[사이버안보정책③] “이대로 좋은가, 민주적 감시와 통제 결여된 사이버안보법 추진(上)”

[대전=뉴스프리존] 이기종 기자= 컴퓨터와 인터넷의 결합은 시간과 공간을 초원한 새로운 만남과 정보 기반의 사이버 사회를 만들었고 사이버 공간을 이용하는 사람들에게 금전적 이득 등 다양한 혜택을 제공하고 있다.

반면 인공지능(AI) 확대, 양자(Quantum) 컴퓨터 등장 등의 과학기술 발전과 함께 이를 이용하려는 미국, 유럽, 중국, 러시아, 북한, 일본 등 한반도 영향국의 사이버안보정책은 사이버 안보의 중요성과 위험성을 높이고 있고 심지어 전통적 안보의 수단인 핵무기, 또는 대량살상무기와 같이 전쟁 발발 전·후로 파괴 효과를 얻을 수 있다는 게임 체인저(Game Changer) 역할론도 제기되고 있다.

대한민국이 사이버안보에 관심을 갖게 된 계기는 2003년 1월 25일 발생한 ‘인터넷 대란’이라고 할 수 있다.

그 당시 노무현 정부는 국가적 차원에서 사이버 위기를 대응하기 위해 ‘국가사이버테러대응체계구축기본계획’을 추진했다.

그러나 1·25 인터넷 대란 이후에도 사이버 공간에서 다양한 위협이 발생해 사회적 또는 국가적 큰 피해를 입었고 지난 이명박 정부, 박근혜 정부는 수차례 사이버안보정책을 발표하고 추진했으며 지난 2019년에는 문재인 정부가 초연결, 초융합, 초지능 등 5G 기반의 새로운 위협에 대응하기 위해 정부 최초로 국가사이버안보전략을 발표했다.

하지만 정부의 이러한 정책적 변화에도 불구하고 사이버안보정책의 정책적 환류성, 사이버안보조직의 정보공개 투명성, 사이버안보주체의 정책적 참여성 등의 문제는 아직도 해결되지 못하고 있다.

이에 본지는 ‘1·25 인터넷 대란’ 이후 20년이 되는 현 시점에서 대한민국 사이버안보정책의 현 실태를 파악하고 미래 국가 안보에서 있어서 한 축으로 부상하고 있는 사이버안보를 위한 정책방향을 제시하기 위해 “사이버안보, 이대로 좋은가”라는 연재를 기획했다.<편집자 주>

- 제21대 국회에서 검토하는 사이버안보법안은?

▶ 제21대 국회에서는 정보위원회 법안심사소위원회 등을 통해 4건의 사이버안보법을 심의하고 있다.

그 내용에는 국가사이버안보법안(김병기 의원 등 13인, 2021.11.4), 사이버안보기본법안(조태용 의원 등 27인, 2020.6.30), 사이버보안기본법안(윤영찬 의원 등 12인, 2021.12.2), 국가정보원법 일부개정법률안(하태경 의원 등 15인, 2021.2.18) 등이 있다.

이들 법안을 세부적으로 살펴보면 국가사이버안보법안의 경우, 그 제안 이유로 사이버 공격이 국가안보 및 국익에 심각한 위협으로 대두됨에 따라 국가정보원법의 전부개정을 통해 국가정보원에 국제 및 국가배후 해킹조직 등에 관한 사이버안보 정보 및 예방·대응 직무를 부여한다는 것이다.

특히 최근 국가배후 해킹조직 등의 대우조선해양(2020.11), 원자력연구원(2021.5), 한국항공우주산업(2021.6) 등을 대상으로 한 해킹의 예방·대응 과정에서 국가정보원의 사이버안보 정보 및 대응활동에 필요한 구체적인 직무 수단·절차가 부족하고 관계기관 및 기업 등의 역할에 대한 통합적 규범도 부재해 사이버안보 위협에 효율적이고 일관된 대처가 어려운 측면이 있었다고 설명했다.

또 국가정보원이 사전에 권고한 보안조치를 이행하지 않아 사고가 발생하는 등 실효적 조치를 위한 제도적 장치가 부재한 상황이며 이에 국가정보원을 중심으로 정부와 안보관련 기업이 협력해 사이버안보 위협을 능동적으로 확인·대처할 수 있도록 구체적 수단·절차를 마련하고 사이버안보 정책의 집행력을 강화하는 한편, 권한 남용이 발생하지 않도록 고등법원 수석판사 등의 통제를 받도록 하는 등 국가역량을 결집할 수 있는 사이버안보 협업 체계를 구축하는 것이 필요하다고 주장했다.

이에 대한 주요내용으로 ▲사이버안보를 위한 중요 사항을 심의하기 위해 국가정보원장 소속으로 사이버안보위원회를 둠 ▲사이버안보 위협행위로부터 소관사무 영역을 안전하게 보호하여야 할 기관·단체들을 책임기관으로 규정하고 각 책임기관은 전담조직을 설치하고 국가정보원장이 수립하는 사이버안보 기본계획에 따라 소관 분야별 시행계획을 수립·시행하도록 함 ▲국가정보원장 및 관계 기관·단체의 장은 타 책임기관 소관사무 영역 보호활동을 지원하기 위한 정보를 상호 공유할 수 있도록 함 ▲국가정보원장은 책임기관을 대상으로 사이버안보 위협행위로부터 소관사무 영역을 보호하는 활동에 대한 실태평가를 하거나 자체평가·대체평가를 할 수 있도록 함 ▲공급망 보안 위협 확인 시 국가안전보장 및 국민 안전 위험을 최소화할 수 있는 조치를 각 소관위원회에서 심의·조치하도록 함 ▲사이버안보 위협행위에 신속하고 효율적으로 대응하기 위하여 통합보안관제체계를 중심으로 보안관제를 실시하고 피해 발생 시 필요한 조사 및 조치를 취하도록 함 ▲사이버안보 위협에 악용되었거나 악용될 우려가 현저한 정보통신기기등의 운영주체에게 상급책임기관의 장 및 국가정보원장은 필요한 보호조치를 요청 또는 요구할 수 있도록 함 ▲국가정보원장은 사이버안보 위기 경보를 발령할 수 있고 경계 이상의 경보 발령 시 사이버안보위기대책본부를 구성·운영하도록 함 ▲현행 법제상 디지털정보 형태의 사이버안보 정보 수집에 필요한 절차가 부재한 경우에 한하여 최후적·보충적 수단으로 국가정보원장이 고등법원 수석판사의 허가 또는 대통령의 승인을 얻어 정보에 접근하고, 관련 당사자 통지 및 불법행위 처벌 등 통신비밀보호법상 국가안보목적 감청 등과 동일 수준의 명확하고 실질적 통제장치를 도입함 ▲국회 정보위원회는 필요한 경우 국가정보원이 수집한 사이버안보 정보에 대해서 보고 받을 수 있고 현장검증 및 조사를 실시할 수 있도록 함 ▲사이버안보 관련 업무를 전문적이고 효율적으로 수행하기 위하여 현재 ‘과학기술분야 정부출연연구기관 등의 설립·운영 및 육성에 관한 법률’ 제8조에 따른 한국전자통신연구원 부설로 설립되어 있는 국가보안기술연구소를 ‘사이버안보전략기술원’으로 승격 등이다.

이어 사이버안보기본법안의 경우, 그 제안 이유로 정부와 민간이 함께 협력하여 지속적으로 발생하는 사이버공격에 대해 사전탐지, 조기차단 등 능동적이고 효율적으로 대처하고 사이버공간상 위기 발생시 국가의 역량을 결집해 신속히 대응 할 수 있는 국가시스템을 구축하는 것이다.

그에 대한 배경으로 대한민국은 세계 최고로 발달된 정보통신기술 덕택에 업무나 생활 전 부문에서 편리성을 누리고 있으나 역설적으로 그만큼 사이버공격의 대상이 확대되어 그 위험성이 커지고 있다고 설명했다.

그 사례로 2009년 7.7 디도스 사건 이후 지속적인 사이버공격으로 청와대는 물론 언론·금융사 전산시스템이 대량으로 파괴되는 피해가 발생했고 최근까지도 사이버 공격으로 인한 피해는 증가해 한국수력원자력, 서울메트로 등 사회기반시설에 대한 공격은 물론 2016년에는 국방통합데이터센터의 인터넷망과 국방망을 해킹해 ‘작전계획 5027’등 다수의 군 기밀자료가 절취되고 2018년 평창올림픽 개막식 당일에는 사이버공격으로 메인프레스 센터의 IPTV 작동이 멈추고 조직위원회 홈페이지가 마비되는 등 사이버 공격의 확대로 국가 경제와 안보를 저해하는 심각한 위협으로 대두됐다고 언급했다.

특히 다른 나라에서 공통으로 받는 위험성 외에 북한이라는 변수가 항시 상존하고 있어 사이버공격에 대한 보다 심층적인 안전장치가 필요하지만 대한민국의 국가적 대응 활동은 공공·민간 부문이 제각각 분리, 독립 대응하고 있어 광범위한 사이버공격에 효율적인 대처가 불가한 실정이고 사이버공격 예방 및 대응을 위한 법률의 부재로 공격 징후를 실시간 탐지·차단하거나 신속한 사고 대응에 한계가 있다고 지적했다.

이에 대한 주요내용으로 ▲사이버안보에 관한 중요한 사항을 심의하기 위하여 대통령을 의장으로 하는 국가사이버안보정책조정회의를 둠 ▲국가차원의 종합적이고 체계적인 사이버안보 업무 수행을 위하여 국가정보원장 소속으로 국가사이버안보센터를 둠 ▲국가정보원장은 사이버안보업무의 효율적이고 체계적인 추진을 위하여 사이버안보 기본계획을 수립하고 이에 따라 시행계획을 작성하여 책임기관의 장에게 배포하여야 함 ▲책임기관의 장은 사이버공격 정보를 탐지·분석하여 즉시 대응할 수 있는 보안관제센터를 구축·운영하거나 다른 기관이 구축·운영하는 보안관제센터에 그 업무를 위탁하여야 함 ▲책임기관의 장은 사이버위협정보를 다른 책임기관의 장 및 국가정보원장에게 제공하여야하며 국가정보원장은 국가차원의 사어비위협정보의 효율적인 공유 및 관리를 위하여 사이버위협정보 공유센터를 구축·운영하여야 함 ▲책임기관의 장은 사이버공격으로 인한 사고가 발생한 때에는 신속히 사고조사를 실시하고 그 결과를 중앙 행정기관 등의 장 및 국가정보원장에 통보하여야 함 ▲국가정보원장은 사이버공격에 대한 체계적인 대응을 위하여 사이버위기경보를 발령할 수 있으며, 책임기관의 장은 피해 발생을 최소화하거나 피해복구 조치를 취해야 함 ▲정부는 경계단계 이상의 사이버위기경보가 발령된 경우 원인분석, 사고조사, 긴급대응, 피해복구 등을 위하여 책임기관 및 지원 기관이 참여하는 사이버위기대책본부를 구성·운영할 수 있음 ▲정부는 이 법에서 규정한 업무를 지원할 수 있는 능력이 있다고 인정되는 자를 사이버안보 전문업체로 지정·관리할 수 있음 ▲정부는 사이버안보에 필요한 기술개발·산업육성·인력양성 등 필요한 시책을 추진할 수 있음 ▲정부는 사이버 공격 기도에 관한 정보를 제공하거나 사이버공격을 가한 자를 신고한 자에 대하여 포상금을 지급할 수 있음 ▲직무상 비밀을 누설한 경우에는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처함 등이다.

또 사이버안보법과 유사하지만 이름만 바뀐 사이버보안기본법안의 경우, 그 제안 이유는 사이버보안 기본법 제정을 통해 사이버침해 대응과 관련하여 체계적인 정책을 수립하고 대응체계를 정비할 수 있도록 하며 민간부문의 사이버침해 대응과 보안 산업 및 인력양성을 주도하고 있는 과학기술정보통신부에 사이버보안본부를 설치해 공공과 민간의 사이버 침해대응 체계를 구축하는 것이다.

그에 대한 배경으로 4차 산업혁명과 비대면·디지털 경제시대의 도래로 디지털 융합이 가속화되고 있어 국민 생활의 편익은 증대된 반면, 사이버 영역이 전 사회·산업으로 확산됨에 따라 사이버 침해사고의 대상은 확대되고 그 위험성은 전보다 커진 상황이라고 판단했다.

또 사이버위협은 초국가적으로 공공과 민간 영역의 구분이 없이 시·공간을 초월하여 광범위하고 동시다발적으로 발생하고 있으며 사이버위협에 대한 조기 차단에 실패할 경우 피해가 확산되는 특성이 있으며 특히 최근 랜섬웨어 등을 통해 국가의 경쟁력을 좌우하는 기업과 공공기관의 중요 정보와 핵심 기술에 대한 탈취도 증가하고 있는 상황이라고 인식했다.

하지만 대한민국의 사이버보안 대응체계와 관련 제도는 이러한 디지털 환경변화에 부합하지 못하고 있고 우리나라 사이버보안 제도는 사고 발생 후 필요에 따라 분야별로 도입됨에 따라 국가적인 사이버보안 체계가 없다시피 한 실정이며 디지털 전환이 가속되면서 스마트공장 등 제도의 사각지대도 점차 커질 것으로 예상되고 있는 상황이라고 판단했다.

이로 인해 대한민국 사이버 대응체계는 공공부문은 국가정보원, 민간부문은 과학기술정보통신부에서 담당하고 있으나 이는 사이버 침해사고가 공공과 민간을 구분하지 않고 발생하는 현실을 반영하지 못하고 있다고 주장했다.

이에 대한 주요내용으로 ▲사이버보안에 관한 중요한 사항을 심의·의결하기 위하여 대통령을 위원장으로 하는 국가 사이버보안 전략위원회를 두고 ▲공공·민간을 포괄하는 국가 차원의 사이버보안에 관한 업무를 효율적으로 수행하기 위하여 과학기술정보통신부 소속으로 사이버보안본부를 둠 ▲과학기술정보통신부장관은 사이버보안에 관한 전략 및 기본방향을 정하는 사이버보안 기본계획을 수립·시행하고 중앙행정기관의 장은 기본계획에 따른 시행계획을 수립·시행함 ▲과학기술정보통신부장관은 정보통신망·서비스 및 기기등의 안전성·신뢰성을 확보하기 위한 사이버보안대책을 수립·운영할 수 있도록 지침을 제정·권고할 수 있으며 사이버보안에 적합한 설계·개발 등을 장려·촉진하기 위한 지침의 개발·보급을 할 수 있음 ▲과학기술정보통신부장관은 공공분야 사이버보안 수준점검을 할 수 있으며 정부는 국가의 중요한 정보통신기반 시설을 주요정보통신기반시설로 지정하여 안전하게 보호하여야 함 ▲과학기술정보통신부장관은 보안취약점에 관한 정보를 종합적으로 수집·분석, 관리할 수 있는 체계를 구축·운영할 수 있으며 공공부문 정보통신망에 연결되는 기기등의 공급망 보안위협에 대한 시험·분석 등을 지원할 수 있음 ▲정부는 사이버보안 평가·인증제도를 도입·시행할 수 있으며 과학기술정보통신부장관은 총괄적으로 관리하여야 함 ▲누구든지 침해사고가 발생한 사실을 과학기술정보통신부장관 또는 관계 중앙행정기관의 장에게 알려야 하며 과학기술정보통신부장관은 침해사고에 대한 원인분석 등 필요한 조사를 실시하여야 하고 침해사고 대응, 복구 및 피해확산 방지를 위한 조치를 취할 수 있음 ▲과학기술정보통신부장관은 침해사고 탐지·대응을 위한 통합보안관제체계를 구축·운영하여야 하고 사이버위협정보의 효율적인 공유 및 관리를 위한 공유센터를 구축·운영할 수 있음 ▲과학기술정보통신부장관은 침해사고에 대한 체계적인 대응을 위하여 수준별 경보를 발령할 수 있고 정부는 경보가 경계 이상일 경우 대책본부를 구성·운영할 수 있으며 과학기술정보통신부장관은 공공·민간을 포함한 통합대응훈련을 실시할 수 있음 ▲과학기술정보통신부장관은 사이버보안 기반조성을 위하여 연구·개발, 표준화, 인력 양성, 인식 제고, 국제협력 등의 사업을 추진할 수 있음 ▲과학기술정보통신부장관은 사이버보안 산업에 대한 지원을 위한 시범사업 및 정보통신기술융합에 따른 사이버보안 촉진을 위한 사업을 추진할 수 있음 ▲정부는 자율적인 사이버보안 활동을 촉진하고 과학기술정보통신부장관은 중소기업 및 지역의 사이버보안 지원 사업을 추진할 수 있음 등이 있다.

앞서 본 것처럼 현재 국회 과학기술정보방송통신위원회에는 윤영찬 의원이 발의한 '사이버보안기본법안'이 발의돼 있고 청와대 중심의 컨트롤타워를 강화하고 과기정통부에 집행단위를 설치하고 있다는 점에서 김병기 의원안 등과 차이가 있다.

