발행일 : 2021.10.27 수 18:00
HOME 오피니언 칼럼
국가 중요시설과 기업의 혁신적 사이버보안 필요류원호의 정보보안 이야기
류원호 국민대학교 법무대학원 겸임교수 | 승인 2021.08.20 10:40

[여성소비자신문]미국 조 바이든 대통령은 지난 16일 기자회견을 통해 아프가니스탄 철군 결정은 국익을 위한 올바른 결정이었다며 후회하지 않는다는 기존 입장을 재차 밝혔고 아프간 정치·군사 지도자들이 스스로 싸울 의지가 없어 몰락했고 더 이상 미군의 희생을 원하지 않는다는 의지를 피력했다. 

과연 우리나라 정치·군사 지도자들은 미군 없이 적대하고 있는 북한이 무차별 사이버공격에 이어 미사일과 핵공격 등 기습적인 남침을 감행하면 어떻게 대처할 것인지 국민의 한사람으로서 궁금하다.

그만큼 정부가 사이버안보에 강한 의지를 보여주지 않기 때문에 하는 말이다. 미국과 군사적 동맹으로 한반도 내에 있는 미군 기지와 미 자국민이 공격을 당한다면 미국은 당연히 강력한 군사적 대응을 할 것으로 보인다.

그러나 군사적 동맹과 달리 사이버공간에서는 미국과의 동맹관계는 무의미하다. 북한의 사이버공격을 미국의 사이버전사들이 막아줄 리도 없을 뿐더러 그러할 명분도 없는 상태이다. 앞으로의 전쟁 양상은 사이버전을 통해 우선 상대의 모든 기반과 전력을 무력화 시켜놓고 군사적 행동을 취하는 현상에서 사이버보안은 계속 강조해도 부족할리 없는 것이다.

이달 초 한·미 국방부 관계자가 만나 상시 전투태세가 유지되도록 지휘통제 및 정보공유체계 구축에 협의하며 사이버위협에 공동 대응하는 ICT(정보통신기술) 협력만 했을 뿐 사이버안보동맹은 거론된 것도 없다.

또한 지난 5월 한·미 정상회담에서 사이버 안보 협력을 심화하기로 합의한 것에 따라 지난달 16일 ‘한·미 사이버 워킹그룹’을 출범시켜 한·미 간 공동대처 및 협력체계를 강화해 나가기로 했는데 이것 역시 협력체계 강화일 뿐 사이버 안보동맹의 형태는 아니다.

과거에서부터 끊임없이 국가 중요시설과 대기업은 물론 중소기업이 북한으로부터 사이버 공격을 당하고 있는 실정이나 누구하나 책임지며 나서지 않는 상황으로 심각한 안보불감증의 시대에 살고 있다. 최근에도 국가안보에 중요한 핵심 시설인 한국항공우주산업(KAI)과 원자력연구원과 핵융합연구원이 연속으로 해킹을 당했다.

이미 과거에 잠수함 설계도와 원전 설계도면이 해킹 당한바 있었는데, 당국은 핵심기술은 가져가지 못했다고 애써 해석한바 있었다. 빠져나간 정보가 어떤 규모인지도 확인되지 않는 상황에서 만약 원자로와 핵연료 기술이 유출되었다면 결과는 끔찍한 것으로, 이후에도 계속 보안을 강화한다고 하지만 속수무책 털리고만 있으니 IT강국이라고 자처하고 있는 상황에서 국제적으로 망신당하고 있는 꼴이다.

현재로서의 컨트롤타워인 국가안보실에서는 지난달 16일 청와대 국가위기관리센터에서 서훈 국가안보실장 주재로 16개 부처 차관급이 참석한 ‘국가사이버안보정책조정회의’를 화상으로 열고 올해 국내외 랜섬웨어 공격이 이어지고 있다고 보고 범정부 차원의 선제적 대응에 나서기로 했는데, 이유를 모르겠으나 북한의 공격을 규탄하거나 거론하지도 않았다. 이렇다 보니 학계 등 여럿 전문가들은 유명무실한 컨트롤 타워를 지적하고 있는 것이다.

과거에 철책을 통해 월남하는 귀순자가 발생하면 국민들의 여론을 의식하여 책임자를 처벌한다며 몇몇 지휘관들을 보직해임시키는 현상이 있었다. 그러나 그보다도 더욱 심각한 국가의 기밀이 빠져나가는 중요시설의 해킹 사건에는 책임을 지고 물러날 사람도 없을뿐더러 청와대에서도 책임을 묻지 않는 분위기였고 국민들마저도 사이버안보의 심각한 불감증에 전문가들의 지적 외에 정부와 여당은 물론 일반시민 누구하나 나서서 여론을 확대시키려 하지 않고 있다.  

 미국의 경우는 대통령부터 직접 나서서 해킹사건에 대응하고 있음은 물론 새로운 전쟁의 개념으로 인식하고 해커를 끝까지 추적하고 밝혀내며 해당국가에 엄중한 경고를 보내는 실정이나, 우리나라의 경우는 대통령이나 청와대의 공식 입장은 당연히 없고 국가 중요시설과 기업 등이 연달아 털리고 있음에도 강력한 경고 한마디 없이 대책회의와 실무책임자 처벌 등으로 얼버무리는 일상이 되어 버렸다.

