이종현 칼럼

[취재수첩] 사이버보안 컨트롤타워로 국정원, 정말 안 될까?

이종현
[디지털데일리 이종현기자] 국가 사이버보안 컨트롤타워를 재정립하는 논의가 물밑에서 이뤄지는 중이다. 윤석열 대통령 당선인이 공약한 국가 차원의 일원화된 사이버 대응체계 구축을 위함이다.

현재 대한민국 사이버보안은 공공은 국가정보원(이하 국정원), 민간은 과학기술정보통신부(이하 과기정통부), 군은 국방부 등으로 분산돼 있다. 하지만 각 영역별로 사이버보안 지휘체계가 분산돼 있는 것이 위협 대응에 효과적이지 않다는 지적이 지배적이다.

이로 인해 보안 전문가들은 전 분야를 아우르는 사이버보안 컨트롤타워가 필요하다는 주장을 줄곧 제기해 왔다.

김병기 의원(더불어민주당)이 국가사이버안보법안을 대표 발의하며 논의가 본격화됐다. 김 의원이 내놓은 법안은 국정원을 중심으로 정부와 보안 관련 기업이 협력사 사이버안보 위협을 능동적으로 확인·대처할 수 있도록 하는 내용을 담았다.

하지만 해당 법안은 제출 뒤 숱한 반대에 직면했다. 첩보기관이 사이버보안 컨트롤타워가 될 경우 민간을 사찰하는 ‘빅브라더’가 될 것이라는 비판이 주를 이룬다. 과기정통부나 개인정보보호위원회(이하 개인정보위) 등도 반대 의견을 표시했다.

그러나 이와 같은 비판은 다소 설득력이 약하다. 우선 국정원이 컨트롤타워가 된다고 하더라도, 민간 기업의 일거수일투족을 살피는 ‘실시간 감시’를 할 수는 없다. 보안 업무상 민간 기업에 대한 조사가 필요할 경우 남몰래 정보를 훔쳐내는 방식이 아니라, 해당 기업을 찾아 조사가 이뤄진다.

국정원이 일방적으로 조사를 수행할 수 있는 구조도 아니다. 안보상의 문제로 조사가 필요할 경우 고등법원 수석판사의 허가를 받아야 한다. 승인이 날 경우 ‘디지털정보확인조치 허가서’를 발부받아, 대상 기업에 이를 제출해 집행하는 구조다. 경찰의 압수수색 영장 등과 유사하다.

법에서 정한 일련의 과정을 위반하고, 국정원이 민간 사찰을 위해 그 권한을 휘두를 수도 있다. 그러나 이는 국정원이 아닌 어느 기관이라도 마찬가지다. 산업통상자원부 공무원이 원전 관련 내부 자료를 대량 삭제한 사례가 예다. ‘의심’을 한다면 끝이 없다.
미국의 사이버보안 컨트롤타워인 국토안보부 산하 CISA.
미국의 사이버보안 컨트롤타워인 국토안보부 산하 CISA.

국정원이 사이버보안 컨트롤타워가 돼서는 안 된다는 것은 결국 국민 정서상의 문제로 보인다. 좋지 않은 전례가 있는 만큼 국정원을 불안한 눈길로 보는 것은 어쩔 수 없다.

일각에서는 정보기관이 사이버보안 컨트롤타워를 맡는 전례가 없다고도 주장하는데, 이는 사실이 아니다.

미국의 경우 사이버보안 컨트롤타워를 맡는 것은 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA)이다. 국토안보부는 2001년 미국 9.11 테러 이후 20여곳으로 분산돼 있던 정보기관을 하나로 모으며 탄생한 부처다. 중앙행정기관임과 동시에 정보기관 성격을 띈다. 영국의 사이버보안 컨트롤타워인 정보통신본부(GCHQ)도 정보기관의 역할을 지닌다.

추상적인 감정을 제하고, 여러 후보군 중 국정원이 사이버보안 컨트롤타워를 맡아야 하는 이유는 있다. 국정원이 사이버보안 관련 최고 전문기관이라는 점, 또 우리나라의 최대 사이버위협 국가가 북한이라는 점이다.

작년 한국원자력연구원, 한국항공우주(KAI)가 해킹됐다. 가상사설망(VPN) 취약점으로 인한 해킹이다. 국정원은 사전에 취약점을 발견, 위협을 경고했으나 피해가 발생했다. 공격자는 북한이다.

현 단계에서 사이버보안 컨트롤타워가 누가 될지는 불분명하다. 하지만 막연한 불안감을 이유로 국정원을 선택지에서 배제하는 것은 국가 사이버안보에 도움이 된다고 보기 어렵다. ‘국가 사이버보안 강화’라는 대전제를 유지하고, 이를 잘 수행할 수 있는 기관이 누구인지를 중심으로 논의가 이뤄졌으면 하는 바람이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널