국가 차원의 ‘사이버 관제’ 옳은가
‘국가 사이버위기 관리법’ 공청회
서버와 PC의 부팅영역이 파괴되어 은행 업무가 마비되었고, 네트워크에 연결된 3만2천여 대의 PC도 하드디스크를 교체해야 할 상황이다. 이에 국가 차원의 사이버보안 콘트롤타워를 설치해야 한다는 목소리가 높아지고 있다.
이에 서상기 국회 정보위원장은 ‘국가 사이버위기 관리법(이하 사이버위기법)’을 발의하는 한편, 한국정보보호학회(회장)와 공동으로 지난달 29일(금) 국회 의원회관에서 ‘국가 사이버위기 관리법 제정을 위한 공청회’를 열었다.
 |
| ▲ 지난달 29일(금) 국회 의원회관에서는 '국가 사이버위기 관리법 제정을 위한 공청회'가 열렸다. ⓒScienceTimes |
서 의원은 인사말을 통해 “국가 기반시설에 준하는 방송사와 금융사의 전산망까지 마비되는 상황이므로 국가정보원(이하 국정원)이 통합 콘트롤타워 역할을 맡아야 한다”고 주장했다.
이날 행사장에는 예상보다 많은 300여 명의 인원이 몰려 ‘3.20 사이버 테러’라 불리는 방송·금융사 전산망 마비 사태에 대한 관심을 엿볼 수 있었다.
국정원 산하 ‘국가사이버안전센터’ 확충 계획
공항이나 항만 등 위험상황이 우려되는 공간을 대상으로 강제적으로 관리하거나 통제하는 일을 ‘관제’라 한다. 통신망이 발달한 요즘은 사이버 테러에 대비해 보안관제센터를 설치하는 일이 늘어나고 있다.
국방부는 ‘국방정보전 대응센터’를, 경찰청은 ‘보안관제센터’를 구축했으며 한국인터넷진흥원(KISA)은 ‘인터넷침해사고 대응지원센터’를 설치했다. 민간에서는 방송사와 금융사를 중심으로 별도의 ‘정보공유분석센터(ISAC)’가 운영되고 있다.
국정원은 사이버 테러로부터 국가기관의 통신망을 보호하려는 목적으로 지난 2004년 ‘국가사이버안전센터(www.ncsc.go.kr)’를 설립·운영중이다. 사이버 위협을 평시, 주의, 경고, 위험의 4단계로 나누어 사이버 위협을 경보한다.
지난 ‘3.20 사이버 테러’ 때에도 위 조직들은 민·관·군 사이버위협 합동대응팀을 구성해 원인규명과 복구를 지원했다. 서 의원이 발의한 ‘국가 사이버위기 관리법’은 국정원을 중심으로 통합 콘트롤타워를 설치해 더욱 강력한 임무와 역할을 부여하자는 취지다.
이날 주제발표를 맡은 임종인 고려대 교수는 ‘3.20 대란과 국가 사이버위기 관리법의 과제’라는 제목으로 법안의 내용과 쟁점을 소개했다.
‘빅브라더’ 위험으로 사이버위기 법안 번번이 부결
우리나라는 매년 3만 건이 넘는 사이버 공격을 받고 있다. 민간 분야에만 347만 개 기업에 570만 대의 서버가 설치되어 있으며, 컴퓨터와 스마트폰을 통해 인터넷을 사용하는 사람이 3천만 명을 넘는다. 사이버공격에 능동적으로 대응할 만한 분석전문가와 화이트해커의 수요가 급증하는 상황이다.
 |
| ▲ '3.20 대란과 국가 사이버위기 관리법의 과제' 주제발표를 맡은 임종인 고려대 교수 ⓒ고려대학교 |
특히나 북한은 3천여 명 수준의 전문 해커부대를 운영해 세계 3위 수준의 사이버전 역량을 보유하고 있다. 북한의 공격에 대비하기 위해서는 단순한 방어를 넘어서 반격까지 할 수 있는 포괄적인 사이버안보 패러다임을 구축해야 한다는 지적이다.
그러나 국정원, 경찰, KISA 등에서 근무하는 사이버 보안요원의 숫자는 200명에 불과하다. 임 교수는 “사이버 테러는 신속하고 단호한 조치를 취해야 한다”며 “통합 콘트롤타워를 설치해 민·관의 합동대응 능력을 키우고 장기적인 인재양성 프로그램을 실시해야 한다고 주장했다.
참고로 미국은 사이버보안 연구개발법(CSRDA), 사이버안보 강화방안(CSEA), 사이버안보교육 강화방안(CSEEA) 등의 법안을 통해 국가 차원의 사이버위기 대응 능력을 키우고 있다.
우리나라는 지난 2003년 ‘1.25 인터넷 대란’, 2009년 ‘7.7 디도스 공격’, 2011년 ‘3.4 디도스 공격’ 등 여러 차례의 사이버 위기를 겪으면서 다양한 대응 법안이 발의된 바 있다. 그러나 “국가기관에 강력한 권한을 부여할 뿐 견제 장치가 느슨해 빅브라더(Big Brother)를 탄생시킬 위험이 있다”는 것이 법안 통과의 장애물로 작용해 번번이 부결되었다.
‘빅브라더’는 영국 소설가 조지 오웰(George Orwell)의 소설 ‘1984년’에 등장한 용어다. 선의의 목적으로 사회를 돌보는 보호적 감시 장치가 변질되어 결국 정보를 독점한 채 권력자만을 위한 통제기구로 군림할 수 있다는 의미다.
