“이번 통신사 해킹은 단순 범죄가 아니라 국가 핵심 인프라로 접근할 수 있는 관문이 뚫렸다는 국가적 사이버 공격의 시작입니다.” 국정원 출신 채성준 서경대 군사학과 교수는 서울신문 유튜브 채널 ‘시냅스-당신을 깨우는 지식’에 출연해 최근 벌어진 통신사 대규모 해킹과 관련, 현 체계의 통합 사이버 보안 부재를 지적했다. 그는 “미국 사이버안보인프라국(CISA)처럼 국가 차원의 사이버 안보 컨트롤타워가 필요하며, 이를 뒷받침할 사이버안보법 제정과 시행령 마련도 시급하다”고 강조했다. 올해 SK텔레콤과 KT에서 대규모 해킹 사태가 잇따라 발생한 데 이어 LG유플러스에서도 내부망 침투 정황이 확인되면서 “더 이상 개별 사고로 볼 수 없다”는 지적이 나오고 있다. 반복되는 사이버 해킹 사고를 막기 위해 채 교수와 함께 대안을 짚어봤다. 1. 통신사 해킹은 ‘국가적 사이버 공격’의 초입 채 교수는 “3대 통신사가 모두 공격받았다는 건 국가 주요 인프라에 대한 광범위한 침입이 이미 진행됐다는 의미”라고 분석했다. 그는 “전문가들은 일련의 사건을 국가 사이버 공격의 초기 단계로 판단한다”며 “(LG유플러스의 경우) 해커들이 외주 보안업체 계정의 취약점을 이용해 내부망에 침투했고, 결국 통신망을 관문 삼아 금융·공공·국가기관 등 핵심 인프라 전체로 확장될 수 있는 구조적 위험이 온 것”이라고 지적했다. 채 교수는 “한국이 IT 강국임에도 ‘해킹 맛집’이라는 오명을 듣지 않으려면, 국가 차원의 대응뿐 아니라 개인 보안 인식도 함께 강화돼야 한다”고 말했다. 2. 돈만 ‘탈탈’ 털리는 게 아니다… VIP 동향·약점까지 노출 채 교수는 “통신사 해킹은 자금이 인출되는 수준을 넘어 유력 인사들의 동향과 약점까지 노출될 수 있다는 점이 가장 큰 문제”라고 말했다. 그는 “통화 패턴만 분석해도 정치인·기업인·언론인 등 VIP 네트워크가 그대로 드러난다”며 “통신사 보유 데이터가 국가 전체의 움직임을 읽을 수 있는 핵심 데이터 허브”라고 지적했다. 이어 “개인의 약점을 활용한 협박에 악용될 위험도 있다”며 “이번 사태는 단순한 개인정보 유출을 넘어 국가 사회 시스템 전반에 파급력을 미칠 수 있는 문제”라고 강조했다. 3. 정보 유출은 맞춤형 범죄 설계의 ‘원료’가 된다 채 교수는 “유출된 정보는 다크웹에서 대량 거래되며, 이후 절차는 이미 정형화된 ‘범죄 공정’처럼 운영된다”고 주장했다. 그는 “메시지와 전략을 개인화할수록 성공 확률이 높아지기 때문에, 범죄 조직 내에서 고액 대출자·최근카드 발급자 등 그룹별로 타겟 맞춤형 피싱 멘트를 제작한다”며 “주로 피해자에게 계좌나 송금을 유도하는 방식으로 ‘머니뮬(money mules)’이라 불리는 대리 구매자들을 통해 추적이 불가능하게 만드는 것”이라고 분석했다. 4. 진짜 문제는 ‘관리·대응 체계’의 부실 채 교수는 한국이 국제 해킹 조직의 주요 표적이 된 근본적 이유로 ‘통합 보안 대응 체계’의 구조적 부실을 지적했다. 그는 “현재 사이버보안 체계가 ▲민간(과학기술정보통신부)▲공공(국정원)▲군(국방부)으로 분산돼 있어 국가 차원의 위협을 실시간으로 통합 대응하기 어렵다”고 분석했다. 이어 “미국 사이버안보인프라국(CISA)처럼 위협 정보를 한곳에서 수집·공유·조율할 수 있는 국가 단위 컨트롤타워가 필요하며, 이를 위해 사이버안보법 제정과 시행령 마련이 반드시 뒤따라야 한다”고 강조했다. 이어 채 교수는 “국가기관이나 통신사가 OTP 번호를 요구하는 일은 절대 없다. 이런 요구는 모두 범죄로 봐야 한다”며 “개인의 작은 정보 유출이 기업과 공공기관을 거쳐 결국 국가 안보 위협으로까지 확대될 수 있다는 점을 반드시 기억해야 한다”고 덧붙였다. [시냅스]서울신문 영상미디어센터가 선보이는 지식 교양 채널입니다. 뇌의 신경세포를 잇는 시냅스처럼, 세상 곳곳의 흩어진 정보와 이야기를 연결하고자 합니다. 지식은 연결될 때 힘이 됩니다. 지금, 당신의 시냅스를 깨워드립니다.

언론사 기자, 국회의원실 비서, 정부기관을 사칭해 전문가들에게 ‘피싱 이메일’을 보낸 일당이 북한 해커 조직인 일명 ‘김수키’로 드러났다. 2014년 한국수력원자력을 해킹하는 등 정보 탈취를 목적으로 수년째 국내 해킹 공격을 벌여 온 그 조직이다. 경찰청이 어제 발표한 수사 결과를 보면 이들은 지난 4~10월 외교안보·국방 전문가 892명에게 악성 프로그램이 담긴 이메일을 보낸 뒤 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 49명의 이메일을 실시간 들여다보며 첨부 문서와 주소록 등을 빼낸 것으로 밝혀졌다. 이번엔 별 피해가 없었다고 하나 자칫 민감한 외교안보 정보가 유출됐을 가능성을 생각하면 아찔해진다. 북한 해킹 조직이 컴퓨터 서버를 장악해 데이터를 암호화한 뒤 돈을 요구하는 ‘랜섬웨어’를 국내에서 활용한다는 사실도 이번에 처음 확인됐다. 중소 쇼핑몰 등 국내 13개 업체 서버 19대가 피해를 봤는데, 이 가운데 업체 두 곳이 255만원 상당의 비트코인을 지불했다고 한다. 북한의 해킹 수법은 날로 교묘해지고 있다. 국가정보원은 최근 ‘2023년 사이버 안보 위협 전망’에서 내년에 원전과 방산 기술을 노린 북한의 사이버 공격이 거세질 것으로 내다봤다. 특히 북한의 암호화폐 해킹 능력은 세계 최고 수준으로, 랜섬웨어 등 사이버 금융범죄가 광범하게 확산될 위험성을 우려했다. 북한이 2017년부터 전 세계에서 탈취한 가상자산 규모는 1조 5000억원으로 추산된다. 핵과 미사일 고도화의 자금줄이란 점에서 국제사회의 공동 대처가 시급한 현안이다. 국가기관과 기업은 물론 민간 영역도 사이버 안보에 대한 인식과 협력 체계가 강화돼야 한다. 국정원이 추진 중인 사이버안보법 등 법 제정도 함께 서둘러야 할 것이다.

