ICT 기술이 급속도로 발전하면서 ‘평화’속에서도 ‘사이버 전쟁’은 진행 중이다. 세계 각국들은 자국의 이익을 위해 수시로 사이버전을 벌이고 있다. 특히 북한의 사이버공격 능력은 세계를 위협할 정도로 뛰어나 한국군의 경계 대상이다. 이에 시큐리티팩트는 사이버전문가 릴레이 인터뷰를 통해 한국군 사이버전의 현주소와 향후 발전 방향에 대해 심층 보도한다. <편집자 주>
(정리=김한경 총괄 에디터)
지난 8월 9일 국방부는 ‘국방사이버안보 역량 강화방안’을 국방개혁의 과제로 선정하고 본격 추진한다고 밝혔다. 반면 청와대는 사이버안보의 컨트롤타워 역할을 해야 할 사이버안보비서관 직위마저 없앴다. 이와 관련, 한국을 대표하는 사이버안보 전문가인 손영동 한양대 융합국방학과 교수를 만나 사이버안보에 관한 견해를 들어 보았다.
그는 1986년 경제지 기자로 우리 사회에 태동하기 시작한 정보통신(IT) 분야를 접한 후 20년 이상 세월을 함께 했으며, 2008년 국가보안기술연구소장으로 취임하면서 사이버안보에 관심을 갖게 됐다. 손 교수는 “당시 보안시스템의 위험성을 감지하고 사이버전 담당 본부를 신설하는 등 본격적 대비를 시작했다”고 회상했다.
그는 사이버전 관련 서적도 2권이나 출간했다. 2010년 사이버전 관련 최초의 책으로 평가되는 ‘iWAR’를 저술했고, 2013년에는 ‘0과1의 끝없는 전쟁’을 발간했다. 이 책은 기술적 측면에서 접근했던 ‘iWAR’와는 달리 사이버전을 인문학적 관점에서 풀어내 큰 관심을 받기도 했다.
- 사이버안보의 컨트롤타워가 필요한 상황에서 청와대가 사이버안보비서관 직위마저 없애고 정보융합비서관과 통합해 사이버정보비서관 직위로 만들었다. 정부의 조치에 대해 어떻게 생각하나?
2015년 1월 청와대는 사이버테러에 체계적인 대책 마련을 위해 임종인 고려대 정보보호대학원장을 안보특보로 임명하였고, 이어 4월에는 국가안보실에 ‘사이버안보비서관’을 신설했다. 이 자리가 금년 7월 청와대 조직운영 개편 과정에서 사라졌다. ‘사이버안보비서관’과 ‘정보융합비서관’의 기능이 유사하고 시너지 효과를 내기 위해 통합한 것이라지만 사이버 위협에 대한 정부의 태도를 그대로 보여준다. 사이버 군비경쟁이 세계적으로 치열하게 전개되는 와중에 우리나라만 거꾸로 가는 모양새다.
- 2차례의 남북 정상회담에서 이루어진 군사 분야 합의에서도 사이버전 분야는 전혀 언급이 없는데
사이버안보에 대한 정부의 안이한 인식이 그대로 드러난 결과이다. 지난 4월 판문점 선언에서 남과 북은 지상·해상·공중을 비롯한 모든 공간에서 군사적 긴장과 충돌의 근원이 되는 일체의 적대행위를 전면 중지하기로 했다. 하지만 ‘모든 공간’에서 사이버공간은 빠져 있다. 지난 9월 평양정상회담에서 이뤄진 군사 합의에서도 우리가 유리한 감시·정찰 능력은 상당히 제한하면서 북한이 월등한 사이버전력에 대해서는 일체 언급되지 않아 안타까운 심정이다.
- 사이버안보 분야는 국가의 컨트롤타워도 필요하지만 국방의 컨트롤타워도 있어야 하는데 그 모습이 보이지 않는다. 어느 부서에서 누가 어떤 역할을 해야 하나?
국방의 사이버위협에 대한 개념, 법적·제도적 장치, 예산, 인력 등 거의 모든 부분이 아주 미흡하다. 국방사이버안보의 수행체계는 ▷국방부(정책 및 예산) ▷합참(합동작전) ▷사이버사령부(실행)의 삼각구도가 바람직하다.
이를 위해 국방부 내 국방 사이버안보 정책을 총괄하는 조직이 정책실 내에 별도로 있어야 한다. 합참은 군사지원본부 예하의 사이버지휘통신부에 편성된 사이버작전과를 작전본부로 옮겨야 한다. 또한 사이버사령부의 역할에 힘이 실리려면 사령관의 계급을 중장으로 격상하고 전 군의 사이버 역량을 집중하는 형태가 바람직하다.
