랜섬웨어를 필두로 한 사이버 공격 속에서 국가적 역량을 모으려면 정부의 대응 체계부터 새롭게 정립해야 한다는 목소리가 높다. 문재인 대통령이 사이버 안보 정책을 핵심 국방 공약 중 하나로 내세운 만큼 정책의 틀을 처음부터 다시 짜야 한다는 것이다.
박근혜 정부 시절인 2015년 마련된 ‘국가 사이버 안보 종합 대책’에 따르면 대응 체계의 정점에는 청와대 국가안보실이 있다. 이어 공공 부문은 국가정보원, 민간 영역은 미래창조과학부와 한국인터넷진흥원(KISA), 국방 쪽은 국방부가 각각 사이버 보안 위기관리에 대응하는 방식이다. 여기에 사이버 범죄 수사는 검찰과 경찰이 따로 전담하고 있다. 이 같은 구조에서 청와대 국가안보실은 각 정부 부처로부터 사안을 보고 받고 대응 방침을 조정해주는 수준에 그쳐 실질적인 ‘컨트롤타워’ 역할을 하는 데는 한계가 있다는 지적이 제기됐다. 수사권을 가진 국정원이나 국방부와 달리 민간 영역을 담당하는 미래부와 KISA는 권한이 상대적으로 부족해 신속하게 위기에 대응하기 어렵다는 점도 한계로 꼽힌다.
반면 미국은 백악관 ‘사이버안보조정관’이 국토안보부를 직접 통솔하는 단일 대응 체계를 구축했으며 일본 역시 총리 산하 사이버보안전략본부가 컨트롤타워 역할을 맡고 실행기관인 ‘내각사이버보안센터’를 지휘하는 구조를 갖췄다.
정부는 지난 1월 국가정보원에 사이버 안보 컨트롤타워 역할을 맡기는 ‘국가사이버안보법안’ 제정안을 국회에 제출했으나 아직 논의조차 이뤄지지 못했다. 게다가 문 대통령과 서훈 국정원장이 ‘정보기관 개혁’에 강한 의지를 내비치고 있어 국정원에 많은 권한을 부여하는 국가사이버안보법이 제정될 가능성은 낮아 보인다.
국가사이버안보법을 대체할 해결 방안으로는 크게 두 가지가 꼽힌다. 지난 19대 대선에서 유승민 바른정당 후보가 공약으로 내세운 것처럼 정부의 사이버 보안 업무를 한데 모은 ‘사이버보안청’을 신설하는 방안이 첫 번째다. 이는 주로 학계에서 주장하는 대안으로 고려대 사이버보안정책센터가 3월 발표한 정책 제언에도 담긴 내용이다. 임종인 고려대 정보보호대학원 교수는 “국정원과 국방부·미래부 등이 사이버 보안 관련 정보를 공유하고 공조할 법적 근거도 부족한 상황”이라며 “대통령 직속 사이버보안위원회라도 만들어 톱다운(하향식) 형태로 현안을 총괄해야 한다”고 주장했다.
새로운 조직을 신설하는 대신 개별 관계 기관이 유기적으로 협업할 수 있는 구조를 만드는 것이 최선이라는 의견도 주목할 만하다. 주로 사이버 보안 전문 기관과 민간 업체 쪽에서 제시하는 대안이다. 백기승 KISA 원장은 “국내 모든 영역의 사이버 보안 사고의 1차적 예방과 치료를 전담하는 보건소 개념의 전문 기관을 만들어야 한다”며 “이를 통해 금융·국방·의료 등 분야별 협업과 소통이 쉬운 구조로 전환해야 할 것”이라고 강조했다.
미래부와 행정자치부, 국정원, 방송통신위원회와 KISA 등 관계 당국은 오는 12일 제6회 정보보호의 날 기념식을 공동으로 열어 랜섬웨어와 같은 사이버 보안 문제를 폭넓게 논의할 예정이다. 사이버 보안 컨트롤타워의 필요성을 제기하고 관계 당국 간 유기적 협업 방안도 논의될 것으로 전망된다.