언론사 기자, 국회의원실 비서, 정부기관을 사칭해 전문가들에게 ‘피싱 이메일’을 보낸 일당이 북한 해커 조직인 일명 ‘김수키’로 드러났다. 2014년 한국수력원자력을 해킹하는 등 정보 탈취를 목적으로 수년째 국내 해킹 공격을 벌여 온 그 조직이다. 경찰청이 어제 발표한 수사 결과를 보면 이들은 지난 4~10월 외교안보·국방 전문가 892명에게 악성 프로그램이 담긴 이메일을 보낸 뒤 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 49명의 이메일을 실시간 들여다보며 첨부 문서와 주소록 등을 빼낸 것으로 밝혀졌다. 이번엔 별 피해가 없었다고 하나 자칫 민감한 외교안보 정보가 유출됐을 가능성을 생각하면 아찔해진다. 북한 해킹 조직이 컴퓨터 서버를 장악해 데이터를 암호화한 뒤 돈을 요구하는 ‘랜섬웨어’를 국내에서 활용한다는 사실도 이번에 처음 확인됐다. 중소 쇼핑몰 등 국내 13개 업체 서버 19대가 피해를 봤는데, 이 가운데 업체 두 곳이 255만원 상당의 비트코인을 지불했다고 한다. 북한의 해킹 수법은 날로 교묘해지고 있다. 국가정보원은 최근 ‘2023년 사이버 안보 위협 전망’에서 내년에 원전과 방산 기술을 노린 북한의 사이버 공격이 거세질 것으로 내다봤다. 특히 북한의 암호화폐 해킹 능력은 세계 최고 수준으로, 랜섬웨어 등 사이버 금융범죄가 광범하게 확산될 위험성을 우려했다. 북한이 2017년부터 전 세계에서 탈취한 가상자산 규모는 1조 5000억원으로 추산된다. 핵과 미사일 고도화의 자금줄이란 점에서 국제사회의 공동 대처가 시급한 현안이다. 국가기관과 기업은 물론 민간 영역도 사이버 안보에 대한 인식과 협력 체계가 강화돼야 한다. 국정원이 추진 중인 사이버안보법 등 법 제정도 함께 서둘러야 할 것이다.

외교부와 국가정보원 등이 어제 북한 정보기술(IT) 노동자들이 국적과 신분을 위장해 우리 기업에 취업할 우려가 크다며 이들을 고용하지 않도록 신원 확인을 강화할 것을 요청하는 ‘부처 합동 주의보’를 발령했다. 북한 IT 인력이 대북 제재를 뚫고 해외 기업에 위장취업해 벌어들인 외화가 핵·미사일 개발의 주요 재원이 되고 있다는 판단에 따른 조치다. 갈수록 늘고 있는 사이버해킹 보안 강화 목적도 있다. 미국이 이미 지난해 주의보를 발령했다는 점에서 뒤늦은 감이 있지만, 이제라도 경각심을 갖고 대책 마련에 나서 다행스럽다. 이날 발표에 따르면 북한 IT 인력들은 해외 각지에 체류하면서 국적, 신분을 위장해 취업을 하거나 일감을 수주하고 있다. 이들 중 상당수는 유엔의 대북 제재 대상인 북한 국방성, 군수공업부 등에 소속돼 있는데, 벌어들인 외화 상당액이 핵·미사일 개발에 쓰인다는 것이다. 위장 수법도 점점 교묘해지고 있다. IT를 통한 신분증 조작, 전화번호 본인 인증 대행 사이트 활용, 외국인으로부터 구인·구직 사이트 계정 빌리기, 외국인 프리랜서와 업무 공동 수행 등의 수법을 동원하고, 송금은 글로벌 디지털 결제서비스를 이용한다. 북한은 이미 수년 전부터 해킹으로 암호화폐를 훔치고 우리나라 기간시설을 공격해 큰 피해와 혼란을 안겨 왔다. 이젠 위장취업까지 걱정해야 할 판이다. 이는 문재인 정부 5년간 북한에 대한 유화 일변도 정책으로 국가정보원 등 정보기관의 대북 보안능력이 약화된 원인도 한몫한다. 이번 조치가 단순히 북한 IT 인력 취업주의보 발동 정도에 그쳐선 안 된다. 차제에 국가정보원의 대북 사이버안보 인력 확충, 국정원이 추진 중인 사이버안보법 제정, 전문인력 육성 등 근본 대책을 세워야 한다.