우리나라 국가 중요시설은 다양하다. ‘재난 및 안전관리 기본법 제26조(국가기반시설의 지정 및 관리 등)’에 근거를 두고 있는 시설은 국가가 정상적으로 유지되기에 절대적으로 필요한 시설에 대한 것으로 에너지를 담당하는 전기를 생산하는 화력·수력·원자력 발전소와 석유 비축기지, 공항과 항만시설 등 절대 필요한 교통시설, 주요 금융기관, 보건의료기관, 원자력, 주요 환경시설, 정수장 등 식용시설, 기타 정부 중요시설(각종 청사, 국방부 등)이 국가 중요시설로 지정되어 보호의 대상이다.

그중에 해킹위험에 중요하게 대비해야 할 시설을 ‘주요정보 통신기반시설’이라 하는데 국가안전보장, 행정, 통신, 금융, 의료 등 국가·사회적으로 중요한 시설로 ‘정보통신기반보호법 제8조’에 근거하여 지정·관리한다.

이러한 국가 중요시설의 자연적 위험은 태풍과 집중호우 등이 있을 것이며 사회적 위험은 화재나 붕괴 등이 있을 것이다. 그러나 사이버공격에 동시에 가동이 중단된다면 국가의 기능은 마비될 것이며 정부와 국민들은 혼란에 빠져드는 것은 물론이고 군사적 공격에 방어할 여력도 없이 당하게 될 것이다. 

과거 북한의 디도스 공격, 방송·금융전산망 해킹, 국방망 해킹, 가상자산거래소 해킹 등 다양한 공격은 피해를 당한 후 인지되었고 최근 KAI 등 해킹 역시 흔적이 발견되어 알려진 것이다. 그러나 흔적 없이 해킹하여 중요자료를 탈취 했을 수도 있으며 이미 수많은 자료가 넘어가 있을 수도 있다. 우리의 정보기관만 북한에 대해 속속들이 모르고 있지 북한은 모든 것을 알고 있을 수도 있다는 것이다. 

발톱을 숨기고 유사시 한방에 끝내기 위해 표면화된 핵무기와 미사일 전력 외 사이버 역량은 숨겨놓고 있는 것으로 판단되며, 이에 당하지 않기 위해서는 기존의 방식과 틀에서 벗어난 혁신적이고 실질적인 보안대책이 시급한 때이다.

미국과 러시아, 중국 등 대부분의 국가에서 비밀무기를 노출시키지 않고 숨겨놓은 것은 당연하며 그중에 통신감청기술과 사이버전 능력은 절대로 노출시키지 않는 것이 철칙일 것이다.
북한도 마찬가지로 언론을 통해 알려진 것처럼 우수한 영재를 선발하여 장기적으로 사이버 전사로 양성시키는 것과 우리나라를 비롯한 세계 각국을 대상으로 정보 획득을 위해 해킹을 자행하는 것과 해킹을 통해 외화벌이를 한다는 것 정도만 알고 있지 세부 능력은 알 수가 없는 것이다. 

우리나라도 사이버전 능력을 더욱 강화해야 한다. 미국과 이스라엘 등 주요 국가에서는 과거부터 체계적인 인력양성을 하고 있으며 사이버보안 전문가 인증제를 추진하는 나라도 있다. 우리나라도 체계적으로 지금부터라도 미래를 대비하며 초·중학생 때부터 우수자원을 선발하여 관리해야 하고 책임기관을 둬야 한다.

국가 중요시설과 방산업체 등 중요기업의 정보보호 최고책임자는 자리만 차지하는 것이 아니라 실질적으로 보안과 정보보호 전문가로 선발하여 운용하도록 규정화하고 특히 정부 부처와 주요기업의 각종 정보보호체계의 보안은 대부분 주 계약업체가 아닌 협력업체(하도급)에서 담당하고 있는데, 중요한 보안은 외부 협력사에 의존하지 말고 직접 처리할 수 있는 능력을 갖춰야 전시 등 국가혼란에 중단 없이 적극적으로 대처 할 수 있을 것이다.

사이버공격 등 대형사건을 당할 때 마다 컨트롤타워가 유명무실해서라는 말이 나오는 것이 국가안보실 주관으로 관계부처 회의를 하고 분주하게 대응방안 자료를 취합하고 대응책을 마련하여 부처에 하달하고 결과보고 받을 뿐 종합적이고 획기적인 대응책은 없는 상태에서 시간이 지나면 흐지부지 하다가 또 털리기 때문이다.

한반도의 안보위기상황은 변한 것이 없다. 핵과 미사일 위협보다 예고 없이 공격하는 사이버전쟁의 시대에 매번 당하며 살수는 없는 현실이다. 사이버전쟁에서 한·미동맹을 믿고 있다가는 다 털리고 실제 전쟁 시 손 써보지도 못하고 당할 것이 분명하므로 정부가 직접 나서서 ‘사이버안보청’ 신설과 매래 지향적 대응책을 제시해야 한다.

 

류원호 국민대학교 법무대학원 겸임교수  rwh1127@hanmail.net

<저작권자 © 여성소비자신문, 무단 전재 및 재배포 금지>

icon인기기사
여백
여백
Back to Top