대응전략과 비용 효과적인 정책 실현이 없는 관료주의의 결과라고 볼 수 있다. 대란을 선제적으로 탐지하고 알릴 수 있는 기술이 국내 벤처기업에 의해 개발돼 있음에도 이러한 기술을 애써 외면하는 현실에서는 언제든지 발생할 수밖에 없는 상황이다.

　9·11 테러 이후 사이버 보안을 강화한 미국의 사례를 참고해 볼 만하다. 2002년 22개 부처에 분산됐던 대테러 기능을 통합해 국토안보부를 신설하면서 사이버 보안 임무도 맡도록 했다. 버락 오바마 대통령은 더 나아가 사이버 보안에 대한 정책과 연구개발(R&D)을 우선시하고 모든 활동은 백악관 사이버 안보보좌관(CPO·Cyber Security Policy Officer)에 의해 추진되도록 했다. 백악관의 조정과 협력 아래 정부 전체가 하나의 목표를 가지고 신속하게 움직이도록 한 것이다. 또 지속적 보안정책 관리를 했다. 진정한 의미의 ‘사이버 보안 리더십’이 작동하도록 한 거다.

　모든 사이버 대란은 특정 정부의 관료화가 원인이었다고 본다. 이를 개선하기 위해선 첫째, 미국처럼 리더십을 재정의해야 한다. 사이버 보안은 모든 정부기관이 참여해야 하며 특정 기관에만 기능을 맡긴다면 사이버 테러는 되풀이될 수 있다. 정말 심각한 사이버 보안을 어떻게 하나의 기관에만 맡기겠는가. 정부의 현재 보안 평가를 통해 개선점을 확인하고, 이를 위한 기획재정부의 지속적인 예산 배정이 필요하다. 감사원도 이 과정을 ‘감시’해야 한다. 둘째, 민간과의 협력도 중요하다. 3·20 대란에서 밝혀졌듯 우수한 민간기업의 기술이 많다. 이를 적극 채용해야 한다. 셋째, 중·장기 보안 R&D와 함께 실무와 이론을 겸비한 인력 양성도 필요하다. 법령과 정책 정비도 있어야 한다.

　이런 의미에서 정부 여당에서 사이버 보안 강화책으로 추진 중인 국가사이버안전관리법안 제정은 문제가 있을 수 있다고 본다. 지금껏 사이버 보안 업무를 맡아 왔던 국가정보원에 더 큰 임무를 맡기겠다는 것 아닌가. 그간의 관료주의에서 벗어날 필요가 있다.

　다시금 강조하지만 사이버 보안을 위해선 협력·조정 속에 모든 정부 조직이 하나의 보안 목표 아래 각자의 역할을 수행하고 각 기관의 업무 시행에 대한 정기적 점검·보고가 이뤄지며 상황 변화에 신속하게 대응할 수 있는 총괄체제와 이를 수행할 컨트롤타워가 구축돼야 한다. 그리고 청와대에 ‘사이버 안보보좌관’도 둬야 한다. 사이버 보안이 국제정세와 외교에 민감한 현안이자 안보·경제 전반의 문제이기 때문이다. 사이버 보안 리더십이 제대로 발휘될 때 이를 바탕으로 한 보안기술의 수출 강국도 가능할 것이다.

임채호 KAIST 정보보호 대학원 교수