“국회 정보위원회 회의를 비공개로 하도록 한 국회법은 헌법이 보장하는 국민의 알 권리를 제한하고 견제와 감시조차 불가능하게 했습니다. 해당 조항이 위헌이라는 헌법재판소 판단은 이런 헌법상 원칙을 재확인한 결정입니다.” 정보위 회의를 비공개로 하도록 한 ‘국회법 54조의2 제1항’과의 싸움은 그야말로 ‘맨땅에 헤딩’ 같았다. 참고를 할 만한 선례조차 없는 소송인 데다 한국 같은 성문법 체제 국가에서 명문화된 법의 논리를 깨는 일은 만만찮기 때문이다. 민주사회를위한변호사모임(민변) 디지털정보위원회 소속 위원장 조지훈(48·사법연수원 38기) 변호사와 간사 서채완(35·변시 5회) 변호사는 4년간 협업을 통해 법리 다툼을 주도했고 결국 헌재의 위헌 결정을 이끌어 냈다. 지난 1월 헌재는 국회법 54조의2 제1항이 국민의 알 권리와 평등권을 침해한다는 헌법소원 심판에서 재판관 7대2 의견으로 위헌 결정을 내렸다. 정보위가 민감한 정보인 국가의 안전 및 기밀에 관한 사항을 다루더라도 국민의 감시와 견제조차 불가능한 식으로 운영된다면 헌법 50조 제1항 의사공개원칙에 위배된다는 것이었다. 지난달 23일 서울 서초구 서초동 민변 사무실에서 만난 조 변호사와 서 변호사는 “선례가 없는 소송에서 문헌상 논리를 깨기 위해 골머리를 앓았는데 만족할 만한 결과가 나왔다”면서 “7대2라는 결과를 보고 헌법을 수호하려는 재판관의 의지를 봤다. 아직은 희망이 있다”고 말했다. ●법률 개정안 논의도 비공개 정보위 회의 비공개에 대한 헌법소원은 국가정보원 감시 활동의 연장선이었다. 민변과 참여연대, 천주교인권위원회 등의 연대체인 국정원감시네트워크(국감넷)는 2018년 11월 국정원법 개정안에 대한 법안 심사를 모니터하기 위해 정보위에 법안심사소위원회 회의 방청을 신청했다. 홈페이지에 신청 창구조차 없어 정보위에 직접 전화해 방청 의사를 전했지만 정보위는 단칼에 거절했다. 정보위 회의는 국회법상 비공개가 원칙이라는 이유였다. “국가 안보에 관한 사안도 아니고 단순히 법률 개정안에 대한 논의였는데 원천적 비공개가 옳은지 의문이 들었습니다. 전문가인 변호사도 방청 신청조차 어려운데 일반 시민은 접근권이 아예 없는 것과 마찬가지라는 생각이 들었죠.” 법률 개정안 논의 과정을 알 수 없으니 시민단체로서 입법 과정에 대한 비판도 할 수 없었다. 회의장 내에서 누가 어떤 의견을 냈고 어떤 의견 수렴 과정을 거쳤는지 알아야 문제점을 짚을 수 있기 때문이다. 국감넷은 회의 결과를 그대로 수용할 수밖에 없는 현 시스템은 국민의 알 권리와 평등권을 침해하고 헌법에 명시된 의사공개원칙에도 어긋난다고 판단했다. 국감넷은 그다음 달 헌재 앞에서 기자회견을 열고 국회법 54조의2 1항에 대한 헌법소원을 제기했다. 긴 싸움의 시작이었다.●선례 없는 소송전, 해외 사례도 부족 관건은 국회법 54조2 1항이 국민의 참여를 배제해 국민주권주의에 위배되고 다른 회의와 달리 정보위 회의만 비공개함으로써 평등권을 침해한다는 사실을 입증하는 것이었다. 그러나 승리를 장담하긴 어려웠다. 정보위가 국정원이 수집한 대북 동향 등 국가 안보와 일반인들에게 즉시 공개하기 힘든 기밀 사안 등을 다루고 있기 때문이었다. “선례조차 없는 문제 제기였기에 어디서부터 시작할지 막막했습니다. 해외 사례나 관련 논문, 법제처 헌법 주석서 등을 닥치는 대로 찾아봐야 했죠.” 판례가 없는 소송이기에 증거로 활용하거나 참고할 문헌이 절대적으로 부족했다. 해외 사례까지 눈을 돌렸지만 그대로 인용할 만한 자료는 없었다. 해외 사례의 경우 우리와는 법 체계 등이 달라 설득력 있는 근거로 활용하기 쉽지 않은 탓이었다. 미국과 독일 등 일부 선진국에서는 정보위 회의 공개 제도를 운영하고 있었지만 참고 수준에서 그쳐야 했다. 그나마 국내 자료 중에는 홍완식 건국대 로스쿨 교수의 논문인 ‘의사공개원칙에 관한 연구’가 주요 참고 자료가 됐다. 헌법 50조 1항은 ‘국회의 회의는 공개한다’고 규정한 뒤 ‘다만 출석의원 과반수의 찬성이 있거나 의장이 국가의 안전보장을 위해 필요하다고 인정할 때는 공개하지 아니할 수 있다’고 단서를 달았다. 이를 근거로 볼 때 국회 회의 공개를 제한하는 방법은 최상위법인 헌법에 직접 규정돼 있어 개별적인 법률로는 제한할 수 없다. 개별 법률인 국회법으로 의사공개원칙을 부인하거나 알 권리를 제한하는 것은 헌법에 위배된다는 것이다. 여기서 힌트를 얻은 이들은 구체적인 자료를 찾아 가며 국회법 해당 조항의 목적이 정당한지, 수단은 적합한지, 침해를 최소화했는지, 공익과 사익의 균형성이 맞는지 등을 따져 위헌 결정을 위한 논리를 만들어 갔다. 둘은 코로나19가 심각했던 상황에서 밤새 화상회의를 통해 법리를 연구했다. 헌재는 결국 7대2 의견으로 위헌을 결정했다. 재판관 다수는 “특정한 내용의 국회 회의나 특정 위원회의 회의를 일률적으로 비공개한다고 정해 공개의 여지를 차단하는 것은 헌법상 의사공개원칙에 부합하지 않는다”면서 “국민 알 권리를 침해한다”고 설명했다. 반면 이은애·이영진 재판관은 “정보위 모든 회의는 실질적으로 국가기밀에 관한 사항과 직간접적으로 관련돼 국가안전보장을 위해 회의 비공개가 필요하다”며 소수 의견을 내놨다. 조 변호사와 서 변호사는 이 같은 헌재 결정에 “소수 의견은 다소 아쉽다고 생각한다”면서도 “사실 선례가 없어 동료 변호사 간에도 의견이 분분했다. 헌법불합치 결정이라도 나면 좋겠다고 생각했는데 단순 위헌 결정이 나와 기뻤다”고 말했다. 헌법불합치는 법 조항의 위헌성이 드러났지만 바로 위헌 결정을 내려 해당 규정의 효력을 정지하면 혼란이 예상될 경우 대체 입법이 이뤄질 때까지 한시적으로 법적 효력을 인정해 주는 결정이다. 헌재가 헌법불합치가 아니라 위헌 결정을 내린 것은 국회법 해당 조항의 효력을 즉시 정지해도 큰 혼란이 없다고 본 것이다. ●“국정원 개혁 필요성 절감” 그러나 헌재 결정 이후에도 국회는 변한 것이 없었다. 헌재 결정 이후인 지난 2월 4일과 9일 두 차례 사이버안보법에 관한 정보위 법안심사소위원회 회의가 있었지만 두 회의 모두 비공개로 진행됐다. 위원들이 회의를 비공개로 돌린 탓이다. 해당 회의에서는 국정원을 국가 사이버 위협 대응 체계의 컨트롤타워로 설정하는 법안에 대한 논의가 진행됐다. 사이버 위협이 발생했을 때 국정원이 민간 기업까지 관할하도록 한 법안으로 법 개정이 이뤄질 경우 국정원의 권한은 대폭 확대된다. 조 변호사와 서 변호사 입장에서는 정보위 논의를 감시하고 견제하기 위해 지난 4년간 소송에 힘을 쏟고 결국 위헌 결정까지 받아 냈지만 정작 바뀐 것은 아무것도 없는 상황인 셈이다. 두 변호사는 민주주의 국가에서 국정원 등 정보수사기관이 민감한 정보를 다룬다는 이유만으로 헌법적 통제를 받지 않는 상황에 대해 개혁의 필요성을 절감한다고 강조했다. 그러면서 국민의 알 권리를 바탕으로 앞으로도 끊임없는 감시와 견제를 해 나갈 것이라고 했다. “정보수집과 수사 기능까지 가진 권력 집단의 권한은 다른 기관으로 분산하고 예산은 축소해야 한다고 생각합니다. 이미 민주사회의 원칙을 파괴하는 침해 행위를 목격했지만 감시와 견제조차 어려운 상황입니다. 우리 동료가 그랬듯 법이라는 무기로 끊임없는 견제와 감시를 해 나가겠습니다.”

