[손영동의 사이버세상]<5>사이버 법제조차 없는 디지털 강국

대한민국 초고속 인터넷 인프라는 단연 최고다. 디지털기회지수·인터넷활동지수 세계 1위고, 전자정부는 수년째 선두를 지키고 있다. 스마트폰 보급도 가장 먼저 포화상태에 이른 디지털 강국이다. 하지만 잘 갖춰진 인프라 덕분에 악성코드 감염률이나 스팸메일 발생률도 세계 최고 수준이다. 통신 인프라가 고도로 집적돼 있어 그만큼 외부 사이버공격에 취약한 ‘정보보호 삼류 국가’기도 하다.

지구촌에서 가장 치열하게 전개되는 3대 사이버교전 지역을 꼽으라면 미국과 중국, 이스라엘과 범아랍국 그리고 한반도다. 2009년 7·7 DDoS 공격은 한반도의 사이버전 서막을 알리는 신호탄이었다. 2013년 3·20, 6·25 사이버테러로 인한 피해액만 8000억원에 달한 것으로 집계됐다. 이미 사이버위협은 국민 재산과 기본권뿐만 아니라 국가안보와 직결되는 중차대한 사안이 됐다.

그럼에도 새로운 위협에 체계적으로 대응할 수 있는 기본법이 없다. 그나마 있는 것도 사이버공격을 당하고 사후약방문(死後藥方文)식으로 보완하다 보니 숱한 법규가 생겨났고, 이마저도 일관성이 부족해 유사시 혼선이 불가피한 형국이다. 법이 현실을 앞서가기는 힘들지만 매번 사고가 날 때마다 졸속으로 대처했기 때문이다.

전자정부법, 전자서명법, 전자거래기본법, 국가정보화기본법, 산업기술유출방지법, 전자무역촉진법, 물류정책기본법, 개인정보보호법 등 여러 영역의 다양한 법률에서 정보보호 관련 내용을 규정하고 있다. 사이버침해와 관련해서는 우리나라 정보화 과정과 맥을 같이하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’과 국가 주요기반시설을 보호하는 ‘정보통신기반보호법’이 있다. 지난 6월엔 정보보호산업 기반 구축과 경쟁력 강화를 위한 이른바 ‘정보보호산업진흥법’이 제정돼 시행을 앞두고 있다.

현행 법령의 문제점은 유사한 보호대상을 분야만 다르게 규정함으로써 동일 주체에 여러 법률이 동시에 적용되는 사례가 많다는 점이다. 또 정보보호 주체와 임무가 명확하지 않아 책임이 불분명하다. 결국 사이버공격에 즉각 대처하기가 어렵게 돼 있다. 정보보호 담당자가 관련 조문을 찾아보는 것부터가 큰 부담이다. 정보보호만큼은 일반인도 쉽게 이해할 수 있도록 일관성 있고 단순화할 필요가 있다. 잘 갖춰진 법규는 사람들의 인식을 변화시키고 보안의식을 제고하는 데 큰 역할을 할 수 있다.

미국은 국토안보법을 필두로 사이버안보와 관련한 법규를 체계적으로 정비하고 있다. 일본은 2014년 11월 사이버안보기본법을 제정해 후속 정책 마련에 분주하다. 중국은 지난 7월 시행한 신(新)국가안전법에 사이버주권 수호를 명시했고 사이버 통제를 강화하는 포괄적 사이버안보법을 올해 안에 통과시킬 예정이다.

이렇듯 미국·일본을 비롯한 여러 국가는 사이버안보라는 분명한 틀 아래에서 국가조직 기능 강화와 체제 확충이 이루어지고 있으며 민간부문과 연계도 강조되고 있다. 기본법을 구체적으로 시행하기 위한 지침이 마련돼 각 정부기관이 취해야 할 대응방안을 명확히 제시하고 있다.

이에 비해 우리는 총력전 개념에 입각한 통합방위법에 사이버영역이 포함돼 있지도 않다. 사이버테러방지법 제정은 유명무실한 상태고 통신비밀보호법 개정도 계류 중이다. 개인정보보호는 상대적으로 강화돼 기업들이 사업하기 어렵다고 토로하는 단계까지 왔지만, 국가 사이버안보와 관련해서는 대통령 훈령인 ‘국가사이버안전관리규정’이 전부다.

세계 각국은 사이버안보 역량 강화를 위한 정책을 경쟁적으로 내놓고 제도적으로 정비해오고 있지만 정작 북한의 사이버도발에 훤히 노출돼 있는 우리는 정보화는커녕 산업화 시대에 만들어진 법규에 휘둘리고 있다. 이는 우리나라 사법제도에 국민 불신이 경제개발협력기구(OECD) 34개 회원국 가운데 꼴찌에서 두 번째로 나타난 것과 무관치 않아 보인다.

새로운 위협은 이전과는 전혀 다른 속성으로 빠르게 진화하고 있어 기존 정책을 부분적으로 고쳐서는 선제적으로 대응할 수 없다. 그동안 수차례 사이버안보 대책을 내놓았지만 계획만으로 실현될 수 있는 문제가 아니어서 실체적·절차적 측면을 충족시키도록 노력해야 한다. 무엇보다 사이버안보 업무수행 근간이 되는 기본법을 중심으로 관련법 전면 재정비가 이뤄져야 한다. 여기에 사이버주권 확보를 명시하고 책임 소재와 대응체계를 명확히 해야 한다. 디지털 활용과 위험의 균형만큼 중요한 것이 ‘속도’다. 더는 미뤄선 안 된다.

손영동 고려대 정보보호대학원 초빙교수 viking@paran.com