“법 제도를 만들 때 가장 중요한 것은 국민 누구라도 법안을 읽고 어느 제도에 속하는지, 어떤 것을 준비해야 하는지 쉽게 이해할 수 있어야 한다. 그러나 아쉽게도 국내 법·제도는 누구나 쉽게 이해하기는 커녕 정부 부처 간 역할도 헛갈리게 구성돼 있다”
김승주 고려대학교 사이버국방학과 교수는 자산 중심으로 사이버안보 정책을 재정립하자는 의견을 제시했다. 동시에 예산 권한이 없는 국가정보원이 국가 정보보호 정책의 컨트롤타워 역할을 수행하는 것에 대한 우려를 표명했다.
미국의 경우 FISMA(Federal Information Security Management Act) 제도에 따라 각 정부부처는 적절한 보안조치를 취해야 하고 이를 지키지 못할 경우 예산을 감액하도록 돼 있다. 미국의 사례처럼 국내에서도 정부부처가 보안조치에 미흡할 경우 예산을 통한 조정이 가능해야 한다는 지적이다.
김 교수는 “이같은 문제는 우리나라가 제도 제정 시 가치중심이 아닌 영역중심으로 제도를 만들기 때문에 발생한다”며 “허나 인터넷은 영역을 명확히 나눌 수 없는 공간이기 때문에 영역중심의 제도 제정이 어울리지 않는다”고 설명했다.
예를 들어 우리나라는 공공영역인지 민간영역인지 또는 업무영역인지 비업무영역인지가 정보보호 정책을 결정짓는 중요한 기준이 된다. 이에 반해 미국에서는 보호해야할 자산의 중요도 즉, 보호해야할 대상이 기밀데이터인지 기밀이 아닌 데이터인지에 따라 정보보호정책을 구분한다.
김 교수는“국가 사이버안보 컨트롤타워가 되기 위해서는 각 부처에 대한 예산 관할권을 갖고 있어야 한다”면서 “현재 국가정보원은 예산 관할권이 없어 이름뿐인 기관으로 전락하기 십상”이라고 말했다.
그는 “컨트롤타워가 되려면 그에 맞는 기술력과 전문인력을 갖고 있어야 한다”면서 “국정원은 타 부처에 비해 기술력과 전문 인력은 풍부하지만 컨트롤타워가 힘을 갖기 위해서 필수인 예산관할권이 없다”고 지적했다.
김 교수는 “사이버안보를 효과적으로 지키기 위해서는 보호해야할 자산 중심으로 정책이 재편돼야 한다”며 “국가 안보를 위한 정보보호 전략의 재정립이 시급한 시점”이라고 강조했다.
장윤정기자 linda@etnews.com