최근 한국에너지기술연구원이 해킹으로 인해 1억원의 연구비를 엉뚱한 곳으로 송금한 사건이 공개되면서 공공기관들의 허술한 사이버보안이 다시 도마 위에 오르고 있다. 사고 친 기관이 다시 사고를 내는 상황이 반복되고 있지만 이를 총체적으로 관리할 범정부 차원의 시스템은 도리어 후퇴하고 있는 게 아니냐는 지적을 사고 있다.
실제로 정부의 사이버안보 관련 시스템을 살펴보니 관련 규정은 있지만 위반시 처벌 기준은 없고, 사고 발생시 이를 통합 관리하는 컨트롤타워 조직은 축소된 것으로 나타났다. 정책을 뒷받침할 예산도 한동안 증가세를 타다가 최근 게걸음을 걷고 있는 것으로 진단됐다.
우선 컨트롤타워의 위상 강화 필요성이 대두되고 있다. 현재 해킹 등 사이버사고 발생시 여기에 대응하는 조직은 국가정보원과 과학기술정보통신부다. 이중 공공기관의 사고는 국정원이, 민간부문의 사고는 과기부가 분담해 대응을 한다. 이들을 통합해 조율하는 관제 역할은 청와대 국가안보실이 맡는다. 그런데 안보실에서 해당 업무를 담당하던 사이버안보비서관직은 지난 7월 청와대 조직개편 과정에서 없어졌다. 대신 기존의 정보융합비서관직과 합쳐져 사이버정보비서관직이 신설됐다.
정보보안과 관련한 정부 규정 역시 개선돼야 할 것을 보인다. 대통령 훈령인 국가사이버안전관리규정은 공공기관 등이 사이버공격을 받을 경우 국가정보원장이 그 원인을 조사할 수 있도록 하고, 관계 기관 협조를 받아 사후 복구조치를 취할 수 있도록 하고 있다. 그러나 사고 원인 등에 대해 어떻게 책임을 물을 지가 명문화돼 있지 않아 자칫 쉬쉬하고 넘어가거나 솜방망이 처벌로 그칠 우려가 있다. 한 공공기관 관계자는 “사이버 보안과 관련해선 일상 속에서 워낙 자잘한 문제들도 자주 빚어지기 때문에 감사원이 나설 정도로 아주 큰 사고가 아니라면 조용히 묻어두고 넘어가자는 분위기가 있는 게 사실”이라고 전했다. 실제로 감사원이 지난 2016년 대대적으로 국가 사이버안전 실태점검에 나섰음에도 이를 통해 지적을 받은 건수는 24건에 불과했다. 앞서 지난 2013년 국회 국정감사에서 밝혀진 자료만 봐도 정부 산하기관중 과학기술분야 연구기관에서 하루 평균 7.3건의 해킹이 이뤄지는 것으로 나타났는데 이를 감안한다면 감사원의 감사결과는 예상보다 성과가 높지 않았던 셈이다.
이런 가운데 사이버안보 체계를 높이기 위한 정보보호 예산 증가세는 주춤해졌다. 정부의 예산안을 보면 ‘정보보호 강화’용 예산은 2015년도의 486억원에서 꾸준히 늘어 2017년도 예산안에선 719억원에 달했으나 2018년도에는 692억원만이 편성됐다. 내년도 예산안에선 다소 회복돼 778억원이 됐지만 기존과 비교한다면 증가세가 꺾이고 게걸음을 걷는 수준으로 평가된다.