국회 정보위원회는 지난 4일 국민의힘 조태용 의원이 발의한 ‘사이버안보 기본법안’과 더불어민주당 김병기 의원이 발의한 ‘국가사이버안보법안’ 2건만을 심사하기 위해 법안심사소위를 열었다. 대선을 앞두고 이례적인 일이다. 청와대 관계부처회의에서 국정원을 제외하고 모두 반대했을 뿐만 아니라 시민사회에서도 국가정보원 개혁 방향과 거꾸로 간다며 우려했던 법안들이기 때문이다. 특히 김 의원 안은 국정원에 그간 금기시됐던 국내 민간 영역에 대한 정보 수집 및 추적 권한까지 주고 있어 민간 정보통신망을 사찰·통제할 수 있는 가능성까지 안고 있다. 국정원과 같은 정보기관이 정보보안 업무 전체를 맡는 것은 해외에서도 유례를 찾을 수 없다. 우리와 비슷한 정치 시스템을 갖추고 있는 미국, 일본, 영국, 독일, 호주, 네덜란드 등을 포함해 세계적으로도 사이버보안의 총괄 및 조정은 일반 부처나 대통령직속기구 등에서 수행하는 것이 일반적이다. 해외에서 정보기관들이 사이버보안 업무의 총괄 및 조정 업무를 맡지 않는 것은 빅브러더가 될 수 있는 인권 침해 문제와 함께 관련 업무 효율성이 현저히 떨어지기 때문이다. 국회 입법조사처도 작년 10월 보고서에서 “정보기관이 정보보안을 총괄하는 것은 해외에서도 드문 일로 빅브러더가 될 우려가 있으며, 정보기관의 역할 강화에 대한 정치사회적인 우려가 있다”고 언급한 바 있다. 사이버 영역은 민간의 자율성을 기반으로 발전해 왔다. 네트워크의 운영, 기술 개발 등은 국가가 아니라 민간의 자율적인 투자와 혁신을 통해 지금에 이르렀다. 그럼에도 불구하고 밀행성을 바탕으로 한 국정원에 민간 기업 그리고 국내 민간인들의 내부 정보를 공유하도록 요구하는 것은 소름 끼치는 일이다. 국정원은 외부 감독도 쉽지 않다. 즉 사이버 공격 및 위협에 대한 예방 및 대응은 민관 협력이 반드시 필요하기 때문에 국정원과 같은 정보기관이 전면적으로 수행할 수 없는 일이다. 유엔 프라이버시 특별보고관 역시도 최근 국정원의 불투명성이 심각하다며 근본적으로 개혁해야 한다고 요구했다. 한국 방문 이후 작성한 지난해 6월 25일자 보고서는 “최근의 국정원법 개정에는 특별보고관의 권고안들이 이행되지 않았다”며 “법률에 근거하든 관행이든 간에 국정원의 불투명성은 근본적으로 개선돼야 한다”고 강도 높게 주문하고 있다. 국정원 감시의 법적 근거와 규제 프레임워크는 부적절한 만큼 시급하고도 포괄적인 개혁이 필요하고, 국회 정보위조차도 국정원의 효과적인 감독을 수행하지 못하고 있어 이를 위한 법률의 개선이 필요하다고 지적한 것이다. 정보위의 법안 논의는 이러한 방향의 개선은 도외시한 채 반대 방향의 개악을 논의하고 있는 것이다. 이제라도 청와대와 집권 여당인 더불어민주당은 뒷짐지지 말고 국가사이버안보법안에 대해 명백하게 폐기할 의사를 밝혀야 한다. 다른 대선후보들도 같은 입장을 표명해야 한다.

2016년 2월 23일부터 3월 2일까지 이루어졌던 ‘테러방지법’ 반대 필리버스터. 9일간 총 38명의 국회의원이 연단에 섰고, 주된 요지 중 하나는 “국가정보원 권한 강화에 반대한다”였다. 물론 국정원과 같은 정보기관이, 대중을 대규모로 감시하는 위협에 대한 우려는 우리나라에서만 존재하는 것은 아니다. 에드워드 스노든은 2013년 비밀정보기관들에 의해 이루어지는 대중감시 시스템을 내부고발했고, 전 세계는 시민들이 알지 못하는 사이 이뤄지는 정보기관들에 의한 대규모 감시에 큰 충격을 받았다. 미국을 포함한 여러 나라들이 테러 방지 및 국가사이버안보를 앞세워 온라인에서 긴급상황에 준하는 조치들을 해 온 것으로 드러났다. 대중을 감시하는 것은 물론, 통신 메타데이터와 콘텐츠를 차단하거나 암호화된 통신의 해독을 위해 고의적으로 암호를 훼손하는 등의 행위를 한 것이다. 특히 민주주의의 정당성을 가진 민간정부조차도 이러한 정보기관들의 전횡을 통제할 수 없었다는 점에서 전 세계 시민들은 민주주의의 허상을 느끼기도 했다. 스노든의 내부고발 이후 유엔은 총회에서 만장일치로 ‘디지털 시대의 프라이버시 결의안’을 통과시켰다. 이 결의안에서는 대규모로 이루어지는 민간사찰 수준의 국가감시를 경고하며 “국가에 의한 통신활동의 감시, 개인데이터의 수집 및 탈취 행위에 대해 적절하고 책임 있는 내부 감시활동을 수행할 투명하고 독립적인 메커니즘이 필요하다”고 권고했다. 시민들의 촛불혁명 이후, 소수 야당이었던 더불어민주당은 압도적 지지 속에 180석의 거대 여당이 됐다. 하지만 의원수의 부족을 호소하며 필리버스터까지 했던 ‘테러방지법’은 폐지되지 않았다. 오히려 거창한 국가사이버안보라는 미명하에 국정원에 “민간의 정보통신망까지 감시·통제할 수 있는 권한”을 주는 김병기 의원 대표발의의 ‘국가사이버안보법(안)’이 민주당 의원들에 의해 준비되고 있는 상황이다. 국정원 같은 정보기관에 정보보안 업무를 포함한 국가사이버안보의 컨트롤타워로서의 권한을 부여하는 것은 전 세계적으로도 흔하지 않은 일이다. 특히 정보기관 본연의 기능은 첩보(Intelligence)인데, 정보보안(Information Security)까지 권한을 확대하는 것은 업무효율성도 떨어진다. 게다가 이 경우 부처 간 협력이 가장 중요한데 비밀정보기관인 국정원이 부처 간 협력을 조율할 수 있을지도 의문이다. 