[블루팀 리포트] 사이버보안 컨트롤타워는 어디인가

청와대 국가안보실, 명목상 민간·공공·군 총괄

사이버안보 비서관 독립·청 신설 필요성 제기

"北 해킹 왜 면죄부 받나…권한 주면 책임져야"

정부, 사이버보안기본법 추진…공조·협업 무게

"청 신설은 숙고…단일화 시 기본법 논의해야"

[사진=게티이미지뱅크]

코로나19 이후 국가·사회 전반의 디지털 의존도가 높아진 가운데, 명실상부한 '사이버보안 컨트롤타워'가 필요하다는 목소리가 커지고 있다. 현행 국가 사이버보안 대응 체계상 과학기술정보통신부(민간), 국가정보원(공공), 국방부(군)가 영역을 분담하고 이들 간의 협력을 지휘하는 명목상의 컨트롤타워로 청와대 국가안보실이 있지만, 전문가들은 충분하지 않다고 지적한다.

국가안보전략연구원(INSS)이 지난 4월 발간한 '바이든 정부의 사이버안보 정책 전망' 보고서에 따르면 우리의 사이버안보 업무 총괄 직책은 청와대 국가안보실 '사이버정보비서관'으로, 기존 정보비서관과 사이버안보비서관 업무를 통합한 것이다. 이 보고서를 작성한 오일석 연구위원은 "사이버안보 업무만 전담하고 있지 않기 때문에 사이버안보에 대한 실질적인 정책 조정과 총괄업무 수행에 한계가 있을 것으로 추측"한다며 "사이버안보 거버넌스 체계의 원활한 작동이 사이버공격 대응의 효과적 수행에 매우 중요하므로 사이버안보비서관을 독립시켜 운영하는 것을 적극 고려"해야 한다고 결론내렸다.

사이버위협 대응 역량을 국가안보 관점에서 강화하기 위해 '사이버안보청'을 만들어야 한다는 주장이 있다. 사이버안보청에 자체 사이버보안 분야의 전문성과 연구개발·인재양성 기능, 국제 외교·안보 협력 권한, 침해사고와 공격에 대한 정보수집·수사 권한을 부여하고, 민간과 공동으로 훈련·대응하게 함으로써, 이 조직이 진정한 사이버보안(안보) 컨트롤타워가 될 수 있다는 견해다.
 

"국가안보실에 없는 전문성과 정보수집·수사권 있어야"

박춘식 아주대 사이버보안학과 교수가 지난주 양정숙 의원 주최 토론회 발제로 내놓은 메시지다. 그는 사이버안보청의 필요성을 역설하면서 "사이버안보청이 (사이버안보를 위한) 정책과 전략을 수립하고 실질적으로 공격을 막아내는 실행·실무 기관이 돼야 한다"라며 "그러려면 사이버안보 기본법이 제정되고, 지금은 없어진 청와대 사이버안보수석이 신설돼야 한다"라고 덧붙였다.
 

우리나라 사이버보안 대응체계. [자료=과기정통부]

하지만 실질적인 컨트롤타워를 만들기 위해 기존 현황을 구체적으로 분석·진단하고 사회적 합의에 이르려는 노력은 없었다는 지적이 나온다. 토론 패널로 참여한 김승주 고려대 정보보호대학원 교수는 "국가사이버안보전략에 청와대 국가안보실이 있는데 (사이버보안 컨트롤타워로서) 제대로 동작하지 않는다는 게 문제인데, 왜 동작하지 않는가 생각해 볼 필요가 있다"고 말했다.

김 교수는 "정부 부처의 힘은 예산권·감사권에서 나온다"라며 "미국은 각 부처가 보안성평가를 받고 그 결과가 이듬해 IT 예산에 반영되는데, 우리 컨트롤타워(국가안보실)엔 그런 게 없다"고 말했다. 그는 "컨트롤타워를 정상화하려면 뭘 준비해야 할지 우선 검토해봐야 하고, 그럼에도 별도의 청을 만들어야 한다면 어떤 권한을 어떻게 줄 건지 구체적으로 따져 봐야 한다"라고 강조했다.

그는 사이버안보 또는 사이버보안 컨트롤타워 역할을 할 별도의 청을 만들 경우, "정보수집·수사권을 줘야 한다고 했는데 엄청난 권한"이라면서 "이걸 준다고 할 때 국회와 국민정서가 '오케이'할 것인지 검토해 봐야 한다"고 말했다. 또 청을 만들면 과기정통부·국정원·군사안보지원사령부·사이버작전사령부 등으로 분산된 기능이 없어지는지도 자세히 고려돼야 한다고 덧붙였다.
 

정부는 사이버보안 정보공유강화·민간역량 개선에 무게

국가안보 차원에서 사이버보안 대응력을 높여야 한다는 덴 정부도 이견이 없다. 발제에 나선 신대식 과기정통부 정보보호기획과장은 "역대 정부 처음으로 '국가사이버안보전략'을 만들어 민간 분야 정보보호와 국가안보의 통합을 차질 없이 이행하고 있다"라며 "사이버공격이 민·관의 경계를 초월해 발생할 가능성이 큰 상황에서 부족한 부분을 개선하는 정책을 추진하고 있다"라고 밝혔다.

