법제도/정책

[해설] 선언적 수준에 그친 ‘국가 사이버안보 마스터플랜’

이유지 기자
[디지털데일리 이유지기자] 국가정보원, 방송통신위원회, 금융위원회를 비롯해 15개 정부 관계부처가 합동으로 마련한 ‘국가 사이버안보 마스터플랜’이 8일 발표됐다.

3.4 분산서비스거부(DDoS) 공격에 이어 현대캐피탈 고객정보 유출 사고와 사상초유의 농협 전산망 마비 사태를 겪으면서 국가 차원에서 총체적인 사이버위협 대응체계를 재정립하고, 세부 시행계획을 마련하기 위해 지난 5월부터 범부처 차원에서 마련돼 왔다.

이날 발표된 사이버안보 마스터플랜은 사이버공간을 영토·영공·영해에 이어 국가가 수호해야 할 중요한 영역이라는 점에서 “사이버위협에 총력 대응하자”는 중요성을 강조한 상징적 수준에 그친 것으로 분석된다.

더욱이 지난 2009년 발생한 7.7 DDoS(분산서비스거부) 공격 이후 수립한 ‘국가 사이버위기 종합대책’에서 크게 나아지지 않은 것으로 평가된다.

‘콘트롤 타워’의 부재로 그간 미비점으로 무수히 지적됐던 사이버위기대응체계도 기존의 대응체계를 다시 한 번 강조했을 뿐이다.

국가정보원이 ‘콘트롤 타워’로서 총괄하고, 방송통신위원회와 금융위원회, 국방부, 행정안전부 등 각 부처가 민간 금융 국방 전자정부대민서비스 및 정부통합전센센터 등 행정, 보건복지부가 보건의료 분야를 맡는다.  

“국정원의 ‘콘트롤 타워’ 기능과 부처별 역할을 명확히 해 그간 제기됐던 기관 간의 업무 혼선
·중복과 사각지대 발생의 문제점을 해소하기로 했다는 취지에 전적으로 부합한 지 의구심이 든다.    

석제범 네트워크정책국장은 이날 방통위에서 열린 기자브리핑에서 “과거에도 공공부분은 국정원에서 총괄을 하고 민간은 방통위가 맡아 각 분야에서 최선을 다해왔던 체계였고, 공공과 민간을 총괄하는 것은 국정원이 맡아왔다”며, “각 부처별 역할을 명확하게 정리했다고 봐 달라”고 말했다.

박철순 네트워크정보보호팀장은 “지금까지 공공·민간·국방을 국정원·방통위·국방부가 나눠 맡는 삼두체계로 운영됐고, 총괄은 국정원이 담당하고 금융, 보건복지는 해당 부처에서 관장했다”며 “민간부분까지 국정원이 개입하는 것은 아니며, ‘콘트롤 타워’가 모든 것을 콘트롤하는 것으로 생각하는 것 같은데, 부처별로 맡은 일을 일사분란하게 할 수 있는 체계로 이해해달라”고 설명했다.   

결국 ‘말로만’ 강조되고, 지금까지의 체계가 그대로 운영되는 셈이다.

전문가들은 각 부처별로 소관업무를 담당할 뿐만 아니라 점점 심각해지는 사이버안보 위협에 대응해 장·단기적으로 대응책을 총괄하고, 위협상황시에도 일사분란하게 국가대응체계를 통제할 콘트롤 타워의 필요성을 지속적으로 제기해 왔다.

염흥열 순천향대 교수는 “사이버보안 업무를 각 부처가 각자 맡고 있는 영역을 책임지고 잘 하는 것이 중요하다”면서도 “장기적으로 인력양성이나 연구개발 등 국가 사이버보안을 위해 필요한 우선순위는 잘 작동하고 있지 않기 때문에, 종합적으로 바라보고 조정하는 기능이 필요하다”고 말했다.

지난달 대통령 소속 국가정보화전략위원회가 ‘사이버보안 거버넌스 이대로 좋은가’를 주제로 개최한 ‘국가정보화전략포럼’에서도 비슷한 지적이 전문가들 사이에서 나왔었다.

