사이버안보법 만들었지만 여전히 부족한 이유

“제3차 세계대전이 일어난다면, 그것은 사이버전(戰)이 될 것이다.” 국제연합(UN)은 사이버공격의 성역은 없으며 각국이 사이버위협 대응체계를 갖출 것을 촉구하고 있다.

21세기 대표적 안보이슈가 초(超)국가적 비대칭위협인 테러리즘이며, 그중에서도 사이버테러다. 사이버테러가 물리적 공격으로 이어지면서 상상력 자체가 무기가 되는 세상이 됐다. 2010년 이란의 핵(核) 프로그램을 지연시킨 악성코드 ‘스턱스넷’은 소프트웨어를 수단으로 한 상상력의 산물이다. 네트워크와 소프트웨어가 물리적 파괴력과 만나면서 지구촌은 완전히 새로운 위협을 맞게 된 것이다.

군 지휘부와 작전계획을 검토하는 김정은 [사진 노동신문]

북한은 사이버전력을 핵과 미사일에 버금가는 무기로 상정해놓고 무차별적 대남 사이버공격을 퍼붓고 있다. 그럼에도 우리는 사이버위협에 체계적으로 대응할 수 있는 기본법이 없다. 그나마 있는 것도 사이버침해를 당하고 사후약방문(死後藥方文)식으로 보완하다 보니 숱한 법규가 생겨났고, 일관성이 부족해 유사시 혼선이 불가피한 형국이다.

미국은 2001년 9.11테러 이후 '국토안보법'을 필두로 사이버안보와 관련한 정책을 지속적으로 수립하고 이를 뒷받침할 법규를 체계적으로 정비해오고 있다. 2015년 12월 공공부문과 민간부문의 사이버위협 기밀정보를 공유하기 위한 '사이버보안정보공유법(CISPA)'을 시행했다. 여기엔 기업의 정보공유 행위에 대한 법적 책임을 면제하는 면책조항까지 만들어놓았다.

영국은 사이버공격을 테러나 군사적 충돌과 같은 1급 국가안보 위협으로 간주하고 있다. 2016년 11월 정보당국이 특정 휴대전화나 컴퓨터를 해킹할 수 있는 이른바 ‘엿보기법’이라 불리는 '수사권법'을 입법화했다. 일본은 2014년 11월 '사이버씨큐리티기본법'을 제정해 후속 실행전략 마련하고 실행에 들어갔다. 중국은 2017년 사이버주권 수호를 명시하고 사이버통제를 강화하는 포괄적 '사이버안보법' 시행을 앞두고 있다.

이에 비해 우리는 대통령훈령인 '국가사이버안전관리규정'이 전부다. 세계 각국은 사이버안보 정책을 제도적으로 정비해오고 있지만 정작 북한의 사이버도발에 훤히 노출돼 있는 우리는 산업화 시대에 만들어진 산만한 법규에 얽매여 있는 실정이다. 이미 북한의 숱한 기술적ㆍ심리적 사이버도발에 당할 만큼 당했다. 체계적ㆍ절차적으로 대응할 수 있는 디지털 시대에 걸맞은 법이 있어야 한다.

정부는 지난 27일 황교안 대통령 권한대행 주재로 국무회의를 열고 국가안보를 위협하는 사이버공격에 대해 신속한 대응체계를 정립하는 내용의 '국가사이버안보법안'을 심의ㆍ의결했다.

법안은 대통령 소속 국가사이버안보위원회를 두고 사이버안보 정책의 컨트롤타워 역할을 맡도록 했다. 국가정보원장은 3년마다 사이버안보 기본계획을 수립하고, 국가안보실장을 위원장으로 하는 위원회가 이를 심의한다. 또 사이버위협 정보공유를 위해 국무총리 소속으로 사이버위협정보공유센터를 두도록 했다.

정부는 지난 9월 '사이버안보법' 제정안을 입법예고했다. 법안이 국무회의 의결을 거침에 따라 곧 국회 본회의 의결을 추진할 예정이다. 법안이 마련되면 일원화된 사이버안보 수행체계를 확립해 사이버공격에 신속하게 대응할 수 있게 된다. 보안 사각지대를 해소하면서 정보수집에 대한 정치적 개입 의혹도 줄일 수 있을 것이다.

지금의 사이버공격 양상은 아주 기술적일뿐 아니라 심리적 요소가 복합적으로 맞물려 경제적 피해와 심리적 충격을 함께 노린다. 궁극적으로는 사회혼란이다. 이는 사이버위협을 행위 주체별 사안으로 바라볼 것이 아니라 국가안보 차원에서 입체적으로 접근해야 하는 이유이기도 하다. 더 늦춰져선 안 된다.

손영동 고려대학교 교수