신 과장은 지난달 18~49세 일반 국민 1700만명 대상으로 개통한 질병관리청의 코로나19 예방접종 사전예약시스템이 원활하게 운영된 배경에 대해, 다른 나라의 백신예약 관련 시스템에 해킹 공격이 빈번했다는 점을 염두에 두고 과기정통부와 국정원이 협력해 모의훈련 등을 통해 해킹에 대비한 노력도 있었다고 밝혔다. 사이버보안이 국민의 일상과 건강을 지키는 역할도 했다는 뜻이다.
 

[사진=게티이미지뱅크]

정부 차원에선 정보공유를 강화하고 민간의 자체 사이버보안 역량을 개선하는 데 무게를 두는 분위기다. 신 과장은 "정보공유 활성화가 강조돼야 한다"라며 "정보공유만으로도 사전 예방할 수 있는 부분이 많고 해킹에서 사이버공격 정보를 사전 입수해 차단하는 것이 중요하다"라고 말했다. 그는 "정부가 모든 것을 다 할 수 없고 민간의 기초역량 강화가 중요한 부분"이라고 덧붙였다.

신 과장은 '사이버보안청' 설립 시 장단점이 있을 것이라 봤다. 그는 "(사이버사고) 대응을 신속하게 할 수 있겠지만 전문가 풀 확보, 기술개발, 민간산업 육성과 같은 부분은 약해지지 않을까 하는 우려가 있다"라며 "(현행) 민·관·군의 사이버보안 대응 체계의 장점을 살리면서, 사이버보안 기본법 제정을 통해 미흡한 부분을 보완하는 방향으로 가는 게 낫지 않나 생각한다"고 말했다.
 

KISA "기존 컨트롤타워 기능 강화한 지원 조직으로"

오진영 한국인터넷진흥원(KISA) 미래정책연구실장도 "민간·공공 대상으로 (일원화한) 정책이 한 번에 나오면 보안업계에서 빨리 대응해 침해대응 역량이 강화될 수 있다"면서도 "컨트롤타워에 예방·대응 중심 기능이 집중되면 기술개발·인력양성·산업육성이 간과될 수 있고, 통합관제·사고조사 등 권한이 집중돼 민간 부문을 규제하면 (문제가) 반드시 제기될 것으로 보인다"고 언급했다.

오 실장은 "다른 국가에서도 사이버보안 기구의 권한과 역할 등 거버넌스 논의가 많이 이뤄지는 추세"라며 "유럽연합(EU)은 올해 6월부터 사이버보안법이 전면 시행돼 각국 정보보호 법체계 근간인 네트워크정보보안지침(NIS) 범위 확대 논의에 들어갔고, 독일은 'IT 보안법 2.0' 개정 논의를 진행하고 있고, 경제협력개발기구(OECD)는 디지털보안 권고사항을 논의하고 있다"고 설명했다.
 

조 바이든 미국 대통령(사진 뒷줄 가운데)이 지난달 25일 애플, 구글, 아마존 등 빅테크와 금융기관, 기간산업 관련 업체 최고경영자(CEO)들을 소집해 사이버보안 강화 방안을 논의하고 있다. [사진=연합뉴스]

이어서 "현행 체계에서 공유·협력 얘기가 많이 나왔지만 제대로 활발하게 실행되지 않았다고 본다"라며 "이 부분에 과기정통부도 신경을 많이 쓰고 있고 국가안보실도 컨트롤타워 강화를 위한 활동을 많이 하고 있어, (사이버보안청 설립 시) 기존 컨트롤타워 기능을 더 강화해 지원하는 조직으로, 사이버보안 관련 분야 전반을 개선할 수 있지 않을까 생각한다"고 덧붙였다.

정부는 지난달 초 부처 합동으로 '랜섬웨어 대응 강화방안'을 발표하면서 공공·민간 분야별로 제각각인 사이버보안 관련 법령을 통합해 체계화하는 '사이버보안 기본법' 제정을 추진한다고 밝혔다. 이 기본법에 사이버보안 기본계획 수립, 민·관 정보공유와 기반시설 관리 강화 근거를 담고 기관별로 분산된 사이버보안 대응 영역·의무, 제재·처벌 근거 등을 일원화하는 구상을 제시했다.
 

"단순사고 넘어선 사이버안보·보안 핵심의제 찾아야"

그러나 김승주 교수는 "청와대 국가안보실은 컨트롤타워 역할을 하고 민간·공공·군으로 분산된 체제를 갖고 있다고 얘기하는데 이게 제대로 분산된 체제인지 고민해 봐야 한다"라며 "과기정통부와 KISA가 민간 영역을 맡았다지만, 엄밀히 말해 민간의 '정보통신망'에 한정돼 그 외엔 담당이 아니고, 국토교통부가 자동차보안 담당 역할을 하기 시작했다"라고 봤다.

