|
"국내 사이버보안 체계는 머리(법)는 없고, 꼬리(규정)가 끌고 가는 형태입니다."
익명을 요구한 한 보안 전문가는 우리 정부의 현 사이버보안 수준에 대해 이렇게 평가하며 "기초공사도 안 된 상황에서 외부 인테리어만 신경 쓰다 보니 계속 구멍이 생길 수밖에 없다"고 강조했다. 다른 관계자는 "우리나라의 현 사이버보안 대응 체계가 컨트롤타워, 관련 법률, 책임자 처벌이 없는 3무(蕪) 시스템"이라며 이런 상황에서 제대로 된 대응이 불가능하다고 지적했다.
◇컨트롤타워 부재에다 관련 법도 없고=현 사이버테러 대응시스템은 크게 민간과 정부·공공기관 분야로 나뉘어 있다. 민간에서 사이버위협 사고가 발생할 경우에는 미래창조과학부의 총괄 아래 한국인터넷진흥원이 실무를 진행한다.
반면 최근 한수원 사태처럼 정부·공공기관에서 문제가 발생할 경우 국정원이 실무를 총괄하며 해당 기관과 관계 부처가 이에 협조하게 된다. 특히 지난해 7월4일 국가 사이버 안보 종합대책이 나온 후부터는 미래부·국정원·국방부 간 정보 공유를 강화하고 유기적으로 협력할 수 있게 한다는 목표 아래 청와대가 컨트롤타워로 전면에 나섰다.
그러나 보안 업계에 따르면 청와대에서 사이버보안 컨트롤타워 역할을 하는 직원은 국가안보실 위기관리비서관 산하에 있는 행정관 1명인 것으로 알려졌다. 지위가 낮아도 너무 낮으니 일사 분란한 대응이 힘들다는 것이다. 이마저도 누구나 공인하는 전문가 출신은 아닌 것으로 전해졌다.
임종인 고려대 정보보호대학원 교수는 "위기 상황일수록 컨트롤타워의 전문가가 신속하게 각 부처를 소집하고 대응해야 하는데 청와대에는 사실상 컨트롤타워가 없는 셈"이라며 "사이버 안보 전문 비서관을 따로 마련하든지 해야 한다"고 꼬집었다.
사이버 안보 체계가 법이 아닌 규정에 따라 움직이는 것도 문제로 꼽힌다. 현 사이버 위협 대응은 법률이 아닌 대통령훈령 '국가 사이버 안전관리규정'으로 이뤄지는 형국이다. 규정은 그 적용 범위가 공공 부문에만 한정되기 때문에 민간까지 효력을 발휘할 수가 없다.
서상기 새누리당 의원 등 13명의 국회의원이 지난해 4월9일 '국가 사이버테러 방지에 관한 법률'을 제의하기도 했으나 이는 아직까지도 국회에 계류 중이다. 정부가 지난해 국가 사이버 안보 종합대책을 내놓을 때도 관련 법령 정비 문제는 빠져 있었다. 사이버 방어 체계가 무법천지가 된 이유다.
◇누구도 책임지지 않는 처벌 체계=대형 사이버테러가 끊이지 않고 발생하는데 처벌받은 사람은 이제껏 아무도 없었다는 점도 황당한 시스템으로 지적된다. 나름대로 해킹 방지를 위해 노력했고 정보 유출에 고의성이 없었다면 해당 기관의 수장과 담당 임원은 언제나 '무죄'다.
2011년 농협 해킹 사고 때부터 올해 KT 홈페이지 해킹 사고에 이르기까지 정보 유출을 책임지고 물러난 기관장은 아무도 없었다. 공공과 민간을 막론하고 정보보호 책임자들 대부분도 책임 면피를 받았다. 책임지는 사람은 없이 피해자만 발생하는 구조다.
김인성 전 한양대 컴퓨터공학과 교수는 "해킹을 막지 못한 건 분명 문제인데 담당자를 처벌하지 않는 관행은 계속 이어지고 있다"며 "책임지는 사람도 없고 피해자에 대한 보상도 없으니 큰 문제"라고 말했다.
더욱이 해킹 사건 발생 때마다 조사가 시작도 되기 전부터 북한 소행설을 흘리는 것은 반드시 자제해야 할 부분으로 꼽혔다. 김 교수는 "많은 기관이 문제가 생길 때마다 북한 소행을 강조하며 자신들의 책임을 숨기는 경향이 있다"며 "공격자가 누군지 확정되기 전에는 문제를 막지 못한 기관과 그 담당자가 책임을 져야 한다"고 설명했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >