'사이버보안 거버넌스' 수년째 공회전…尹 정부 매듭짓나 [IT돋보기]

[아이뉴스24 김혜경 기자] 국내 사이버 위협 대응체계는 국가정보원‧국방부‧과학기술정보통신부로 분할돼 통합적 대응에는 한계가 있다는 지적이 그동안 제기돼 왔다. 사이버 안전을 총괄하는 거버넌스를 구축해 민‧관‧군 협력체계의 원활한 운영을 도모해야 한다는 주장이 제기된 배경이다.

기본법 제정과 컨트롤타워 설치 논의는 수년째 공회전을 거듭하고 있다. 윤석열 당선인 대선 공약에도 포함된 만큼 인수위원회 단계에서 통합적인 사이버 안전 체계를 마련하는 데 강력한 드라이브를 걸어야 한다는 목소리가 높다.

◆ 보안업계 "사이버 안보 수석실 설치 필요"

앞서 한국정보보호산업협회(KISIA)는 각 대선 후보들에게 사이버 보안 거버넌스 확립 관련 의견을 전달한 바 있다. KISIA는 "4차 산업혁명으로 진화하는 환경에서 정보보호 전략을 수립하고 지능화되고 있는 사이버 공격에 선제 대응하기 위해서 컨트롤타워 구축이 필요하다"고 설명했다.

청와대에 '사이버 안보 수석실'을 신설하고, 중앙부처에 독립된 실 혹은 본부 단위 조직을 설치하는 방식의 컨트롤타워가 필요하다는 주장이다. 이들 기관에서는 국가 차원의 정보보호 정책을 발굴‧추진하고 사업 육성정책 수립을 담당한다.

보안업계 한 관계자는 "국가적으로 사이버 보안을 강화하려면 산업 생태계가 활성화돼야 하는데 국정원이 컨트롤타워가 된다면 제약이 많을 것이라고 본다"며 "사고를 예방하는 것도 중요하지만 현재는 사고 발생 시 신속한 대응과 복구가 더 중요하기 때문"이라고 말했다.

이어 "현재 미국 등에서는 정부 단독으로는 사이버 공격에 완벽하게 대응하지 못한다는 점을 인정하고 민간 참여를 확대하는 추세"라며 "사이버 복원력이 중요하다"고 덧붙였다.

현재 국내 사이버안보 대응체계는 부문별 국정원과 국방부, 과기정통부로 분할돼 통합적 대응이 미흡하다는 지적이 제기된 바 있다. 흩어진 기능을 모아 사이버 보안 업무를 일관성 있게 지속할 수 있는 통합 체계를 구축해야 한다는 논의는 수년째 반복되고 있다. 문재인 정부 초기에도 여야가 논의를 통해 공감대는 형성했지만 결과물은 내놓지 못한 것으로 알려졌다. 기본법 명칭을 둘러싼 논란도 여전히 진행 중이다.

한 보안 전문가는 "예를 들어 보안이라는 말을 강조하면 다른 쪽에서는 안보를 강조해야 한다는 주장이 제기되므로 보안과 안보, 리스크, 위협을 포함해 '사이버 안전'이라는 말을 쓰자는 것"이라며 "민관합동위원회를 만들어 다뤄보는 것도 방법이라고 본다"고 강조했다.

◆ 윤 당선인 대선 공약에 포함…"인수위서 반드시 논의해야"

윤석열 대통령 당선인은 18일 첫 인수위 전체회의를 주재했다. 이날 공식 출범한 인수위는 53일 동안 활동하게 된다. 앞서 윤 당선인이 지난 1월 ‘디지털 경제 패권국가’를 목표로 발표한 6가지 실천 전략 가운데 사이버 보안 관련 공약은 ▲일원화된 사이버 대응체계 구축 ▲화이트해커 10만명 양성 등으로 나뉜다.

국정원감시네트워크(국감넷) 관계자는 "현재 국회에 계류된 3건의 법안과 조직 개편 문제는 밀접한 관련이 있다"며 "인수위가 공식 출범한 상황에서 컨트롤타워 설치와 기본법 제정 문제는 서로 맞물릴 것으로 본다. 안보라는 용어보다는 좀 더 포괄적인 개념인 보안이라는 용어를 사용해야 한다"고 설명했다.

현재 국회에 계류된 사이버 보안 관련 법안은 ▲조태용(국민의힘) 의원이 발의한 '사이버안보기본법안' ▲김병기(더불어민주당) 의원 '국가사이버안보법안' ▲윤영찬(더불어민주당) 의원 '사이버보안기본법안' 등이다.

조 의원과 김 의원 법안은 국가정보원(국정원)에 컨트롤타워 역할을 부여하는 게 골자다. 김 의원 법안에는 국정원장은 정보통신기기 등에 대한 사이버 위협을 확인‧차단하기 위해 시험·분석·사실 조회 등을 할 수 있다는 내용도 포함됐다. 윤 의원 법안은 대통령을 위원장으로 하는 '국가사이버보안전략위원회'를 설치하고, 국가 차원의 사이버보안 업무를 수행하기 위해 과기정통부 소속으로 '사이버보안본부'를 두는 것이 핵심이다.

김형중 고려대 정보보호대학원 교수는 "오용하지 않는 방향으로 컨트롤타워를 만들고 기본법을 제정해야 한다는 부분에서는 대부분 동의하고 있다"며 "현재까지 인수위에서 사이버 보안을 별도로 전담하고 있는 전문가가 누구인지 불명확한 상황에서 국가적으로 중요한 사안을 제대로 다룰 수 있을지 우려된다"고 지적했다.