김 교수는 "미국은 의료체계와 비슷하게 1차 대응기관이 있고 그 위에 2·3차 담당기관이 있어, 하위 기관에서 평가한 것을 상급기관이 인정하면서 '플러스알파' 영역만 점검하는 '상호 호혜성 원칙'을 바탕으로 운영된다"면서 "지금처럼 과기부·KISA가 정보통신망 담당, 이런 게 아니라 '1차 진료소'와 (상위 기관이) 그걸 보강하는 역할이 되게 해야 제대로 된 분산체제가 갖춰진다"고 내다봤다.
 

하태경 의원이 지난 7월 1일 한국항공우주산업 해킹사고 관련 정황을 발표하며 정부에 국가 사이버테러 비상사태를 선포해야 한다고 촉구하고 있다. [사진=연합뉴스]

또 "오는 2024년부터 유럽에 수출할 모든 차량에 '사이버보안성평가'가 요구되는데 우리 자동차산업계는 준비가 돼 있는지, 미국이 한국 전시작전권 이양을 위해 사이버보안성평가를 포함한 위험관리체계(RMF)를 마련하라는 조건을 제시하고 있는데 우리는 그걸 파악하고 있는지, 이런 의제를 발굴해 대통령에게 보고하고 챙기는 시스템을 만드는 게 중요하지 않나 싶다"고 말했다.

김 교수는 이어 "국가안보 관련 사안이면 철책이 뚫려도 (군 장성들이) 줄줄이 날아가고 미국에선 '소니픽처스' 해킹도 그냥 넘어가지 않았는데 우리는 왜 '북한 해킹이었다'고 하면 면죄부를 받느냐"라면서 "(특정 기관에) 권한을 몰아줬을 때 '빅브라더'에 대한 우려를 시민단체, 국회가 용인할지 고민해 봐야 하고, 문제가 생기면 반드시 책임을 지우는 부분도 필요하다"고 덧붙였다.
 

구심점 마련 논의만 15년째…"기본법 제정 선행돼야"

사이버안보 구심점을 마련하는 논의는 15년 전부터 있었지만 관련 입법은 지지부진했다. 지난 2006년 공성진 국회의원이 사이버위협 관련 공공·민간의 정보공유, 공동대응, 피해확산방지를 위해 국가사이버안전위원회를 설치하는 '사이버위기 예방 및 대응에 관한 법률안'을 발의했다. 이 법안은 17대 국회에서 소관위원회를 어디로 할지 협의하다 회기 만료로 폐기됐다.

18대 국회에서 2009년 발의된 '국가사이버위기관리법'도 폐기됐다. 19대 국회에 2013년 하태경 의원의 국가 사이버안전 관리에 관한 법률안, 서상기 의원의 국가 사이버테러 방지에 관한 법률안, 2015년 이철우 의원의 사이버위협정보 공유에 관한 법률안, 이노근 의원의 사이버테러 방지 및 대응에 관한 법률안이 발의돼, 법안소위에서 이들의 대안까지 마련했으나 이 역시 폐기됐다.
 

국회 통과 기다리는 계류 법안들. [사진=연합뉴스]

20대 국회에서 2016년 이철우 의원의 '국가 사이버안보에 관한 법률안'과 2017년 정부 법안도 논의 중에 폐기됐다. 21대 국회에선 지난해 조태용 의원이 대통령이 의장인 국가사이버안보정책조정회의를 설치하고 국가정보원장 소속 국가사이버안보센터를 둬 국가 차원의 사이버안보업무를 수행하도록 하는 사이버안보 기본법안을 발의했는데 1년 넘게 위원회 심사 단계에 계류 중이다.

과기정통부가 정부입법으로 추진하고 있는 사이버보안 기본법은 기존 분산된 기관 간의 역할을 인정하면서 정보공유를 강화해 대응력을 높인다는 데 초점을 맞추고 있다. 이와 별개로 최근 토론회를 주최한 양정숙 의원 측이 사이버보안 기본법 제정을 추진하고 있는데, 이 발의안에 실질적인 사이버보안 컨트롤타워로서 사이버보안청을 설치하는 내용을 담을지 검토 중이다.

오진영 실장은 "사이버보안 관련 규정이 망법, 전자금융거래법, 사이버안보업무규정, 기반시설보호법 등에 나뉘어 있고 이 범주 외의 사안이나 관할에 혼선이 있는 경우가 많다"라며 "유럽이나 다른 지역에서도 (사이버보안 강화를 위해) 우선 단일 법체계부터 정비하고 있어, 우리 역시 정보보호 관련 기본법을 중심으로 부처 간 상호 협업하는 부분이 마련돼야 한다"라고 말했다.

이어 "이 기본법이 단일화된 거버넌스 얘기가 나올 때 논의돼야 한다고 생각한다"라며 "사이버보안에 관련된 여러 부처·전문기관·담당조직마다 서로 다른 입장이 있어, 단일화된 거버넌스와 협력체계를 제대로 갖추려면 각각의 입장을 반영하고 부처, 학계와 시민사회가 연구하고 숙의하는 과정이 필요하다"라고 강조했다.