두 안이 서로 다른 책임기관을 지정했기 때문에 국회 정보위원회가 해당 국가사이버안보법을 추진하기가 어렵고 청와대, 더불어민주당, 국민의힘 등이 국가정보원 등 해당기관의 사이버보안 권한을 어떻게 할 것인지 다시 검토해야 한다.

- 본지 “사이버안보, 이대로 좋은가” 연재의 관련 근거는?

▶ 본지가 올해 기획연재로 추진하는 “사이버안보, 이대로 좋은가”의 관련 근거는 문헌적 근거와 연구적 근거를 토대로 가지고 있다.

첫째는 문헌적 근거로 지난 2020년부터 본지가 추진한 국가사이버안보조직을 대상으로 한 정보공개 청구이며 둘째는 연구적 근거로 사이버개념연구회가 실시한 사이버안보정책과 인식 간의 연구결과이다.

먼저 사이버안보조직을 대상으로 한 본지의 정보공개의 경우, 사이버안보정책과 관련해 지난 2003년 이후 정책 추진의 전반적인 상황 파악과 언론 등에서 다루지 않았던 정보를 파악하기 위해 국가안보실, 국가정보원, 국방부, 과학기술정보통신부, 경찰, 검찰, 금융위원회, 방송방송통신위원회, 국무조정실, 한국인터넷진흥원, 국가보안기술연구소, 한국원자력연구원 등 대상으로 정보공개를 청구했다.

그 내용을 보면 지난 2020년부터 현재까지 사이버안보정책과 관련한 정보공개 청구는 5차례를 진행했고 앞으로 3차례 이상 더 이뤄진다.

그동안 정보공개 청구의 핵심내용은 국가사이버안보전략 발표 자료와 이후 관련 자료 요청, 국가사이버안보전략 시행계획(주요세부과제) 관련 자료(현황) 요청, 국가사이버안보전략 기본계획 자료 및 1년간 성과 요청, 2003년 이후 사이버안보(안전) 관련 문건 자료, 문재인 정부 사이버안보정책 관련 1차 정보공개 등이다.

각 청구에 대한 세부내용은 추후 게재되는 연재 속에서 해당 부분을 소개할 예정이다.

다음으로 지난 2020년부터 사이버개념연구회가 추진한 “사이버안보정책과 인식 간”의 연구이며 이 연구는 사이버안보정책과 사이버안보인식 간의 환류 관계를 전제로 하여 2003년부터 2019년까지 발표된 정부의 사이버안보정책에서 정책 형성배경(사이버 위협), 정책 목표, 정책 과제(핵심역량, 기본역량)를 선별하고 상호 연관성을 비교 분석했다.

특히 요즘 대선의 향방을 결정짓는 가장 핵심층이라고 여겨지는 대학생 및 대학원생을 대상으로 사이버안보정책에 대한 인식 요인을 조사하고 사이버안보정책의 개선방향을 제안한 것이다

기타 ▲2004년 이후 국회에서 검토한 사이버안보법 ▲시민단체가 사이버안보법에 반대하는 이유 ▲사이버안보법 제정에 있어서 가장 핵심 등은 “이대로 좋은가, 민주적 감시와 통제 결여된 사이버안보법 추진(下)”에서 설명된다.

본지가 이번 “사이버안보정책 이대로 좋은가”의 3-4편 연재에서 주목하는 것은 현재 추진되는 사이버안보법이 민주적 감시와 통제의 필요성 등 지난 국회 정보위원회에서 검토된 결과를 반영하지 않았다는 것과 그동안 국가정보원이 가지는 국가사이버안보에 대한 컨트롤타워 역할에 대한 근본적인 문제점을 상기할 필요성이 있다는 것이다.

또 국내 현실에 비춰볼 때 과거 사례이지만 아직도 그 대안을 제시하지 않고 있는 국가정보원의 정치적 댓글 사례를 통해 국가정보원이 대한민국 사이버안보의 권한을 지속 가지고 있는 것은 위험하다는 것이며 앞으로 윤석열 정부 등 차후 정부에서는 민주적 절차에 의해 새로운 체계를 검토하고 전환해야 한다는 것이다.

다음 연재는 2019년 4월 문재인 정부가 자랑한 “대한민국 정부 최초, 2019 국가사이버안보전략”에 대한 대학생과 대학원생의 인식과 더불어 그에 대한 행정부처별 추진결과 등을 다룰 예정이다.