'사이버위기관리법' 발의, 진짜 이유는? [오주르디님 글]
새누리당이 ‘국가 사이버 위기관리법’을 만들겠다고 나섰다. 법안의 골자는 간단하다. 공공영역 뿐만 아니라 민간영역까지 망라한 사이버 보안 및 대응과 관련 업무의 총괄권한을 국정원장에게 주도록 하자는 것이다. 국정원은 현재 ‘사이버안전관리규정’ ‘국가위기관리지침’ 등 대통령 훈령에 따라 공공영역에 국한된 사이버 안전 업무를 수행하고 있다.
‘국가 사이버 위기관리’, 왜 하필 국정원인가?
민간영역에 대한 사이버보안 관련 업무는 미래창조과학부, 금융위원회 등이 맡고 있다. 수사권은 경찰과 검찰이 행사한다. 이런 구조에서는 금융기관과 방송사가 대거 해킹당한 지난 3.20 대란 같은 테러가 발생할 경우 일사분란하게 대응하기 어렵다는 게 법안 발의의 배경이라고 설명한다.
타당성 있는 주장이다. 하지만 문제는 왜 하필 국정원이냐는 데에 있다. 민간인과 방송사를 사찰하고 대선 때는 유머 사이트에 댓글이나 달아서 여당 후보에게 유리하도록 조직적으로 여론조작을 했던 국정원이다. 정치적 중립을 지키기는커녕 정권의 하수인 역할을 자임해오지 않았던가.
새누리당 하태경 의원은 한 술 더 떠 국정원장에게 ‘사이버 민방위 훈련’ 실시 권한을 부여하는 ‘사이버 민방위 훈련법’을 발의하겠다고 밝혔다. 민간영역에 사이렌을 발동할 수 있는 권한까지 국가정보 수집기관인 국정원에게 주자는 얘기다.
박 정권이 국정원의 활용도를 크게 높이려나 보다. 솔직히 말해 보자. 국정원이 정권의 편에 서 있지 않다면 새누리당이 이렇게 나올 수 있을까? 국정원이 철저하게 정치적 중립을 견지하는 터라 정부여당의 말을 잘 듣지 않는 상태라 해도 국정원에게 ‘사이버 콘트롤타워’ 권한을 주려 할까? 절대 아닐 것이다.
고양이에게 생선을 맡기는 꼴
이 법안이 통과되면 황당한 일이 벌어질 수 있다. 국정원이 맘만 먹으면 민간영역의 인터넷과 컴퓨터를 합법적으로 감시하고 통제하는 건 식은 죽 먹기가 될 것이다. 도청과 감청 뿐 아니라 자료를 빼내는 일도 얼마든지 가능해진다. 또 SK, KT, LG유플러스 등 통신회사의 모니터링 권한까지 국정원이 갖게 될 것이다. 그나마 현재에는 KISA(한국인터넷진흥원)가 통신업체로부터 통계 데이터를 넘겨받는 식으로 악성 트래픽을 간접 모니터링하고 있지만 국정원이 맡게 되면 달라질 게 뻔하다.
KISA은 순수 인터넷 전문 기관이지만 국정원은 그렇지 않기 때문이다. 국정원은 가장 막강한 정보수집 기관이다. 이런 국정원에게 3대 통신사 회선에 합법적으로 접근할 수 있는 권한이 주어진다면 어떤 상황이 벌어질 지 두 번 생각해볼 필요도 없을 것이다. 고양이 앞에 생선을 던져주는 격이 되지 않겠나.
이 법안에 대해 민주당 등 야당이 크게 반발하고 있다. 국정원이 사이버 상에서 국민을 통제할 위험성이 다분하다고 주장한다. 민주당 김현 대변인은 “정치적 중립성을 확고하게 정립하지 못한 국정원이 사이버 위기관리라는 명목으로 시민들을 통제하는 것은 인권침해 등 많은 문제를 야기할 것”이라고 강변했다.
정부여당 “3.20대란은 북한 소행”, 때 맞춰 합창하는 이유는?