주대준 KAIST 부총장은 “우리나라 사이버안보 리더십을 시급히 개선해야 할 시점”이라며, “심각한 사이버위기가 닥쳤을 때 대통령에게 직접 보고하고 신속하게 통제·대처할 수 있는 인력과 조작체계가 부재하다”고 꼬집었다. 이와 함께 주 부총장은 “대통령께 실시간 보고할 사이버안보보좌관이 필요하며, 신속한 정보공유와 공격 대응업무를 관장할 사이버보안청이나 센터도 설치해야 한다”는 방안도 제시했다.  

이날 발표한 예방, 탐지, 대응, 제도, 기반의 5대 중점 전략과제 역시 기존에 이미 필요성이 강조됐거나 추진해온 대책의 재탕격이다.

가장 최근 터진 대형 보안사고인 SK커뮤니케이션즈 고객정보 유출 사고 직후 현재 국가 차원에서 필요한 보안대책을 묻는 질문에 보안업계나 전문가들이 대체로 “그동안 발표한 대책만이라도 제대로 이행만 해도 낫겠다”며, “그동안 대책으로 제시할만한 방안은 모두 나왔고, 사고가 날 때마다 ‘계획’이나 ‘대책’상으로만 반복되고 있다”며 답답하다고 반응하는 것이 무리가 아니다.

정부는 예방 측면에서 전력, 금융, 의료 등 기반시스템 운영기관 및 기업들의 중요 정보 암호화 등 보호조치 강화와 주요 핵심시설에 백업센터 및 재해복구시스템 확대 구축, 정부 소프트웨어(S/W)개발 단계에서의 보안취약점 사전 진단 제도 의무화 등을 제시했다.

탐지 측면에서는 범국가적 사이버공격에 대응하기 위해 3선 방어체계인 ‘국제관문국·인터넷연동망↔인터넷서비스 사업자(ISP)↔기업·개인’ 개념을 도입해 공격 트래픽을 단계별로 탐지·차단하기로 했다.  

지자체 정보시스템의 사이버공격 탐지도 실시하고 보험·카드사 등 제2금융권 전산망에도 보안관제를 확대해 나가고, 북한산 불법S/W 유통 감시·차단 활동도 강화한다. 금융·통신 등 민간 주요시스템은 전문업체를 활용한 보안점검을 연 1회 이상 이행토록 의무화하기로 했다.

대응 측면에서는 조직적인 해커공격에 대해 외부전문가가 참여하는 ‘민·관 합동 대응반’을 운영하고 주요 국가 및 국제기구와의 협력을 강화해 고도화되는 해킹에 총력 대응할 계획이다.  

제도 측면에서는 국가·공공기관 대상 정보보안 평가제도 개선, 민간기업 정보보호관리체계(ISMS) 인증 활성화, 금융분야 ‘IT부문평가’ 대상기관 확대 등을 추진하고, 민간기업 해킹사고 발생시 경영자의 책임을 명확히 지우기로 했다.

용역업체에 의한 사고시엔 민·형사상 책임을 함께 묻도록 하는 등 용역사업 및 민간분야 보안 관리도 강화한다.

또 범정부 차원의 ‘사이버안전의 날’ 제정·시행 등으로 사회 전반의 사이버안보에 대한 마인드 확산에 주력하고, 사이버위협 대응을 보다 효율화하기 위해 관련법령도 정비할 방침이다.

기반 측면에서는 각 정부기관의 정보보안 인력 증원과 금융위 보안업무 전담조직 신설, 한국인터넷진흥원의 정보보호 정규직 비율 상향, 원전 등 국가 핵심 기반시설 운영기관의 보안 전담인력 확보 등을 추진키로 했다.

결국은 구체적인 실행방안과 집행력이 중요하다.

당초 정부는 국가 사이버안보 마스터플랜을 수립하기 위해 관계부처 합동으로 TF를 구성해 세부 추진방안을 마련한 뒤, 7월 중 대통령 보고 후 시행한다고 공식 밝혔다. 지난 5월에 있었던 일다.

석 달이나 늦어진 이번 국가 사이버안보 마스터플랜 발표에서 구체적인 세부 추진방안이나 실행계획이 나오지 않았다.

구체적인 안이 언제부터 시행되냐는 질문에 방통위는 “10월 중순에 세부 시행규칙이 나올 예정이며, 이미 일부는 시행되고 있다”며, “각 부처별로 마스터플랜을 승인했지만, (국가안보상) 세세한 사안을 밝힐 수 없다”고 설명했다.

<이유지 기자> yjlee@ddaily.co.kr  

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널