국민 우려 잠재울 투명성과 신뢰성 확보해야
임 교수는 “이제까지 발의된 사이버위기 관련 법안들이 왜 통과될 수 없었는지 진지하게 고민하고 토론해 답을 찾아야 한다”며 신뢰성과 투명성을 기반으로 한 조직 구성안과 활동 범위를 명시해야 한다고 조언했다.
특히 신속한 대응을 위해서는 정보 공유가 필수적인데 국정원이 민간의 정보만을 독식한 채 공개에 인색할 수 있다. 특히나 최근 대선과정에서 불거진 국정원의 정치 개입 등 중립 의무를 지키지 못한 사례도 우려의 원인으로 작용하고 있다.
임 교수는 또한 “이번 국가 사이버위기 관리법은 통합 콘트롤타워에 권한을 집중하기만 할 뿐 사이버안보를 실질적으로 강화시킬 구체적인 과제들을 담지 못했다”고 지적했다. 국정원을 견제할 수 있는 제도적 장치를 추가하되 청와대에 사이버안보 수석을 두어 신속한 집행과 안정적 운영을 보장하는 타협적인 방법도 가능하다는 것이다.
그러나 국정원, 경찰, KISA 등에서 근무하는 사이버 보안요원의 숫자는 200명에 불과하다. 임 교수는 “사이버 테러는 신속하고 단호한 조치를 취해야 한다”며 “통합 콘트롤타워를 설치해 민·관의 합동대응 능력을 키우고 장기적인 인재양성 프로그램을 실시해야 한다고 주장했다.
참고로 미국은 사이버보안 연구개발법(CSRDA), 사이버안보 강화방안(CSEA), 사이버안보교육 강화방안(CSEEA) 등의 법안을 통해 국가 차원의 사이버위기 대응 능력을 키우고 있다.
우리나라는 지난 2003년 ‘1.25 인터넷 대란’, 2009년 ‘7.7 디도스 공격’, 2011년 ‘3.4 디도스 공격’ 등 여러 차례의 사이버 위기를 겪으면서 다양한 대응 법안이 발의된 바 있다. 그러나 “국가기관에 강력한 권한을 부여할 뿐 견제 장치가 느슨해 빅브라더(Big Brother)를 탄생시킬 위험이 있다”는 것이 법안 통과의 장애물로 작용해 번번이 부결되었다.
‘빅브라더’는 영국 소설가 조지 오웰(George Orwell)의 소설 ‘1984년’에 등장한 용어다. 선의의 목적으로 사회를 돌보는 보호적 감시 장치가 변질되어 결국 정보를 독점한 채 권력자만을 위한 통제기구로 군림할 수 있다는 의미다.
국민 우려 잠재울 투명성과 신뢰성 확보해야
임 교수는 “이제까지 발의된 사이버위기 관련 법안들이 왜 통과될 수 없었는지 진지하게 고민하고 토론해 답을 찾아야 한다”며 신뢰성과 투명성을 기반으로 한 조직 구성안과 활동 범위를 명시해야 한다고 조언했다.
특히 신속한 대응을 위해서는 정보 공유가 필수적인데 국정원이 민간의 정보만을 독식한 채 공개에 인색할 수 있다. 특히나 최근 대선과정에서 불거진 국정원의 정치 개입 등 중립 의무를 지키지 못한 사례도 우려의 원인으로 작용하고 있다.
임 교수는 또한 “이번 국가 사이버위기 관리법은 통합 콘트롤타워에 권한을 집중하기만 할 뿐 사이버안보를 실질적으로 강화시킬 구체적인 과제들을 담지 못했다”고 지적했다. 국정원을 견제할 수 있는 제도적 장치를 추가하되 청와대에 사이버안보 수석을 두어 신속한 집행과 안정적 운영을 보장하는 타협적인 방법도 가능하다는 것이다.
 |
| ▲ 패널들은 국정원 산하 통합 콘트롤타워 구축에 관한 찬반 토론을 벌였다. ⓒScienceTimes |
패널들도 법안 중 국정원의 권한 강화에 대해 찬·반으로 나뉘어 열띤 토론을 벌였다. 류재철 충남대 교수는 “국정원의 국가사이버안전센터는 우리나라 전체 데이터 트래픽의 2퍼센트밖에 감시하지 못한다”며 “청와대나 총리식 산하 조직으로 격상시켜 10퍼센트까지 모니터링 능력을 높여야 한다”고 주장했다.
정준현 단국대 교수는 “이번 법안은 권한 부여에 관한 내용만 있을 뿐 책임을 규정하는 법적인 조항을 담고 있지 않다”며 투명성을 전제로 한 법안 재작성을 요구했다. 특히 “‘적절한 조치’ 등 모호한 용어를 사용하면 국민의 불신만 초래할 것”이라고 지적했다.
손기욱 국가보안기술연구소 사이버연구본부장은 “국가안보를 위해서는 기초정보를 공유하는 것이 기본”이라고 주장했다. 국가 공공기관은 사고 발생시 환경 조사가 용이하도록 정보분석 도구의 사용을 의무적으로 강제해야 한다는 것이다. 또한 조만간 중국산 통신장비의 사용을 불허하는 등 단호한 조치를 보이는 미국의 태도에 대해 소개하며 “장비의 안전성을 확보하는 것도 중요하다”고 밝혔다.
 저작권자 2013.04.01 ⓒ ScienceTimes |
댓글 없음:
댓글 쓰기