사이버보안 중요성이 커지는 가운데 북한 해킹조직의 법원 해킹 사고까지 불거지면서 국제전기통신연합(ITU)의 글로벌사이버보안지수(GCI)가 주목받고 있다. 법 집행기관과 사법권을 행사하는 판사 등에 대한 사이버 보안 교육 프로그램 운영 여부가 GCI 세부평가 항목에 들어 있어서다.
27일 정보보호업계 등에 따르면, ITU가 독자적으로 개발한 GCI는 법률, 기술, 조직, 역량 개발, 협력 등 5개 항목을 두고 국가별 사이버 보안 준비 태세를 평가한다.
특히 역량개발 부문에선 정부가 국가 차원에서 판사를 위한 사이버 보안 교육 프로그램이나 훈련을 개발·지원하는 지를 평가한다. 판사 등은 국가 안전과 보안을 보장하는 데 중요한 역할을 하며, 사이버 보안 위협에 대처할 수 있는 지식과 도구를 갖추고 있어야 하기 때문이다.
특히 북한 해킹그룹 라자루스가 법원 전산망을 2년 넘게 해킹해 개인정보 등을 포함한 1014기가바이트(GB) 규모의 자료 빼낸 사실이 드러나면서 GCI 세부평가 항목이 재조명되고 있다. 법원 행정의 주요 의사결정권자인 판사들의 사이버안보 의식 제고가 필요하다는 목소리가 나온다.
ITU-전기통신표준화부문(T) 정보보호연구반(SG17) 의장인 염흥열 순천향대 명예교수는 “법원 주요 보직자인 판사가 사이버 보안 대책 수립과 예산 투입 등에 대한 의사결정을 책임진다”면서 “법원 전산망의 보안체계를 진단하고 예방하는 등 기본적인 사이버 보안 소양이 필요하다”고 지적했다.
아울러 개인정보보호법 개정으로 개인정보 유출에 따른 제재가 강화하면서 법원의 역할이 더 중요해졌다는 평가다. 개정 이후 개인정보보호위원회의 과징금 수위가 높아졌다. 221만여명의 개인정보를 유출한 '골프존' 과징금이 지난 9일 종전의 국내 기업 최대 기록인 LG유플러스(68억원)를 넘어선 데 이어 지난 23일엔 카카오가 약 6만5000건의 개인정보를 유출해 역대 최대 과징금(151억여원)을 물게 됐다.
이 같은 제재 강화 추세를 놓고 개인정보 보호 제고와 기업활동 위축이라는 의견이 엇갈리는 가운데 카카오가 행정소송을 포함한 법적 조치를 적극 검토하고 있어 공은 법원으로 넘어갈 공산이 크다. 현재 개인정보위는 구글·메타, 삼성전자 등과 소송을 벌이고 있다.
염 교수는 “판사가 개인정보 유출 사업자의 과실 여부를 최종적으로 판단한다”면서 “개인정보보호법, 정보통신망법 등 관련 법을 살펴보면 기술적으로 복잡하게 엮여 있어, 사이버 보안에 대한 기본 소양을 가지고 있어만 올바른 판단이 가능하다”고 강조했다.
조재학 기자 2jh@etnews.com
