[데스크라인]국가 사이버안보 책임지는 사람이 없다

함량 미달이다. 청와대 홈페이지까지 해킹당한 정부가 최근 내놓은 `국가 사이버안보 종합대책`은 한마디로 기대 이하다. 3·20 사이버테러 발생으로 4월에 열렸던 `국가사이버안전 전략회의`에서 나왔던 내용을 그대로 옮긴 수준에 불과하다. 컨트롤타워를 청와대로 확정한 것 말고는 크게 달라지게 없다. 다분히 사이버테러에 대응할 컨트롤타워 부재를 비판해온 여론을 의식한 미봉책이라고나 할까. 종합 대책이 아닌 각 기관들의 역할 분담안 정도다.

대책이라는 것을 한번 살펴보자. 우선, 그동안 사이버테러 전담기관이었던 국가정보원에 실무를 맡겨 실질적인 역할을 이어가도록 했다. 민간까지 실무 대상 영역을 넓혀 권한을 강화하겠다는 조치다.

이에 반해 대책의 핵심인 컨트롤타워에 대한 세부적인 역할과 책임은 언급조차 없다. 컨트롤타워를 진두지휘할 책임자도 지정하지 않았다. 결국 제 역할을 못해도 징계 받을 주체가 없는 이상한 모양새가 됐다. 권한은 있지만 책임은 안지겠다는 식이다.

해석이 과한 것일까. 문제는 대규모 해킹 사고가 벌어질 때마다 똑같은 원인규명과 대책이 되풀이된다는 것이다. 지난 2004년부터 대규모 디도스(DDoS) 공격이 시작되면서 매년 빼놓지 않고 대규모 사이버테러가 발생했다. 하지만 수년간 주기적으로 벌어진 사이버테러를 제대로 방어하지 못한 책임을 진 사람은 없다는 것이다. `북한 책임론`이 책임 회피의 단골 메뉴다.

올해는 상반기 중에 벌써 두 차례나 대형 사이버테러가 일어났다. 지난 6·25 사이버테러에서는 2시간 만에 청와대 홈페이지가 해킹당하고 내부 문서까지 유출됐다. 심지어 박근혜대통령의 주민등록번호로 추정되는 문건이 인터넷에 잠시 공개되는 어처구니없는 일까지 벌어졌다. 청와대 사이트가 뚫려서 통치자 개인정보가 유출되는 사태가 일어나도 누구하나 책임지지 않고 책임을 묻지도 않는다. 이번 종합 대책이 부실하다고 평가하는 이유다.

민간은 어떨까. 금융위원회가 조만간 발표할 `금융전산 보안 강화 종합대책`에는 책임을 명확하게 적시할 예정이다. 이번 대책에는 금융사에 대형 전산사고가 나면 그 기업의 최고경영자(CEO)에게 최고 `직무 정지` 등 중징계를 내리기로 했다. `주의` 같은 경징계에서 수위를 한 단계 높였다. 그동안 실무자만 징계를 받는 관행을 없애겠다는 취지다.

금융기관은 해킹 피해를 당하면 무거운 책임을 묻지만 정부 주요 사이트는 해킹을 당해도 책임자도 없고 징계도 없다. 결국 금융사는 책임을 져야하지만 정부는 책임을 안 져도 된다는 뜻으로 밖에 해석이 안 된다.

2009년 7·7 디도스 공격 때부터 최근 사이버테러까지 공격 유형이 유사해 동일한 해커집단이 벌인 것이라는 분석이 나온다. 수년째 같은 동일 집단에게 유린당하고 있는 것이다.

보안 전문가들은 지난 6·25 사이버테러에서 해커집단이 청와대 내부 시스템 관리자 권한을 확보했을 가능성에 무게를 두고 있다. 더 나아가 기간산업망도 침투할 수 있는 권한까지 탈취해 언제든지 사이버 공격을 감행할 수 있고 그 피해 규모도 상상을 뛰어넘을 것이라는 우려가 나온다.

이쯤 되면 국가 사이버 비상사태라고 해도 과언이 아니다. 책임자 없는 대책으로는 앞으로 이어질 사이버테러에 속수무책으로 당할 것이 자명하다. 행정의 제1원칙은 책임과 권한이다. 권한이 있는 곳엔 반드시 책임이 뒤따르는 법이다. 정부는 적어도 금융기관에 준하는, 책임을 지우는 것 이상의 보다 강력한 국가 사이버 안보 대책을 하루빨리 내놓아야 한다.

서동규 비즈니스IT부장 dkseo@etnews.com