국회입법조사처는 ‘사이버위협대응체계 현황과 개선과제’에서도 “개별부처 차원에서의 분권적 사이버안보 대응체계를 유지해 온 국내 현실에서 별도의 전담기관 설치가 용이하지 않고, 국가 차원의 통합적인 사이버안보 대응을 위한 정보기관의 역할 강화에 대한 정치·사회적인 우려도 존재한다”고 지적한 바 있다. 즉 비밀정보를 기반으로 민간정치에 관여하는 것을 포함한 부정적인 역할을 고려할 때, 사이버공간의 안보 통제권을 국정원에 넘겨준다는 것은 용인할 수도 없는 일이다. 특히 이 법안에서는 ‘개인정보보호법’과 ‘통신비밀보호법’을 우회하며, 구체적인 행정조치에 대한 제한도 없이 민간 정보통신망과 기기에 대해 ‘보호조치’나 ‘무력화하는 조치’를 할 수 있다고 규정하고 있어, 도대체 어떤 일이 일어날지 예상할 수조차 없는 수준이다. 민주당은 국정원에 통제권을 몰아주는 법안이 아니라 2016년 필리버스터에서 했던 약속들, 즉 다수당을 만들어 주면 시민의 기본권을 수호하며 국정원의 권한을 제한하겠다고 한 약속들을 지켜야 했다. 또한 국가사이버안보의 컨트롤타워가 필요하다면 민간정부의 통제를 받는 일반 행정부처가 맡도록 해야 한다.

뉴욕타임스(NYT)가 애플·중국 정부 간의 ‘거래’를 폭로했다. 고객 정보를 넘겨 사전 검열에 협조했다는 내용이다. 전·현직 직원 17명, 보안전문가 4명을 인터뷰하고 애플 내부 문서, 재판 자료 등을 검토해 내린 결론이라고 17일(현지시간)자로 보도했다. 이에 따르면 애플은 개인정보 보호를 이유로 다른 나라에는 거절해 온 많은 일들을 중국 정부에는 적극 협조했다. 애플은 다음달 완공 예정인 중국 구이저우성 구이양의 데이터센터와 내몽골의 또 다른 데이터센터에서 대부분의 통제권을 중국 정부 당국에 양도했다. 중국 정부는 여기에 저장된 고객 이메일, 사진, 연락처, 일정, 위치정보 등 각종 민감한 정보를 들여다볼 수 있게 됐다. 구이양 데이터센터는 데이터의 법적 소유권을 성 지방정부 산하 ‘구이저우 클라우드 빅데이터’(GCBD)라는 회사로 이전했는데, GCBD는 서버의 물리적 제어 권한도 갖고 있다. 당국은 애플이 아닌 GCBD에 고객 데이터를 요구하면 된다. NYT는 “팀 쿡 애플 최고경영자(CEO)는 시진핑 중국 국가주석의 요구를 수차례 거절했지만 결국 받아들였다”고 전했다. 중국은 사이버안보법을 제정하고 2017년 6월부터 중국 내에서 수집된 중요 데이터를 중국에 보관하도록 의무화했다. 애플은 아이클라우드 서비스를 이용하는 중국 사용자들의 민감한 정보는 대부분 중국 밖에 위치한 서버에 저장해 왔다. 중국은 사이버안보법을 따르지 않으면 중국에서 아이클라우드 서비스를 폐쇄해야 한다고 압박했고, 이는 현지 법인을 통해 본사 경영진에 전달됐다. 애플은 암호화된 고객 데이터를 풀 수 있는 ‘디지털 키’만큼은 미국에 두려고 했으나, 중국 당국은 이마저도 허용하지 않았다. 초기 이 협상에 관여한 최소 2명의 전직 임원은 고객 데이터를 위험하게 만드는 애플의 조치에 매우 놀랐다고 했다. 애플은 미국으로 도피한 중국 반체제 재벌 궈원구이가 공산당의 부패 의혹을 폭로하는 데 사용한 애플리케이션(앱)도 제거했다. 2018년 2월 궈원구이의 앱을 차단하라는 중국 당국의 요구를 받아들여, 애플 임원들로 구성된 검토위원회는 앱스토어에서 제거해야 할 내부 명단에 그의 이름을 추가했다. 6개월 뒤에는 궈원구이가 다시 등록 신청한 앱을 승인한 담당자를 해고했다. ‘이 앱은 어떠한 사내 정책도 위반하지 않았다’는 항변도 받아들여지지 않았다. NYT가 앱 데이터 회사와 함께 분석한 결과 2017년 이후 애플의 중국 앱스토어에서 5만 5000개의 앱이 사라졌다. 톈안먼광장·파룬궁·달라이 라마·티베트 독립·민주화 시위 등을 비롯해 외국 언론사나 암호화 메시지, 동성애 데이트와 관련 있는 것들이 대상이었다. 애플은 2018년 6월부터 지난해 6월까지 2년간 중국 정부의 삭제 요청을 91% 수용했다. 같은 기간 다른 나라 정부의 요구는 절반 정도만 받아들였다. 애플이 아이폰 뒷면에 새기던 ‘애플이 캘리포니아에서 디자인했다’는 문구도 중국 직원들의 항의로 빠졌다. 올해 1분기 애플 글로벌 매출의 20%가 중국 시장에서 나왔다. 이지운 기자 jj@seoul.co.kr

누군가 우리가 살고 있는 집의 현관 비밀번호를 알아내어 침입한 뒤 가족 중 하나를 인질로 삼아 돈을 요구하는 경우 어떤 조치를 취할 수 있을까. 경찰에 신고해 범인을 잡거나 경찰에 신고하지 않고 범인과 협상을 통해 인질을 구출하는 방안이 있다. 만약 경찰이 범인을 잡을 가능성은 희박하고 인질의 생명이 위험한 경우 우리는 후자의 방법을 택할 것이다. 최근 한국의 웹 호스팅 업체 하나가 랜섬웨어에 감염돼 고객사 3400곳의 홈페이지가 마비되는 사고를 겪었다. 이 회사는 인질로 잡힌 데이터를 복구해 주는 조건으로 해커에게 13억원을 지불하기로 했는데 작년 랜섬웨어 범죄자들이 요구한 금액이 평균 1077달러 수준이었다는 점에서 이번 사이버 인질극의 몸값은 엄청난 것이었다. 협상을 비난하는 의견도 있지만, 경찰 등이 해커를 검거해 피해를 복구할 가능성이 없는 상황에서 기업만을 비난하기도 어렵다. 통상 사이버 공격은 국제적으로 이루어진다는 점에서 범인 색출은 사실상 어렵다. 