- 사이버 분야에서 국가 기반시설 방호는 어느 기관이 담당해야 하며, 국방이 지원할 부분이 있는가?
국가 기반시설 방호는 해당 정부부처와 공공기관이 일차적인 책임을 져야 하고, 국가 사이버안보 차원에서 국정원 예하 국가사이버안전센터(NCSC)가 대응태세를 강구해야 한다. 국방이 국가안위의 최후 보루이지만 무기체계 보호에도 어려움이 많은 상황이라서 수백 곳이나 되는 기반시설 방호에 관여할만한 여력이 있을지 모르겠다.
- 사이버전 수행 능력 강화를 위해 국방부가 우선적으로 해야 할 일은 무엇이라고 생각하나?
군 수뇌부가 강력한 의지를 표명하고 이를 수행할 조직체계를 갖춰 주어야 한다. 즉 사이버사령부 중심으로 사이버전 지휘체계를 단순화해야 한다. 국방 정보화와 정보보호 업무는 명확히 구분해 정보화는 지휘통신사령부가, 정보보호를 포함한 사이버방호는 사이버사령부로 일원화해야 한다. 또한 국방 사이버안보 정책의 일관성 있는 수행을 위해 관련 법령을 빠른 시간 내에 개정하여 제도적 근거를 마련해야 한다.
군 수뇌부가 강력한 의지를 표명하고 이를 수행할 조직체계를 갖춰 주어야 한다. 즉 사이버사령부 중심으로 사이버전 지휘체계를 단순화해야 한다. 국방 정보화와 정보보호 업무는 명확히 구분해 정보화는 지휘통신사령부가, 정보보호를 포함한 사이버방호는 사이버사령부로 일원화해야 한다. 또한 국방 사이버안보 정책의 일관성 있는 수행을 위해 관련 법령을 빠른 시간 내에 개정하여 제도적 근거를 마련해야 한다.
- 현재 한국군의 사이버 방호 수준에서 가장 취약한 부분은 무엇이며, 향후 어떤 조치가 필요한가?
모든 부분이 다 취약하다. 예컨대 국방망 백신사업이 2016년 9월 국방망이 뚫리고 1년 반이 지나서야 사업자가 선정됐다. 외부와 연결되는 인터넷망은 외국업체가 수주했다. 수많은 보안업체들이 백신사업 참여를 포기한 이유는 돈이 되지 않아서다.
정부 주도형 국방연구개발이 한계에 봉착한 상황에서 민간기업 주도형으로 정책의 변화가 필요하다. 방산업체와 사이버보안업체가 사이버무기를 공동 개발하여 적시에 제공할 수 있도록 ‘신속획득 제도’가 마련돼야 한다.
- 북한의 사이버 공격을 막기 위해 정부와 군이 함께 노력해야 할 부분은 무엇인가?
사이버안보 역량 강화를 위해 가장 필요한 것은 예산이다. 그 외는 군 자체의 의지와 노력으로 사이버 대응태세를 갖춰나갈 수 있다. 사이버 전문 특기 신설, 민간의 우수 사이버인력 군무원 채용, 사이버전 훈련장 구축 등도 예산이 뒷받침돼야 가능하다.
- 마지막으로, 전·평시 사이버전을 수행하고 있는 한국군에게 당부하고 싶은 말은?
전장 패러다임이 변화하고 있다. 하지만 사이버사령부는 창설 이후 지금까지 전문적인 임무를 수행할 수 있는 정책적·제도적 기반이 미흡했다. 사이버임무를 수행할 인력 수급도 되지 않아 경험이 부족한 인력을 배치시켰고 그나마 전문성이 길러지기도 전에 타 부서로 보직이 바뀌었다. 이러한 고질적인 인사정책으로 매번 같은 수준의 정책적·기술적 검토가 반복될 수밖에 없었다.
사이버사령부는 사이버 방호나 기술지원이 아닌 사이버작전을 주 임무로 수행해야 한다. 육·해·공군을 초월하는 사이버공간에서 군사적 목적을 달성하기 위해 중대한 업무를 맡고 있지만, 실제 군에서의 위상은 그렇지 못한 것이 현실이다. 사이버 역량이 한국군의 미래를 결정한다는 상황인식 아래 정책결정자의 사활적 의지가 무엇보다 중요하다.
ⓒ 시큐리티팩트 & www.securityfact.co.kr 무단전재-재배포금지