[ET시론]<상>새 정부를 위한 '국가 사이버안보' 정책 제언

러시아-우크라이나 전쟁을 계기로 국가 사이버보안의 중요성이 한층 높아졌다. 때맞춰 새 정부가 출범한다. 윤석열 정부는 사이버보안 분야를 강화하겠다고 공언한 상태다. 국가 사이버보안의 중요성과 새 정부에 바라는 정책 제언을 3회에 걸쳐 연재한다.

상. 사이버안보의 현황과 추세

중. 선제 공격시스템의 중요성

하. 국가 핵심과제로서 '사이버안보'

백종욱 가천대 컴퓨터공학과 교수

◇정권 교체로 사이버위협 가능성 증가

우리나라에 발생한 사이버공격의 원인을 찾아보면 대부분 갑자기 하늘에서 뚝 떨어지듯 일어나는 것이 아니라 인과가 명확하게 나온다. 최근 북한 김여정의 대남 협박이 있었다. 이것은 공격 인과의 물이 끓고 있음을 방증한다. 좀 더 끓어서 임계점을 넘어서면 우리는 또 하나의 사이버공격 리스트에 올리게 될지 모른다. 역대 우리나라를 겨냥한 심각한 북한의 대형 사이버공격은 진보정권보다 남북관계가 경색된 보수정권에서 많이 발생했다.

사이버공격 대표 사례로 거론되는 7·7 디도스, 농협 전산망 마비, 3·20 사이버테러, 6·25 사이버공격, 한수원 원전 중단 협박 등 모두가 보수정권 때 일어났다. 물론 진보정권에서도 자료 절취의 해킹은 쉼 없이 이어져 왔다. 다만 국민 불안이나 사회 혼란 목적의 사이버공격이 일어나지 않았을 뿐이다.

다시 보수정권이 들어섰으니 앞으로 5년간 사이버공격이 발생할 것을 염두에 둬야 할 것이다. 국제 배후 또는 주변 사이버 적성국 정부 배후에 있는 해킹 조직에 의한 사이버위협은 상존한다. 러시아의 우크라이나 침공 이후 러시아 제재 편에 있는 것도 미-중 갈등 경쟁 시 우방국 편에 있는 것도 우려되는 부분이다. 세계 사이버 지형은 가변적이고 역동적이어서 항상 사이버안보 위협은 진행 중임을 인식해야 한다.

◇아쉬움 많은 지난 정부의 사이버보안 대책

현 정부에서 안보를 위협하는 사이버공격이 거의 발생하지 않다 보니 사이버위협을 보는 인식이 낮을 수 있다. 그럼에도 현 정부에서 국정원법 개정을 통해 '사이버안보' 임무를 부여했고, 국가 사이버안보 전략을 발표하고 기본 계획을 수립·추진함으로써 보안 수준 제고로 이어진 것은 다행이다. 다만 아쉬운 점은 현 정부가 들어선 지 1년 만에 사이버안보 비서관을 폐지했다가 3년 5개월 후 다시 복원한 점은 사이버안보를 바라보는 시각과 의지가 낮았다는 비판에서 자유롭지 못하다. 국회도 사이버안보를 위한 입법 활동이 부진했다. 우리는 북한에 의한 사이버공격이 발생할 때마다 사이버공격 대응에 관심이 높았다. 국회에서 사이버안보와 관련된 법률제정 발의 내용을 보면 2006년 이후 현재까지 의원입법으로 9개 법안이 발의됐는데 모두 여야 협의 부족으로 제정이 무산된 것이 아쉬움으로 남는다.

국회가 사이버안보 관련 법률을 제정하지 않아 국가기관의 역할을 명확히 해 주지 않으면 부처 간 업무에 갈등을 빚을 수 있다. 확대해석한다면 국회가 부처의 소모적인 업무 다툼·마찰을 방치하는 셈이 될 수 있다는 것이다. 국가 차원의 수행체계와 역할에 파열음을 낳고 대규모 사고가 발생하면 오로지 피해는 국민에게 돌아간다. 적극적인 국회 입법 활동이 필요하다.

◇통치자의 사이버안보 관심이 국가경쟁력의 출발점

사이버공간을 선도적으로 이끌어 온 미국은 사이버안보 강화에 공격적인 입장을 취한다. 미국이 자국 사이버공격에 대해 공격 세력을 끝까지 추적해서 대응 조치하는 것을 보면 정말 부럽고 배우고 싶은 심정이다. 2014년 소니픽처스 해킹 주범을 추적해 북한 해커 박진혁을 4년 만에 기소했고, 2018년 평창올림픽 시스템을 공격한 주범으로 2년 8개월이 지난 후 러시아 해커 6명을 기소했다. 공격 주체를 끝까지 추적해서 그들의 범죄 행위를 강력히 규탄하거나 응징하는 것을 우리도 타산지석으로 삼아야 할 것이다. 공격 국가를 발표하거나 우방국의 공동 규탄 성명에 동참하거나 국제 커뮤니티에 참여하고, 선진국처럼 주장을 당당하게 펼칠 수 있도록 해야 한다.

