북한 등 국가 배후 해킹조직의 국내 공공기관 사이버 공격이 거세지는 가운데 국가정보원이 국회·법원·헌법재판소·선거관리위원회도 사이버 보안 현장을 점검할 수 있도록 하는 법안이 나왔다. 북한 해킹조직이 법원 전산망을 2년 넘게 해킹해 최소 1테라바이트(TB)가 넘는 자료를 탈취하는 등 그동안 국정원 권한 밖에 있던 헌법기관의 보안 구멍이 드러났기 때문이다. 다만 국정원이 헌법기관 정보시스템을 들여다보기보다 스스로 사이버 보안 역량을 높이는 게 최우선이라는 지적도 나온다.
16일 국회 의안정보시스템에 따르면 유상범 국민의힘 의원은 국정원이 수행하는 사이버 공격·위협에 대한 예방·대응 업무의 대상 기관에 국회·법원·헌재·선관위를 포함하는 내용을 담은 국가정보원법 개정안을 대표 발의했다.
개정안은 제안 이유에서 대다수 국가기관은 국정원을 중심으로 사이버안보 분야가 총괄 관리되고 있지만, 국회·법원·헌재·선관위 등은 여전히 해당 기관이 자체적으로 관리하고 있어 점차 고도화하는 사이버 위협에 적시 대처하는 데 한계가 있다고 지적했다.
이번 개정안으로 높은 전문성과 체계적인 기관 간 정보 공유·협업을 통해 사이버 위협에 효과적으로 대응하는 제도를 마련하겠다고 밝혔다.
개정안이 통과되면 국회·법원·헌재·선관위는 사이버 공격·위협 예방과 대응에 필요한 진단·점검을 연 1회 이상 실시해야 한다. 현장점검의 경우 국정원 전문요원이 대상기관에 직접 방문해 정보시스템 전반을 파악하고 보안체계를 확인한다. 또 내부망 침투 가능성과 주요 데이터 유출 위험성 등을 중점적으로 점검한다. 이를 바탕으로 보안대책 수립을 위한 맞춤형 컨설팅을 제공한다.
아울러 국정원의 사이버보안 실태 평가도 받아야 한다. 국정원은 국정원법, 사이버안보업무규정, 전자정부법, 공공기록물관리법 등을 근거로 해마다 최신 사이버 위협 등을 반영한 평가지표를 기반으로 기관의 사이버보안 실태를 평가한다. 현장실사를 통해 기관의 자체 평가를 검증하고, 최종 평가에 따른 개선 대책 이행 여부도 점검한다.
다만 헌법기관 특수성을 고려할 때 사이버 보안 투자 강화 등 자구책을 마련하는 게 우선이라는 의견이 나온다.
익명을 요구한 정보보호업계 관계자는 “원칙적으론 국정원이 국회·선관위 등 헌법기관에 대해 사이버보안 예방·대응 업무를 지원하는 것은 사이버 공격 현황을 고려하면 시급하고 가능하다”면서도 “국회·선관위 등 헌법기관의 보안 대응 능력과 사이버 보안 거버넌스, 예산 투자를 획기적으로 강화하는 게 우선”이라고 말했다.
이어 그는 “이러한 상태에서 헌법기관과의 긴밀한 협의 하에 사이버 보안 공격 예방·대응·복구 등 지원을 추구할 필요가 있다”고 덧붙였다.
한편, 이번 국정원법 개정안은 유 의원이 대표 발의한 '전자정부법 개정안'과 연동돼 있어 법안 간 상호 의결을 전제로 하고 있다. 전자정부법 개정안은 국회·법원·헌재·선관위 등은 해당 기관장이 필요하다고 인정한 경우에만 국정원이 정보통신망 안전성을 확인할 수 있다는 예외 조항을 삭제하는 게 골자다.
조재학 기자 2jh@etnews.com