결국 사이버 공격에 대한 사전 예방과 공격 직후 즉각적인 피해 확산 방지, 피해 복구가 중요하다. 한국의 정보통신기술(ICT) 발전 지수는 2015년 이후 1위를 기록하고 있고 인터넷 평균 접속 속도, 전자정부에서도 1위를 기록하는 등 ICT 인프라 구축 및 정보통신 서비스에서는 세계 최고 수준을 유지하고 있다. 그러나 역설적으로 한국의 악성코드 감염률도 세계 최고다. 최고 수준의 네트워크 인프라를 갖추었다는 것은 역으로 사이버 공격에도 그만큼 취약하다는 것이다. 그런데 사이버 공격에 대한 대응도 취약하기 짝이 없다. 먼저 사이버 보안에 대한 거버넌스 이슈를 지적하지 않을 수 없다. 종래 사이버 공격이 벌어지면 공공부문은 국가정보원, 민간은 미래창조과학부가 맡는 식으로 시스템이 이원화돼 있었다. 더욱이 공공부문은 대통령 훈령인 국가 사이버 안전관리 규정에 근거하고 있어 법적 근거마저 미흡하다. 비록 2015년부터 대통령실 내 국가안보실이 컨트롤타워 역할을 하고 있지만 아직 단일한 통합법에 의한 대응이 이루어지지 않고 있다. 미국이 2015년 사이버안보법을 제정했고, 일본도 2014년 사이버시큐리티기본법을 제정한 것과 비교된다. 우리도 국가 차원의 종합적인 사이버위협 대응 체계를 구축해 사이버 공격을 예방하고 사이버 공격 발생 때 국가의 역량을 결집해 신속히 대처하려면 조속히 사이버안보법을 제정할 필요가 있다. 새 정부가 들어선 만큼 사이버 안보 업무에 대한 국회 통제의 강화, 개인정보 침해의 방지, 주요 기관 간 역할 분담을 염두에 두고 법체계의 통합, 재정비에 나서야 할 것이다. 다음 아직도 국민과 기업의 사이버 보안에 대한 인식이 초보적 수준에 머무르고 있다. 랜섬웨어 사례에서와 같이 영세한 업체는 백업이나 물리적 망 분리를 하지 않고 있다. 이는 매출액 등이 일정 규모 이하인 업체에는 보안 조치를 의무화하지 않고 있는 법령 때문이다. 또 다른 사이버 공격의 특성은 메르스 같은 전염병처럼 악성 코드에 감염된 PC가 좀비처럼 다른 PC를 공격하는 것이다. 개인은 피해자인 동시에 가해자가 될 수 있기 때문에 누구든 사이버 보안의 책임과 의무를 다하지 않으면 안 된다. 결국 우리가 직장과 집의 안전을 위해 현관에 비밀번호를 걸어 두고 24시간 경비 시스템을 이용하고 있는 것처럼 사이버 보안을 위해서도 필요한 투자를 해야 한다. 더욱이 많은 고객이 있는 기업이나 공공기관은 더욱 강한 사이버 보안 조치를 하도록 규제를 강화할 필요가 있다. 지능화된 사이버 공격이 국경을 넘어 공공, 민간 부문 구분 없이 무차별적으로 이루어지고 있다. 이런 사이버 위협에 대비해 사이버 보안 대응 체계를 고도화하고 보안에 대한 투자를 강화해야 할 필요가 있다. 왜냐하면 물리적 보안이 국민 생존의 기본 조건인 것처럼 사이버 보안은 디지털 경제의 신뢰성과 4차 산업혁명의 핵심 기반이 되기 때문이다. 이제 사이버 보안은 단순한 컴퓨터 데이터의 파괴 문제가 아니라 국가 사회의 근간에 위해를 가할 수 있는 국가 안보 차원의 이슈가 되고 있다.

제정 과정 국회서 진통 예상 간첩신고 포상금 20억으로 국가 안보를 위협하는 사이버테러 대응 등 사이버안보 정책의 컨트롤타워 역할을 맡게 될 국가사이버안보위원회 설치가 추진된다. 정부는 27일 황교안 대통령 권한대행 국무총리 주재로 열린 국무회의에서 국가사이버안보법안을 심의·의결했다. 법안에는 사이버 공격에 신속하게 대응하기 위해 국가안보실장을 위원장으로 대통령 소속 국가사이버안보위원회를 두도록 했다. 위원회는 위원장을 포함해 20명 이내로 구성되고, 사이버안보 정책·전략 수립에 관한 사항 등을 심의한다. 또 국가정보원장은 3년마다 사이버안보의 정책 목표와 추진 방향 등을 포함한 사이버안보 기본계획을 수립해 시행하고, 사이버위협 정보의 공유를 위해 국무총리 소속으로 사이버위협정보공유센터를 두도록 했다. 이 밖에 국가정보원장은 단계별 사이버위기 경보를 발령하도록 하고, 중앙행정기관장 등은 일정 단계 이상의 경보가 발령되거나 사이버 공격으로 인한 피해가 심각하다고 판단하는 경우 사이버위기대책본부를 구성해 운영할 수 있도록 했다. 그러나 지난 19대 국회에서 새누리당 의원들이 사이버안보 일반법 제정안을 발의했으나 야당이 국가정보원을 컨트롤타워로 두는 것에 반발, 제대로 논의도 되지 못한 채 자동 폐기된 전례가 있어 향후 법안 제정 과정에 진통이 예상된다. 정부는 또 간첩 등 국가안보 위해 사범 등을 수사·정보기관에 통보하거나 체포한 경우 상금 상한액을 5억원에서 20억원으로 인상한 국가보안유공자 상금 지급 등에 관한 규정 개정령안도 의결했다. 최훈진 기자 choigiza@seoul.co.kr