미국의 경우 대통령부터 사이버안보에 관심이 높다. 미국 대통령 선거 후보 때부터 사이버안보 강화를 대선 공약으로 발표하거나 대통령 집권 후에도 정책을 강력히 추진한다. 2000년에 빌 클린턴은 '민관 인터넷보안 회의'를 주재했고, 2008년 버락 오바마 대선 후보가 선거 유세 과정에서 사이버안보를 강화하겠다는 공약을 했다. 조 바이든 대통령은 취임을 앞두고 연방정부 업무 가운데 최우선순위에 사이버안보를 두겠다고 했다. 대통령이 사이버안보회의를 주재하고, 지난 3월에는 '2022년 미국 사이버보안강화법'에 서명해 사건 보고를 의무화하기도 했다.

지도자의 영향이 작용했는지 미국 IT보안 기업과 보안 시장이 활발하게 성장하는 것을 보면 놀랍다. 지난해 세계 유니콘 보안기업이 발표됐는데 전체 23개 가운데 미국에 본사를 둔 기업이 무려 19개라고 한다. 한국은 없지만 이스라엘은 2개가 포함돼 있다. 이스라엘 또한 정부가 사이버안보를 추진한 성과물이라 봐야 할 것이다. 대통령의 사이버안보 관심은 국가안보 차원이지만 사회 전반의 지도층에 영향을 미치게 된다. 세계 속으로 한류, K-팝 등 한국문화 성장에 이어 한국 IT보안 기업이 글로벌 시장에 당당히 자리매김할 수 있는 미래를 열어 갔으면 하는 바람이다.

◇사이버안보법 제정 반대, '거부' 아닌 '보완'으로

21대 국회에서 여야가 각각 사이버안보 법안 제정이 발의돼 한 가닥 희망을 품고자 한다. 법 제정 그 자체를 무조건 반대하기보다는 법안의 부당한 조항이 있으면 보완할 필요가 있다. 미래 사이버안보 위협에 잘 대비해서 국가 주권 수호와 국민 생활 피해를 방지하고자 함인데 법 제정 자체를 반대하는 것은 스스로 피해를 자초할 수 있기 때문이다.

국정원은 설립 이후 국가안보 차원에서 통신부터 사이버안전까지 주어진 임무에 충실히 임해 왔다. 사이버안보 업무 수행 과정에서 인권이나 사생활 침해를 한 적이 없고, 사이버위협 대응에 한 번도 소홀했거나 책임을 전가한 적도 없다. 이 분야에 종사하는 많은 사람이 인정해 주고 있음에도 일부에서 국정원 소속에 사이버안보 분야도 있으니 막연하게 믿지 못하겠다는 것은 과잉에 의한 반대가 아닐까 싶다.

2016년으로 돌아가 보자. 이슬람 수니파의 프랑스 테러 등으로 테러방지법안이 국회의장 직권으로 상정돼 국회 표결이 이뤄질 때 '사생활 침해' '국민 사찰' 등을 이유로 들어 필리버스터(무제한 토론)로 192시간(8일) 이상을 지연시킨 적이 있다. 우려한 문제는 발생하지 않았고, 지나친 기우에 불과했다는 것임을 알 수 있다. 오늘날 사이버안보법 제정 반대에도 15년 전부터 주장되는 사생활 침해 등이 지나친 기우가 아니었으면 한다.

사이버안보 관련 종합 보고서를 받고 최종 판단을 할 수 있는 위치에 있는 사람은 대통령이다. 지금까지 역대 대통령은 국정원에 사이버안보 임무를 부여할 때마다 상황을 종합해서 결정하였을 것이다. 특히 노무현 전 대통령은 “사이버보안 문제와 관련해 국정원에 통합체계를 갖춰 사이버상의 위협을 조기에 알리고, 필요한 대응책을 적시에 내놓아 세계적인 IT 강국 명성에 걸맞은 최고 수준의 사이버안보를 실현하라”고 지시했다. 사이버위협이 발생하면 어디서 총괄 대응하고 누가 대통령께 경과보고를 올리게 되는가. 지금까지 다수의 통치자 결정을 존중해서 사이버안보를 제대로 수행할 수 있도록 해 줄 필요가 있다.

백종욱 가천대·동신대 초빙교수(정보보안 분야)

<필자 소개>

백종욱 교수는 청와대 안보실 사이버대응팀장, 국가정보원 국가사이버안보센터장을 지냈다. 국가사이버안전센터 설립, 국가사이버안전관리규정 제정, 국가정보보호백서 창간 등 국가 사이버안보를 위해 노력해 왔다. 지금은 가천대와 동신대에서 국가사이버안보정책을 강의하고 있다.