야당과 시민단체의 반대 때문일까. 정부가 때를 맞춰 3.20사이버 태러를 비롯한 4건의 연쇄 테러가 북한의 정찰총국의 소행이 분명하다는 조사결과를 발표했다. 미래창조과학부가 주축이된 민관군 합동대응팀은 “사이버 테러를 당한 감염장비와 국내 공격경유지 등에서 수집한 악성코드 76종과 수년간 국정원과 군에서 축적한 북한의 대남 해킹 조사결과를 종합분석한 결과 북한의 소행이었다”고 밝혔다.
북한의 소행이라고 치자. 정부여당은 북한의 사이버테러가 극성을 부리기 시작한 게 지난 2008년부터라고 주장한다. 그동안 무엇을 했을까. 공격 횟수와 피해 정도가 점점 심각하다고 말하면서도 북한의 사이버테러에 대한 대응책은 마련하지 못했다. 5년 동안 지켜보며 당하기만 하다가 불쑥 내민 게 이번 법안이다.
사이버보안과 사이버테러 대응 분야에서 우리보다 앞서있는 주요국가들은 어떤 시스템을 갖고 있을까. 그 나라들도 정보기관들에게 사이버 공간의 ‘콘트롤 타워’ 역할을 맡기고 있는지 살펴볼 필요가 있겠다.
주요국가들의 ‘사이버보안과 테러 대응 시스템’
▶먼저 미국. 그동안 치밀하게 준비해 왔다. 1997년 국가안보국(NSA)가 사이버 보안상태를 점검하기 위해 ‘메일 폭탄’으로 태평양사령부를 가상 공격하고 그 결과를 테스트 했다. 중앙컴퓨터시스템이 파괴되고, 위성과 군사시설은 통제 불능 상태에 빠지고, 국방기밀까지 해킹당하는 결과가 나오자 3년 동안 각계의 의견을 수렴한 뒤 ‘정보시스템 보호를 위한 국가계획(NPISP)’을 수립한다.
NPISP를 토대로 2003년 22개의 관련 기관과 연방재난관리청(FEMA)을 함께 통합해 국토안보부(DHS/Department for Homeland Security)를 신설했다. DHS의 특징은 물리적 공격 뿐만 아니라 사이버 공격에 대비한 재난관리와 안보·보안 업무를 통합해 관리한다는 점이다. 동시에 ‘사이버안보국가전략(National Strategy to Secure Cyberspace)가 발표된다. 전략의 핵심은 사이버안보 개념을 국가안보차원으로 확장하고 사이버안보와 물리적 보호라는 양축을 함께 병행한다는 것이다.
DHS의 장은 국방장관, 법무장관과 동등한 지위로 대통령이 임명하고 상원이 인준한다. 물리적 공간과 사이버 공간의 재난안보 관련 모든 정보에 접근할 수 있는 권한이 주어진다. 정부기관은 물론, 사법기관, 공공기관, 산업인프라 뿐만 아니라 정보기관까지 대상이 된다. 별도의 부서를 설치해 이곳에서 모든 사이버공격과 심지어는 정보기관의 사이버보안까지 담당하는 시스템이다.
미국은 DHS, 영국은 CPNI 등이 담당, 모두 별개의 기구
▶영국도 미국과 비슷한 시스템을 갖고 있다. 2007년 국가보안국 산하의 ‘국가보안권고센터’와 ‘국가기반시설 보안조정센터’ 등을 통합해 미국의 DHS와 유사한 국가기반보호센터(CPNI/Center for the Protection of National Infrastructure))를 창설한다. 물리적 보안과 사이버 보안을 통합 관리하는 기구다. '국립하이테크범죄국'이 인터넷과 컴퓨터 관련 수사를 담당한다.
다수의 정부부처와 정부기관이 공동으로 참여한다. 국가기간망과 공공시설, 민간기업에 대한 보안관련 자문을 제공하는 등의 활동을 통해 사이버테러를 예방하고 대응하는 데 주력한다. 보안 권고 활동이 특징이다. 중요 시설과 취약 지대에 대한 보안 뿐만 아니라 인적·물적 보안에 대해 체계적인 보안권고활동을 벌인다.
▶독일의 사이버보안 체계의 핵심은 연방정보기술안전청(BSI)이다. BSI는 독일 연방 내무부 산하의 독립된 국가기관으로 연방기관에 대한 정보보안 업무를 담당할 목적으로 설립됐으나, 인터넷 활용이 크게 늘어나자 민간 영역으로 역할 범위를 넓혔다. 사이버보안 업무는 BSI가 총괄하고, 추적수사와 증거분석 등 사법적 행위는 연방범죄수사청에서 담당한다.