정부는 북한의 사이버 공격 등에 대응하기 위해 국가정보원이 주도해 만든 국가사이버안보기본법 제정안 <서울신문 8월 3일자 1면>을 1일 입법예고했다. 법안은 민·관의 사이버위협정보 공유를 위한 사이버위협정보공유센터를 국무조정실장 소속으로 두는 것을 골자로 한다. 또 국정원장은 사이버안보 업무를 효율적이고 체계적으로 추진하기 위해 3년마다 사이버안보 기본계획을 수립하고 국가·공공분야 책임기관을 대상으로 사이버안보 활동 및 사이버안보 기반 조성 등에 대한 실태를 평가할 수 있도록 규정했다. 다만 국방부 본부를 제외한 합동참모본부, 각 군 및 국방부 직할 부대·기관은 군의 특수성을 감안해 실태 평가와 사고 조사 등을 국방부 장관이 수행하도록 했다. 정부는 “정부와 민간이 함께 협력해 국가 차원에서 체계적이고 일원화된 사이버 공격 예방·대응 업무를 수행하기 위해서는 사이버안보에 관한 기본법 제정이 필요하다”고 제정 이유를 설명했다. 앞서 국회 정보위원장인 이철우 새누리당 의원을 대표로 여당 의원들은 국가사이버안보에 관한 법률안을 발의했지만 국정원의 과도한 권한 집중에 대한 논란이 일었다. 이에 정부안은 입법 과정의 논란을 줄이기 위해 국정원의 권한을 일부 축소시켰다. 강병철 기자 bckang@seoul.co.kr

北 잇단 사이버공격 대응 초점 “與 발의 법안보다 약화된 수준” “SW 등 국가 공유는 독소 조항” 국회 법안 처리 여부 미지수 정부의 국가사이버안보기본법안은 앞서 새누리당 의원들이 발의한 사이버테러방지법에 비해 국가정보원에 집중된 권한을 일부 분산시킨 것으로 평가된다. 최근 북한의 사이버공격이 빈발하며 사이버테러 대응을 위한 기본법 제정의 필요성이 커지자 그간 입법의 ‘걸림돌’로 작용했던 쟁점에 대해 국정원이 한 발 물러난 모양새다. 최근 북한의 사이버공격은 점차 대담해지고 있다. 지난 3월 외교안보 관계자 40명의 스마트폰을 해킹했다는 사실이 알려진 데 이어 지난 1일에는 외교안보 관계자 90명의 이메일을 해킹했다는 사실이 검찰 수사 결과 드러났다. 핵실험 및 미사일 발사 등 전략적 도발과 별개로 사이버 공간에서의 대남 위협을 계속 감행하고 있다. 하지만 국가 차원의 사이버위기에 대응하기 위한 법적 근거 마련은 여전히 지지부진한 상황이다. 지난 19대 국회에서 새누리당 서상기·이철우·하태경·이노근 의원 등이 관련 법을 발의했지만 폐기됐고, 20대 국회에서는 이철우 의원을 필두로 여당 의원 122명이 ‘국가 사이버안보에 관한 법률안’을 발의했지만 논의의 탄력을 받지 못하고 있다. 여당 발의 법안이 표류하고 있는 것은 이 법안대로 민관의 사이버위협 정보를 국정원이 관리하도록 하면 국정원이 이를 ‘오·남용’할 수 있다는 우려 때문이다. 법안 11조 2항에는 ‘국정원장은 국가 차원의 사이버위협정보의 효율적 공유 및 관리를 위해 국가사이버위협정보공유센터를 구축·운영할 수 있다’고 규정돼 있다. 각 부처 및 공공기관, 방산업체, 정보통신 기업 등이 제공하는 사이버위협 정보가 국정원으로 집중되는 구조인 것이다. 반면 정부가 마련한 사이버안보법안은 센터를 국무조정실 소속으로 두도록 했다. 그동안 논란을 고려해 국정원이 직접 이를 관리하는 구조는 피한 것으로 풀이된다. 또 국방부 직할기관 등에 대한 특례 조항을 둔 것도 국군기무사령부, 국군정보사령부 등 군 정보기관의 독자적 활동을 보장해주기 위한 조치로 보인다. 법안을 검토한 한 정부 부처 관계자도 “여당안보다는 약화된 수준”이라고 평가했다. 그럼에도 사이버안보법안이 국회에서 처리될 수 있을지는 미지수다. 국가 주도의 사이버위기 대응법 체계 자체가 각 기관 및 기업의 자율성을 침해할 것이란 우려는 여전하기 때문이다. 또 업계에서는 사이버공격뿐 아니라 악성 프로그램, 정보통신망 및 기기, 소프트웨어 등의 보안 취약점을 공유하도록 한 규정을 ‘독소조항’이라고 반발하고 있지만 이 내용은 사이버안보법안에도 그대로 포함됐다. 강병철 기자 bckang@seoul.co.kr

부처·지자체 2차 의견수렴 진행 與 법안엔 없는 국방 특례도 포함 북한이 외교안보 부처 관계자 90명의 이메일을 해킹하는 등 사이버 공격을 또다시 감행한 가운데 국가정보원이 사이버위협정보공유센터를 국무조정실 소속으로 두는 내용을 골자로 한 국가사이버안보기본법안(사이버안보법안) 초안을 마련하고 정부 부처 및 지방자치단체 등의 의견까지 수렴한 것으로 확인됐다. 국정원 주도로 사이버안보 관련 정부 입법안을 마련하는 것은 처음이다. 2일 정보당국과 관계 부처 등에 따르면 국정원은 지난 6~7월 두 달간 사이버안보법안을 국방부, 외교부, 산업통상자원부, 경찰청을 비롯한 전 정부 부처와 서울시, 경기도 등 지자체에 회람시켰다. 현재 2차 의견수렴을 진행하며 입법을 위한 막바지 조문 정리 작업 중이다. 법안에는 사이버안보 업무의 효율적·체계적 추진을 위해 정부가 3년마다 사이버안보기본계획을 수립·시행토록 규정돼 있다. 또 사이버공격에 신속하게 대응하기 위해 국가 차원의 사이버 공격 탐지·대응 체계를 구축·운영하고, 사이버공격 및 악성 프로그램 등 사이버위협 관련 정보를 국가 차원에서 효율적으로 공유하기 위한 대책도 수립하도록 했다. 특히 국회에 10년간 계류돼 있는 사이버테러방지법 논의의 핵심 쟁점 중 하나인 사이버위협 정보의 관리는 국무조정실 소속의 사이버위협정보공유센터가 맡도록 했다. 기존에 여당이 발의한 법안은 이 센터를 국정원 소속으로 두도록 규정해 국정원의 과도한 권한 집중을 우려한 야당과 업계, 시민단체 등의 반발이 심했다. 아울러 이 법안에는 여당안에는 없는 ‘국방 분야에 대한 특례’ 조항도 포함됐다. 국방부 본부를 제외한 합동참모본부와 국방부 직할기관 등에 대한 사이버안보 실태 평가와 사이버공격 사고조사, 국제협력 업무 등은 국방부 장관이 수행한다는 내용이다. 정부는 지난해부터 사이버안보법안 제정 작업을 진행해 왔다. 강병철 기자 bckang@seoul.co.kr

