산업 IT

[3·20 사이버테러] 컨트롤타워 없고… 예산 줄고… 주먹구구식 대응이 화 키워

■ 나는 해킹-기는 보안 왜 되풀이 되나<br>업무 중첩·책임 불분명<br>정쟁에 법안 정비 늦어져 민간 보안업체에만 의존<br>국가차원서 인재 양성… 선진국 행보와 대조

국가기간망 마비사태로 민관군 사이버위협 합동대응팀이 가동된 가운데 21일 서울 서대문 미근동 경찰청 사이버테러대응센터 디지털분석실에서 수사관들이 해킹 증거들을 분석하고 있다. /박서강기자

사이버테러로 국내 주요 방송사와 금융사 전산망이 일시에 마비되면서 그동안 주먹구구식 대응에 그친 정부에 비난의 화살이 쏠리고 있다. 2009년부터 홀수년마다 굵직한 보안사고가 연이어 발생하고 있는데도 일원화된 위기관리체계가 없어 피해를 키웠다는 지적이다. 해커의 소행으로 추정되는 크고 작은 보안사고가 발생했지만 정부는 북한이 유력한 배후로 추정된다는 애매한 결과를 발표했을 뿐 사실상 체계적인 후속대책을 마련하는 데는 실패했다는 평가가 나온다.

이번 사건으로 지적되는 가장 큰 문제는 보안정책을 총괄하는 '사이버 컨트롤타워'의 부재다. 현재 우리나라의 사이버테러 대응체제는 방송통신위원회와 한국인터넷진흥원에서 민간 분야를 담당하고 국가정보원과 국방부가 각각 공공보안과 군사보안을 총괄한다. 여기에 경찰청과 대검찰청은 별도로 사이버테러 범죄수사를 전담한다. 문제는 관련 기관과 법규가 여러 부처로 산재되면서 업무가 중첩되고 각 기관의 책임과 역할이 불분명하다는 점이다. 이를 위해 국정원은 2004년 국가 보안정책을 총괄하는 국가사이버안전센터를 별도로 설립했지만 공공기관 위주로 운영되면서 금융기관이나 일반 기업은 개별적으로 보안사고에 대응하고 있는 실정이다.


새 정부 출범으로 정부조직이 개편되더라도 논란은 여전하다. 정부조직개편안에 따르면 새롭게 신설되는 미래창조과학부는 기존 방통위가 담당하던 민간보안 업무를 일부 가져가지만 여전히 개인정보 보호는 방통위가 맡는다. 기존 행정안전부가 담당하던 전자정부 업무도 안전행정부가 그대로 전담할 예정이어서 보안사고에 대한 대응능력이 크게 떨어질 수 있다는 우려의 목소리가 높아지고 있다. 해커의 수법은 갈수록 고도화∙정교화되는데 이를 체계적으로 예방하고 감시해야 할 정부 정책은 오히려 반대로 가고 있다는 것이다. 정태명 성균관대 정보통신학부 교수는 "이명박 정부 때 정보보호 업무가 여러 부처로 나눠지면서 업무가 중복되고 그나마 유지됐던 일관성도 실종됐다"며 "새 정부에서도 개인정보 보호와 정보보안이 방통위와 안행부ㆍ미래부로 분산돼 있어 일관성 있는 정책을 펼칠 수 있을지 의구심이 든다"고 말했다.

관련기사



정부의 보안 분야 예산도 사이버테러에 대비하기에는 턱없이 부족한 실정이다. 올해 우리나라의 정보보호 예산은 2,400억원으로 전체 정보화 투자 예산인 3조3,000억원의 7.3%에 불과하다. 지난해보다 보안 지출 비중은 오히려 0.8% 줄어들었다.

미국과 중국을 비롯한 선진국들이 국가 차원에서 사이버테러 대응 인력을 양성하는 것과 달리 민간 보안업체에 대한 의존도가 높은 것도 풀어야 할 과제로 거론된다. 민간 부문과의 협력과는 별개로 정부 차원에서 사이버테러에 대응하기 위한 인력 양성에 본격적으로 나서는 것이 급선무라는 설명이다. 김운봉 라온시큐어 이사는 "그동안 2년 주기로 대형 해킹사고가 발생했을 때마다 시스템이나 정책에 관한 고민은 많았지만 사람에 대한 투자는 부재했다"며 "미국이나 중국처럼 해커도 하나의 중요한 국가적 자산이라는 인식을 갖고 화이트 해커(착한 해커)에 대한 인식을 전환해야 한다"고 말했다.

법안 정비도 시급한 과제다. 정쟁으로 관련 법안 처리가 차일피일 미뤄지면서 화를 키웠다는 지적이다. 해킹과 관련해 금융사의 손해배상 책임을 명확히 하고 피해발생시 제재를 할 수 있는 내용의 전자금융거래법 개정안의 경우 국회에서 낮잠을 자고 있다. 2011년 농협 전산장애 사고 이후 금융위원회가 지난해 1월 개정안을 냈지만 아직도 정무위원회의 법안심사소위를 통과하지 못했다. 금융감독당국은 다음달 국회에서의 통과를 기대하고 있지만 법안 처리는 불투명한 상황이다. 정 교수는 "예전에는 정부에서 운영하던 정보보호 관련 연구센터가 6개나 됐는데 최근 1개로 줄었다"며 "방화벽이나 보안장비 도입은 기본이고 이제는 국가 차원에서 보안인력에 대한 투자 확대, 법안 정비 등을 해야 한다"고 강조했다.


이지성 기자
<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>




더보기
더보기





top버튼
팝업창 닫기
글자크기 설정
팝업창 닫기
공유하기