독일은 350명의 전문인력 보유한 BSI가 담당
BSI의 영역은 사이버보안 분야을 총망라한다. 전략 어플리게이션, 인터넷 보안, 네트워크 보안, 암호기술과 기반기술, 대도청기술과 일반 IT보안 등의 업무 뿐만 아니라 정보통신기술에 대한 보안취약성을 연구하고 보안성을 시험평가해 관련 기관에 조언하는 역할도 하고 있다. 350명의 전문인력이 사이버안보와 대테러 예방을 위한 활동에만 전념하는 곳이다. 정보통신기반시설 보안과 공공핵심 기반시설의 네트워크 보안, 컴퓨터 긴급구조와 바이러스 센터 운영, 인터넷 보안 관련 평가와 인증 등을 주로 담당한다.
사이버보안이 비교적 잘 구축돼 있다는 주요 국가들의 실태를 살펴보았지만, 국가정보기관이 사이버테러 대응과 사이버보안 임무를 총괄수행하는 경우는 어디에도 없다. 별도의 독립된 기구나 부서를 만들어 분산돼 있는 관련 정책과 업무를 한 곳으로 모아 이곳에서 공공과 민간영역의 사이버보안과 점검, 평가와 조언, 예방과 대응을 해나가는 방식이다.
대한민국 국정원은 국가안보에 필요한 정보를 수집하는 기관이다. 인터넷 바이러스와 악성코드를 분석하고 정보통신과 네트워크의 보안 업무를 하는 곳이 아니다. 선 무당이 사람 잡는다는 말이 있다. 국정원은 본연의 역할에나 충실하면 되고, 사이버보안 관련업무는 별도의 기구를 만들어 총괄하도록 하는 게 바람직할 것이다.
북한 때문에 국정원이 적격? 말도 안 되는 소리
3.20 대란을 포함해 북한이 여섯 차례 사이버테러를 일으켰다는 이유만으로 국정원에게 사이버 공간의 ‘콘트롤타워’ 역할을 맡겨야 한다는 발상이 웃길 뿐이다. 국내에 발생한 사이버공격 7만여 건 중 북한 소행으로 밝혀진 건 고작 6건 뿐이다.
전담 기구를 설치하고 흩어져 있는 관련 기능들을 한데 묶어 이곳에서 사이버보안 관련 업무를 총괄토록 하는 게 최선이다. 이 기구가 미국처럼 국정원의 사이버보안 상태까지 점검해주면 된다. 사이버안보와 관련해 국정원이 가지고 있는 북한 관련된 정보를 이 기구에 제공해 주면 충분할 것이다.
미국과 영국이 부럽다. 사이버보안만 똑 떼서 보는 게 아니라 물리적 보안까지 연관지어 입체적으로 보려는 시각이 매우 합리적이라는 생각이 든다. 이들 나라는 이러는데 우리 정부여당은 IT분야의 중대한 일을 국정원에 맡기겠다고 난리다. ‘3.20 테러는 북한 소행’이라는 연막을 터뜨린 뒤 그 틈에 새 법안을 밀어붙이려 안달이다.
‘국가 사이버 위기관리법’ 제정하려는 진짜 이유는?
필요하면 법을 보완해 사이버테러에 대비해야 한다. 현행 법규정이 취약하다는 지적에도 공감한다. 하지만 어떤 일이 터질 때 마다 국민 기본권 침해가 우려되는 방안을 대책이라며 내놓는 게 문제다.
국민이 봉인가. ‘문제를 해결할 테니 조금 불편해져도 참아다오’ 이런 식이다. 지난 정권때부터 이런 경우가 빈발해 왔다. 사회적 이슈가 터질 때마다 그 대책이라며 국민의 기본권리를 야금야금 갉아먹는 법제정을 들고 나오지 않았던가.
이번에 만들겠다는 ‘국가 사이버 위기관리법’, 이 법 제정 목적이 어디에 있는지 수상할 뿐이다. 국민을 위해선가, 정부여당의 국정장악을 위해선가.
◆미국·영국·독일 사례 참고 문헌: ‘사이버안전체계 구축에 관한 연구’(강석구 외 6명/한국형사정책연구원 연구총서 10-07)