방송국과 금융기관의 전산망을 마비시킨 ‘3·20 사이버 테러’ 악성코드가 기업의 데이터 시스템과 개인용 PC에도 널리 유포된 징후가 포착됐다. 이에 따라 추가 해킹 피해를 막으려면 대응 시스템을 총괄하는 컨트롤타워가 신속히 필요하다는 지적이 나오고 있다. 보안업체 안랩은 25일 이번 해킹에 사용된 것과 유사한 악성코드가 더 배포돼 수백대 이상의 PC를 감염시킨 것으로 추정했다. 이 악성코드에는 부팅영역(MBR) 파괴 기능과 함께 명령제어(C&C) 서버와 통신하는 해킹 프로그램이 추가된 것으로 확인됐다. 특히 안랩은 1차 때의 경우 내부 타이머로 공격 시간대를 특정했지만, 신종 악성코드는 공격자가 원하는 시간대에 공격을 할 수 있도록 진화했다고 설명했다. 이날 일부 금융기관의 감염 전산 시스템을 점검하는 과정에서도 2차, 3차 공격을 예고하는 징후가 포착된 것으로 알려졌다. 이 금융기관은 장애 발생 이전 수준으로 전산망을 정상화했지만 악성코드가 아직 전산망 어딘가에 남아 있을 가능성이 있는 것으로 판단했다. 전문가들은 이번 해킹 사건을 계기로 사어버 공격을 종합적으로 지휘하는 국가 차원의 컨트롤타워를 만들어야 한다고 지적했다. 정부의 사이버 공격 대응 시스템은 여러 부처로 역할이 분산돼 있어 신속하고 체계적인 대응을 못 하고 있다는 것이다. 앞서 합동대응팀은 농협의 사설 인터넷 프로토콜(IP)을 중국 IP로 오인해 발표함으로써 혼란만 부추겼다. 김승주 고려대 정보보호대학원 교수는 “해킹 원인 파악에는 시간이 소요되고 그 사이에 추가 해킹이 발생할 수도 있다”며 “이 때문에 해킹 사건이 나면 신속한 결정을 내릴 수 있는 공공기관이 필요하다”고 말했다. 컨트롤타워 기관에 예산권 등 권한을 부여하는 대신 책임을 지도록 해야 한다는 것이다. 현재 정부의 사이버 공격 대응 체제는 국가정보원, 국방부, 경찰청, 방송통신위원회 산하 한국인터넷진흥원 등으로 분산돼 있다. 또 중앙행정기관에 대한 방어는 정부통합전산센터를 지휘하는 안전행정부 책임이다. 이번 사건을 계기로 청와대는 사이버비서관을 신설하기로 했지만 여기에도 한계가 있다. 김 교수는 “미국의 경우는 사이버안보보좌관이 정보를 취합해 대통령에게 보고한다”며 “사이버안보보좌관에 버금가는 지위와 책임을 주고 각 부처에 흩어져 있는 정보들도 모아서 공유해야 한다”고 강조했다. 정보보호 학계는 제18대 대통령직인수위원회에 ‘국가사이버안보정책보고서’를 제출한 바 있다. 보고서는 청와대에 사이버전담관 신설, 국가사이버안보법(가칭) 제정, 사이버 부문 예산 확대 등을 담고 있다. 하지만 아직 정책에 반영되지 않았다. 한편 경찰청은 지난 20일 사이버 공격을 받은 6개 기관 가운데 일부 PC에 악성코드를 심은 해외 IP 주소 목록을 확보하고, 미국과 유럽 일부 국가 등 4개국이 감염 경로로 확인됐다고 밝혔다. 그러나 중국은 포함되지 않았다. 홍혜정 기자 jukebox@seoul.co.kr

최근 발생한 농협 전산망 마비사태가 우리에게 더욱 충격으로 다가온 것은 고도로 훈련된 해커에 의한 사이버 테러라는 점에서다. 특정 경로와 대상, 시간을 지정해 정밀타격 식으로 이뤄지는 사이버 공격은 간단한 악성코드만으로 쉽게 실행할 수 있는 디도스(DDoS·분산서비스 거부) 공격과는 차원이 다르다. ‘핵 공갈’을 능가하는 위협거리다. 엊그제 외신은 우리의 사이버 안보 우려가 언제든 현실이 될 수 있다는 섬뜩한 경고음을 전한다. 미국 폭스뉴스에 따르면 북한은 해킹 등 사이버 전쟁을 펼칠 3만명의 병력을 보유하고 있으며 그 능력은 미국 중앙정보국(CIA)에 맞먹는다고 한다. 더구나 군의 핵심 엘리트로 정예화하고 있다니, 사실이라면 우리로서는 그야말로 사이버안보 비상사태라도 선언해야 할 판이다. “현대전은 전자전이다.”라는 김정일 국방위원장의 언급 이후 북한은 해킹부대를 본격적으로 운영하는 등 사이버 전력 강화에 박차를 가하고 있다. 우리 사이버 안보 현실은 어떤가. 우리는 북한의 대남 사이버 전력이 어느 정도인지조차 정확히 가늠하지 못하고 있는 형편이다. 북한은 우수 대학생을 뽑아 해킹과 사이버전 프로그램을 개발하는 비밀학교에 보낸다는 얘기도 있다. 사이버 테러가 고도의 지능범죄임을 감안하면 사이버 보안기술의 개발과 전문인력의 육성은 아무리 강조해도 지나치지 않다. 정보기술 강국인 우리가 사이버 안보에 눈뜬 것은 2009년 7·7 사이버 대란을 겪고 나서다. 사이버 전사 10만 양병설이 힘을 얻기도 했다. 그러나 위기의 순간 반짝 긴장했을 뿐 우리의 사이버안보 현주소는 초라하기 짝이 없다. 사이버 안전을 책임지는 국가정보원의 역할을 강화하는 것이 맞다. 이미 본란을 통해 지적했지만 정보통신기반보호법 개정이 시급하다. 정략적 접근에서 탈피해 국정원이 명실상부한 사이버 대응 컨트롤타워 역할을 하도록 해야 한다. 미국 백악관은 지난주 해킹으로 개인정보가 유출됐을 경우 정부가 적절한 조치를 강제할 수 있도록 하는 ‘사이버안보법’을 의회에 제출했다. 국가안보 차원의 민·관·군 총체적 대응만이 사이버 위험사회에서 살아남을 수 있는 길이다.