국가사이버안보법(안)이 정부안으로 국무회의 심의를 거쳐 국회에 묶여 있다. 국가정보원이 중심이 되는 국가사이버안보체제 법안은 지난 10여년 동안 국회에서 계류와 폐기를 반복했다. 국정원의 과도한 권한 우려 때문이다. 입법 취지인 사이버 안보의 목적 달성을 위해서도 정보기관이 이를 주도하는 것은 비효과적, 비합리적, 비효율적이다.
첫째로 사이버안보 업무의 성질 측면에서 비효과적이다. 러시아가 미국 대통령 선거에 영향을 미치려고 행한 사이버 공격이나 중국이 미국 인사관리처를 해킹해 공무원 인사 정보를 탈취한 사이버 스파이 행위는 국가기관이 하는 것이 맞다. 정보기관이 음지에서 조용히 해야 효과가 크다. 정보기관의 고유 임무이니 추가 법률도 필요 없다.
반면에 사이버 방어의 기본 규칙은 자기 것은 스스로 지키는 것이다. 침해 사고 발생 시 각 사이버 방어 주체 간에 침해 정보를 신속히 공유하고 전파하는 것이 중요하다. 사이버 방어 총괄 기관의 역할은 각 방어 주체 간의 정보 공유 환경 조성이다.
사이버 방어는 전염병 방역 활동과 같다. 발생과 대책을 빨리 전파하는 것이 급선무이다. 양지에서 공개적으로 해야 효과적이다. 음지에서 일하는 정보기관이 정보 공유 주체가 되는 것은 비효과적이다. 전염병 방역 총괄 기구를 안보라는 명분으로 정보기관에 두지 않는 것과 같은 이치다.
둘째로 국가 조직 견제와 균형 측면에서 비합리적이다. 국가 조직은 정책과 정보 기능이 명확히 구분된다. 정보기관이 정책에 개입하면 정책에 맞는 정보만 편향적으로 제공한다. 정보기관이 그 정책의 수혜자가 되면 정보기관은 이익 집단으로 전락, 정보 왜곡이 발생한다. 반대로 정책 조직이 정보를 직접 다루면 그들은 보고 싶은 정보만 보게 될 위험이 있다.
사이버 방어도 마찬가지다. 사이버 방어를 총괄하는 조직이 정보를 직접 취급하면 자기가 보고 싶은 면만 보며, 방어 작전에 실패할 가능성이 짙다. 군대 조직에서 작전과 정보 기능을 명확히 구분한다. 정보 부서는 적 정보를 수집해 작전 부서에 제공한다. 전투에 실패했을 때는 원인이 정보인지 작전인지 구분해 분석한다. 견제와 균형, 신상필벌을 통해 실패를 반복하지 않으려는 장치다.
우리나라의 사이버 안전 총괄 업무는 실질적으로 국정원이 담당한다. 한 개 기관이 정책, 정보, 방어 작전 기능을 모두 지닌 구조다. 반면에 사고 발생 시 법적 책임은 해당 시설의 방어 주체에게 있다. 이러한 권한과 책임 구조에서는 사고 발생 시 방어 작전의 실패인지 정보 제공의 실패인지 정책 잘못인지 가릴 수가 없다. 실패를 내놓고 개선하기보다는 은폐하기 급급할 수밖에 없는 구조다. 사이버 방어를 위한 정보기관의 역할은 국외 첩보를 수집해 사이버 위협 정보를 분석한 후 각 방어 주체에게 제공하는 일이다. 이 일만 해도 충분히 어려운 데다 할 일도 많다.
셋째로 사회문화적 비효율이다.
러시아의 미국 대선 개입 사이버전처럼 사이버 공격의 최종 목적은 대중의 인식 체계에 영향을 미치는 일이다. 우리나라는 이념 양극화가 심하다. 사이버 위협 세력이 이 약점을 이용하면 쉽게 사회적 혼란과 국론 분열을 조장할 수 있다. 해킹 사건이 일단 발생하면 일련의 프로세스를 거친 후 결과와 대책을 발표하는데 이 단계에서는 프로세스 투명성이 중요하다.
사이버 방어 업무는 85% 이상이 민간에서 발생한다. 사이버 방어는 기술과 환경 측면에서 볼 때 양지에서 민간 친화형 정부 조직과 민간 보안업체가 잘하는 영역이다. 신뢰(trustworthy)는 사이버 안보의 목표지만 최소 필요조건이다. 국정원은 사이버 안보 업무를 담당하는데 필요한 신뢰를 잃었다.
우리 국민(국회)은 사이버 안보의 중심 역할을 국정원에 줄지 새로운 조직에 부여할지를 결심해야 한다. 국정원은 고유 임무에 집중해야 한다. 현재 인원으로는 그것을 하기에도 역부족이다. 국내 사이버 업무에는 손을 떼고 행정자치부와 미래창조과학부로 환원해야 한다. 사이버 방어 업무는 국정원의 고유 업무가 아니다. 국가사이버안보법을 만들어서 이 임무를 달라는 것이 이를 반증한다.
신인섭 미국 조지메이슨대 C4I & 사이버센터 연구원(전 청와대 사이버안보비서관) ishin4@gmu.edu