댓글 0
기사입력
: 2019.07.19 17:01
▲ 지난 10일 개최된 ‘국제 정보보호 컨퍼런스’에서 국정원 관계자가 ‘국가·공공기관 사이버보안 주요정책’을 발표하고 있다. [사진=김한경 기자]한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주>
‘국가사이버안보전략’ 발표했지만 관련 법 제정되지 않으면 이행 어려워
[시큐리티팩트=김한경 안보전문기자] 지난 4월 청와대 국가안보실은 사이버안보 정책의 최상위 지침서인 ‘국가사이버안보전략’을 발간했다. 사이버안보에 관해 정부 차원에서 내놓은 최초의 전략문서로서, 국가안보실은 “국가차원의 기본 방향을 제공하고 사이버안보 강국으로 발돋움하기 위한 장기적 관점의 비전과 목표를 담고 있다”고 설명했다.
‘국가사이버안보전략’이 차질 없이 추진되려면 국가안보실의 컨트롤타워 역할이 중요하다. 정부는 6대 전략과제별로 범부처 차원의 국가 사이버안보 기본계획 및 시행계획을 수립·시행할 예정이다. 하지만 계획 수립에 대한 법률적 근거가 마련되지 않은 상황이다. 결국 관련법이 제정되지 않으면 전략문서의 성공적 이행은 기대하기 어렵다.
현재 사이버안보와 직접 관련된 법령은 2005년 1월 대통령 훈령으로 제정된 ‘국가사이버안전관리규정’이 유일하다. 2003년 1월 인터넷 대란이 발생하자 사이버공격에 대한 정부 차원의 체계적 대응을 위해 2004년 2월 국가사이버안전센터(NCSC)가 설립됐다. 이 규정은 NCSC의 업무를 뒷받침할 법적 근거로 마련됐다.
기본법 역할 해온 ‘국가사이버안전관리규정’ 현 상황과 맞지 않아
이 규정에 의하면, 국가정보원장이 국가사이버안전과 관련된 정책·관리를 관계중앙행정기관의 장과 협의하여 총괄·조정하고, 국가사이버안전기본계획을 수립·시행한다. 단 국방은 특례를 적용해 국방부장관이 그 업무를 수행하게 돼 있다. 이 규정은 국가안보를 위협하는 사이버공격으로부터 국방 이외의 국가 정보통신망 보호를 목적으로 하고 있다.
따라서 국가 차원의 사이버 정책보다는 2004∼2005년 제정 당시 국가 정보통신망 침해 사고에 대한 관리·감독이 필요했던 상황이 반영돼 있다. 이후 국회에서 사이버안보 관련 법안들이 몇 차례 상정됐지만 제대로 추진되지 못하고 폐기됨으로써 ‘국가사이버안전관리규정’은 지금까지 기본법 역할을 해오고 있는 셈이다.
이 규정과 연관된 정보보호 법령으로는 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’(정보통신망법)과 국가주요기반시설을 보호하는 ‘정보통신기반보호법’ 그리고 정보보호 산업의 기반 구축과 경쟁력 강화를 위한 ‘정보보호산업진흥법’ 등이 있다.
이 규정에 의하면, 국가정보원장이 국가사이버안전과 관련된 정책·관리를 관계중앙행정기관의 장과 협의하여 총괄·조정하고, 국가사이버안전기본계획을 수립·시행한다. 단 국방은 특례를 적용해 국방부장관이 그 업무를 수행하게 돼 있다. 이 규정은 국가안보를 위협하는 사이버공격으로부터 국방 이외의 국가 정보통신망 보호를 목적으로 하고 있다.
따라서 국가 차원의 사이버 정책보다는 2004∼2005년 제정 당시 국가 정보통신망 침해 사고에 대한 관리·감독이 필요했던 상황이 반영돼 있다. 이후 국회에서 사이버안보 관련 법안들이 몇 차례 상정됐지만 제대로 추진되지 못하고 폐기됨으로써 ‘국가사이버안전관리규정’은 지금까지 기본법 역할을 해오고 있는 셈이다.
이 규정과 연관된 정보보호 법령으로는 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’(정보통신망법)과 국가주요기반시설을 보호하는 ‘정보통신기반보호법’ 그리고 정보보호 산업의 기반 구축과 경쟁력 강화를 위한 ‘정보보호산업진흥법’ 등이 있다.
기존 정보보호 법령들 중복 및 임무 모호성 등 문제 갖고 있어
그런데 이들 법령은 유사한 보호대상을 분야만 다르게 규정해 동일 주체에 여러 법률이 동시에 적용되는 사례가 많다. 또 정보보호 주체와 임무가 명확하지 않아 책임이 불분명함으로써 침해사고에 즉각 대처하기도 어렵다. 전문가들은 “쉽게 이해할 수 있는 정보보호 법규가 있어야 사람들의 인식을 변화시키고 보안 강화에도 도움이 된다”고 말한다.
세계 주요국들은 이미 사이버안보의 중요성을 인식하고 국가적 대응책을 법률로 제정해 관리해 나가는 추세이다. 미국은 2001년 9·11 테러 이후 ‘국토안보법’을 필두로 사이버안보와 관련한 정책을 발표하면서 이를 뒷받침할 법규를 체계적으로 정비해오고 있다.
영국은 사이버공격을 테러나 군사적 충돌 같은 1급 국가안보 위협으로 간주하고, 2016년 11월 정보수사기관이 특정 휴대전화나 컴퓨터를 해킹할 수 있는 ‘수사권법’을 입법화했다. 일본도 2014년 11월 ‘사이버시큐리티기본법’을 제정해 시행 중이고, 중국 또한 2017년 6월 사이버 주권 수호를 명시하고 사이버통제를 강화한 ’사이버안전법‘ 시행에 들어갔다.
