SK텔레콤을 비롯한 국내 주요 기관과 기업을 겨냥한 국가 단위 APT(지능형 지속 위협) 공격을 당한 원인으로 미국, 영국, 싱가포르 등 주요국과 달리 사이버공격 대응을 전담하는 정부 부처와 거버넌스 부재가 지목된다.
특히 10년 넘게 국회 문턱을 넘지 못한 '국가사이버안보기본법'으로 인해 국가정보원 등 사이버보안 전문 정부 부처와 민간 간 공조가 어려운 상황이다.
21일 정부 관계자에 따르면 국정원은 SKT 해킹을 국가 안보 위협으로 인식하고 관련 조사에 착수했다. 그러나 이는 공격 배후를 특정하기 위한 사후 조사 수준이며 다른 기관이나 기업에 대한 예방 조치로 이어지지는 않는다고 정부 관계자는 설명했다.
'국가정보원법' 제3조는 정보 수집 목적에 맞게 정보를 수집해야 하며 수집된 정보를 직무 외 용도로 사용해서는 안 된다고 규정하고 있다.
또한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 제47조는 민간기업 등 정보통신서비스 제공자가 자체적으로 정보보호 조치를 이행해야 하며 감독 주체는 과학기술정보통신부와 한국인터넷진흥원(KISA)으로 한정한다.
즉 국정원이 기업에 사이버공격 관련 정보 제공을 요청할 법적 근거가 없다. 공조를 위해서는 사이버공격이 국가 안보를 위협한다는 점을 국정원이 입증해야 한다.
2020년 정부와 국회는 고도화된 사이버공격에 대응하기 위해 국가 차원의 사이버안보 체계 구축과 공공·민간 협력 강화를 목표로 '국가사이버안보기본법'을 발의했으나 민간 사찰에 대한 우려로 현재까지 국회 통과가 무산됐다.
박춘식 아주대 사이버보안학과 교수는 "SKT 해킹 사태에서 보듯 3년 전부터 악성코드가 국내 1위 통신사에 침투해 있었다면 이는 국가 안보에 심각한 구멍이 뚫렸음을 의미한다"며 "과기정통부와 기업에만 맡길 것이 아니라 국정원 등과 공조해 국가 안보 수준을 강화해야 한다. 그러나 관련 법안이 국회에서 통과되지 않고 있다"고 지적했다.
정부 차원의 사이버안보 전담 부처 부재 역시 문제점으로 지적된다. 현재 공공 부문에서는 국정원이 행정안전부 등을 대상으로 사이버안보를 일부 담당하고 민간 부문은 과기정통부가 감독한다. 사이버 범죄에 대해서는 경찰청이 대응한다.
반면 미국은 2001년 9·11 테러 이후 CISA(사이버보안 및 인프라 보안청)를 두고 공공과 민간 전반에 대한 사이버 공격을 담당하고 있으며 국방부, NSA 등과 활발하게 공조하고 있다. 영국도 NCSC(국가사이버보안센터)를 두고 공공과 민간 부문에 대한 사이버 공격에 대응하고 있다. 싱가포르는 2015년 CSA(싱가포르 사이버보안청)를 설립했으며 CISA와 비슷한 역할을 하고 있다.
사이버 공격 수준이 단순히 개인의 금전 탈취를 넘어 국가 간 전쟁으로 확대되는 상황에서 국내에도 CISA 수준의 사이버안보 거버넌스가 필요하다는 의견이 제시되고 있다.
이성엽 고려대 기술경영전문대학원 교수는 "사이버 공격을 국가 안보 문제로 인식한다면 과기정통부 감독만으로는 한계가 명확하다"며 "공공과 민간 영역을 아우르는 통합 거버넌스와 컨트롤타워 역할을 수행할 전담 부처가 필요하다"고 제언했다.
김성현 기자minus1@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
