[국방신문=송국진 기자] 국내 방위산업체 등 민간 및 공공분야를 대상으로 하는 사이버 공격이 빈번하게 발생하면서 이에 따른 피해를 차단하기 위한 ‘사이버안보법’ 제정이 시급하다는 지적이 나온다.
특히 북한 및 제3국의 사이버 도발 또는 사이버테러 발생 가능성을 예방하기 위한 사이버 억지력을 갖추고 나아가 보복적인 사이버 공격을 할 수 있도록 통합적인 법률 제정이 필요하다는 주장이다.
세종연구소 사이버안보센터는 19일 롯데호텔 서울에서 ‘사이버안보법 입법의 의미’를 주제로 ‘제1차 세종사이버안보포럼’을 개최했다.
포럼에서 전문가들은 국내 민간 및 공공분야를 대상으로 하는 사이버 공격이 빈번하게 발생하면서 이에 따른 피해가 증가하고 있다며 ‘사이버안보법’ 제정의 필요성을 역설했다.
과거에는 해커가 자신의 실력 과시를 목적으로 사이버 공격을 벌였으나, 최근에는 경제적 이익을 갈취하거나 시민 경제·국가 행정을 마비시킬 목적으로 특정 국가들의 비호 아래 해킹 그룹에 의한 사이버 공격이 증가하고 있다는 점을 이유로 꼽았다.
이상현 세종연구소 소장은 ‘국내 사이버안보법 제정 의미 및 분석’ 주제 발표에서 “국가안보, 국민 안전과 직결된 중요 시설조차 예방업무에 소홀하거나 중대 보안조치를 잘 이행하지 않아 반복적으로 침해사고가 발생한다”며 “민관을 통합하는 포괄적인 전 정부 차원의 사이버안보법 제정이 필요하다”고 주장했다.
이 소장은 “법률상 (사이버안보) 준수 의무가 있는 국가·공공기관에 비해 민간 분야는 관심 부재, 비용 문제, 자율성 등의 사유로 사이버 공격에 매우 취약하다”고 지적했다.
이 소장은 “올해 한국원자력연구원, 한국항공우주산업, 대우조선해양 등 방위산업 분야는 물론 한국셀트리온과 신풍제약 등 백신 업체들도 피해를 겪었다”고 설명했다.
그는 이어 “북한을 비롯한 해외 세력들에 의한 사이버 공격이 빈번하게 이뤄지고 있지만, 현재 관련 개별 법령들에 흩어진 대응조치 활동 및 예방업무 등은 국가안보 전체의 관점에서 체계적, 효율적으로 수행되지 않는다”며 “정보통신기반보호법, 정보통신망법 등이 있으나 안보 목적이 아니다”고 우려했다.
이 소장은 21대 국회에서 국민의힘 조태용 의원과 더불어민주당 김병기 의원이 각각 발의한 사이버안보 관련 법안과 관련해 “세부 절차에서 국민 인권과 자유를 제한·침해할 우려가 없는지 세밀하게 검토하고 적절한 감독 절차 마련도 고민해야 한다”고 말했다.
여당 정보위원회 간사로 최근 ‘국가사이버안보법안’ 제정을 대표발의한 더불어민주당 김병기 의원은 “국경을 초월한 초국가적 사이버 공격에 맞설 전문 역량을 보유한 정보보안 기관이나 안보 기관에서 유관기관 및 민관과 긴밀히 협력하면서 사이버안보 업무를 수행해야 한다”고 밝혔다.
김 의원은 “사이버안보는 단순 범죄 수준의 해커가 아닌 국제 및 국가 배후 해킹조직이라는 거대한 집단에 맞설 만한 전문적인 정보 역량과 대응 역량을 보유한 기관에서 담당하는 것이 세계적인 추세”라고 강조했다.
미국의 경우 국토안보부 소속 사이버 인프라 보안청을 중심으로 국가 사이버안보센터에서 사이버 업무를 수행하고 있으며, 신호정보국 산하 사이버안보센터(호주)나 통신 보안국 산하 사이버안보센터(캐나다) 등 주요 국가에서 정보·보안 기관의 전문 조직을 두고 국가 차원의 사이버안보 업무를 수행하고 있다는 것이다.
일본의 경우 2012년 정보보안 개념을 사이버안보 개념으로 대체하고 2014년에는 ‘사이버안보기본법’을 통과시키면서 사이버안보를 국가안보정책의 핵심으로 다루고 있다.
2015년에는 미·일 방위협력지침 개정을 통해 미·일 군사동맹을 사이버 영역까지 확장시켜 사이버방위전략을 통합하면서 미국의 사이버안보 우산까지 제공받으며 긴밀한 협력을 해나가고 있다.
김민호 성균관대 교수는 “사이버 공격을 하는 집단·세력 활동에 대한 철저한 정보수집을 통해 (사이버 공격을) 미연에 방지해야 한다”며 “법안의 필요성에 대해서는 모두가 공감하면서도 세부적인 내용에 대해 의견이 엇갈리면서 15년이나 지났는데 지금이야말로 절호의 기회”라고 주장했다.
사이버 공격이 빈번하게 발생하고 있음에도 사이버 위기와 재해·재난 위기관리 대응체계의 연계성이 부족해 체계적인 대응이 잘 되지 않고 있다는 지적이다.
정부는 지난 2013년 북한에 의한 사이버 공격인 ‘3·20 방송·금융전산망 해킹사건’을 계기로 ‘국가사이버안전 전략회의’를 개최해 국가 사이버안보 종합대책을 수립했다. 2019년에는 국가안보실 주관으로 사이버 안보정책의 최상위 지침서로서 ‘국가사이버안보전략’을 발간하기도 했다.
그러나 사이버안보 및 사이버 개인정보보호 등에 대해 여야 정치권에서 시각차를 드러내면서 아직까지 국회에서 ‘사이버안보법’을 제정하지 못했다.
현재 국가 사이버안보법의 부재로 사이버 안전 및 정보보호에 관한 법령이 분야별로 다양하게 구성돼 있다. 이를 수행하는 주체도 특정 단일 기관이 아니라 다수 기관이 참여해 분야별 업무를 수행하는 구조로 되어 있다.
크게는 국가정보원이 국가 및 공공부문을, 과학기술정보통신부가 민간부문 정보보호를 담당하며, 행정안전부가 민간 정보통신 기반시설 보호를 책임지고 산업통상자원부가 정보보호 산업 육성을 담당하는 구조다.