종합적인 ‘사이버안보법’ 제정해야...국정원 총괄이 현실적 대안
국방 분야, 통합방위법의 작전 영역에 ‘사이버공간’ 포함시켜야
이렇게 주요국들은 사이버안보라는 분명한 명제 아래 기본법을 구비하고 이를 시행하기 위한 지침을 마련해 정부부처들이 취해야 할 대응방안을 명확히 제시하고 있다. 반면, 우리는 대통령 훈령인 ‘사이버안전관리규정’이 전부여서 북한의 사이버공격에 체계적으로 대응하기 어려운 환경에 놓여 있다.
사이버위협은 사전에 예측하고 징후를 포착해 공격 발원지를 무력화하는 것이 가장 효과적이다. 이것을 제대로 할 수 있는 조직은 국가정보원 같은 정보기관이다. 하지만 국정원이 수차례 사이버안보 관련 법안을 내놓았음에도 국정원에 쏠리는 권한을 우려한 정치권의 반대로 무산되면서 10년 이상의 세월이 지나갔다.
손영동 한양대 교수는 “국회에 국정원의 사이버안보 업무 감시기구를 만들어 투명성을 확보하는 것이 해법이 될 수 있다”고 주장했다. 그는 “국가 차원의 사이버안보전략이 공표됐고 이를 차질 없이 수행할 법적 근거가 마련돼야 하는데, 그 중심이 사이버안보법(가칭) 제정”이라면서 “사이버안보법과 함께 통신비밀보호법 등 관련 법규를 개정하는 작업도 마땅히 뒤따라야 한다”고 말했다.
국방 분야도 마찬가지이다. 국가 총력전 개념에 입각한 ‘통합방위법’의 작전 영역에 사이버공간이 포함돼 있지 않다. 현대전은 사이버공간의 취약점을 공격하는 사이버전으로 시작되기 때문에 통합방위작전 관할구역인 지상·해상·공중에 사이버공간을 제4의 영역으로 포함시켜야 한다. 모든 무기체계가 사이버공간과 연결되고 사이버공간을 통해 능력이 발휘되는 상황에서 현재 한국군은 ‘사이버공간작전’을 수행할 법적 근거가 없다.
그런데 이들 법령은 유사한 보호대상을 분야만 다르게 규정해 동일 주체에 여러 법률이 동시에 적용되는 사례가 많다. 또 정보보호 주체와 임무가 명확하지 않아 책임이 불분명함으로써 침해사고에 즉각 대처하기도 어렵다. 전문가들은 “쉽게 이해할 수 있는 정보보호 법규가 있어야 사람들의 인식을 변화시키고 보안 강화에도 도움이 된다”고 말한다.
세계 주요국들은 이미 사이버안보의 중요성을 인식하고 국가적 대응책을 법률로 제정해 관리해 나가는 추세이다. 미국은 2001년 9·11 테러 이후 ‘국토안보법’을 필두로 사이버안보와 관련한 정책을 발표하면서 이를 뒷받침할 법규를 체계적으로 정비해오고 있다.
영국은 사이버공격을 테러나 군사적 충돌 같은 1급 국가안보 위협으로 간주하고, 2016년 11월 정보수사기관이 특정 휴대전화나 컴퓨터를 해킹할 수 있는 ‘수사권법’을 입법화했다. 일본도 2014년 11월 ‘사이버시큐리티기본법’을 제정해 시행 중이고, 중국 또한 2017년 6월 사이버 주권 수호를 명시하고 사이버통제를 강화한 ’사이버안전법‘ 시행에 들어갔다.
종합적인 ‘사이버안보법’ 제정해야...국정원 총괄이 현실적 대안
국방 분야, 통합방위법의 작전 영역에 ‘사이버공간’ 포함시켜야
이렇게 주요국들은 사이버안보라는 분명한 명제 아래 기본법을 구비하고 이를 시행하기 위한 지침을 마련해 정부부처들이 취해야 할 대응방안을 명확히 제시하고 있다. 반면, 우리는 대통령 훈령인 ‘사이버안전관리규정’이 전부여서 북한의 사이버공격에 체계적으로 대응하기 어려운 환경에 놓여 있다.
사이버위협은 사전에 예측하고 징후를 포착해 공격 발원지를 무력화하는 것이 가장 효과적이다. 이것을 제대로 할 수 있는 조직은 국가정보원 같은 정보기관이다. 하지만 국정원이 수차례 사이버안보 관련 법안을 내놓았음에도 국정원에 쏠리는 권한을 우려한 정치권의 반대로 무산되면서 10년 이상의 세월이 지나갔다.
손영동 한양대 교수는 “국회에 국정원의 사이버안보 업무 감시기구를 만들어 투명성을 확보하는 것이 해법이 될 수 있다”고 주장했다. 그는 “국가 차원의 사이버안보전략이 공표됐고 이를 차질 없이 수행할 법적 근거가 마련돼야 하는데, 그 중심이 사이버안보법(가칭) 제정”이라면서 “사이버안보법과 함께 통신비밀보호법 등 관련 법규를 개정하는 작업도 마땅히 뒤따라야 한다”고 말했다.
국방 분야도 마찬가지이다. 국가 총력전 개념에 입각한 ‘통합방위법’의 작전 영역에 사이버공간이 포함돼 있지 않다. 현대전은 사이버공간의 취약점을 공격하는 사이버전으로 시작되기 때문에 통합방위작전 관할구역인 지상·해상·공중에 사이버공간을 제4의 영역으로 포함시켜야 한다. 모든 무기체계가 사이버공간과 연결되고 사이버공간을 통해 능력이 발휘되는 상황에서 현재 한국군은 ‘사이버공간작전’을 수행할 법적 근거가 없다.
