[사이버안보 비상등] 사이버 통제탑 없는 한국…해커들 앞다퉈 '경유지'로 악용

<하>사이버 컨트롤타워 세우자

국정원, 민간 직접 조사권한 없어

보안 강력한 미·러 대신 한국으로

국가 차원 통합 대응 체계 절실

사이버보안 10만 인재양성 추진

차별화된 '화이트해커' 육성해야

지난해 10월 10일 판교에 위치한 사이버안보협력센터에서 백종욱 국정원 3차장이 ‘선관위 사이버 보안 점검 결과’에 대해 브리핑을 하고 있다. 사진 제공=국가정보원

2021년 12월 한 국제 해킹 조직이 국내 아파트와 빌딩의 냉난방기와 배수펌프 등을 자동 제어하는 시스템을 해킹하고 이를 기반으로 40여 개국의 공공기관과 민간 인터넷 서버를 무차별 공격하면서 난리가 났다. 세계적 수준의 정보기술(IT) 역량을 가진 한국의 해커 조직이 국제사회를 위협하고 있다는 원성이 쏟아졌다. 하지만 국가정보원이 조사에 나서 확인한 결과 북한과 중국의 해커 조직이 한국을 ‘해킹 경유지’로 악용한 사례였다.

미국과 러시아보다 사이버 공격 경유지로 한국이 더 많이 악용되고 있다는 게 국정원의 판단이다. 이처럼 국제 해커들이 너도나도 한국을 경유지로 노리는 배경에는 국정원이 민간에 대한 조사 권한이 없다는 허점이 있다. 현행법상 국정원은 민간사업자가 거부할 경우 공공기관 피해 경유지로 활용된 민간 분야를 직접 조사할 방법이 없다.

국가사이버안보법을 발의한 김병기 더불어민주당 의원은 “현행 국가사이버안전관리규정이 법률로 돼 있지 않아 무차별 사이버 공격 대응에 한계가 있다”며 “국제 해커 조직의 위협에 대해 국정원을 중심으로 정부와 공공기관, 민간이 협력해 국가 차원에서 능동적으로 확인·대처할 수 있는 체계가 필요하다”고 했다.

국가 차원의 통합적인 사이버 안보 대응 체계를 주도할 ‘사이버 안보 컨트롤타워’ 구축을 위해 법제화가 시급하다는 목소리가 커지고 있다. 특히 국제 해커 집단의 사이버 공격 배후로 북한·중국·러시아·이란 등과 같은 국가들이 개입해 국제사회의 위협으로 부각되면서 이 같은 목소리에 힘이 실리고 있다. 세계 각국은 국가 차원의 사이버 안보 컨트롤타워 구축에 박차를 가하고 있다.

미국의 경우 사이버 안보를 국가 안보 전략의 핵심으로 격상했다. 이를 위해 미국은 국가 차원의 통합적 사이버 안보 실무 및 조정 기구를 설치해 운영 중이다. 2001년 9·11 테러 발생 이후 ‘국토안보법(Homeland Security Act)’ 제정을 통해 신설된 행정 부처인 국토안보부(DHS)에 물리적 시설 외에 사이버 안보도 국가 기반으로서 관리하도록 권한과 책임을 부여했다.

일본은 내각에 조정 기구를 설치하고 있다. 2014년에 ‘사이버보안기본법’ 제정을 통해 컨트롤타워 역할을 하는 사이버 보안 조직 체계를 법률로 규정했다. 독일도 1991년 제정된 ‘연방정보기술보안청의 설치에 관한 법률(BSI-Errichtungsgesetz)’에 근거해 국가 차원에서 사이버 보안을 총괄·지원하는 기관으로 연방 내무부 소속의 연방정보기술보안청(BSI)을 설치했다.



이에 반해 우리나라 사이버 안보 대응 체계는 공공 부문에 대해서는 국정원이, 국방 부문은 국방부가, 민간 부문은 과학기술정보통신부가 총괄하는 분권 대응 체계로 운영 중이다. 이런 분할된 체계 탓에 국가 차원의 통합적 대응은 효과적으로 이뤄지지 못하고 있는 형편이다.

박춘식 아주대 사이버보안학과 교수는 “16대 국회부터 사이버 안보 기본법 관련 입법 논의가 이뤄졌는데 여야와 부처 간 주도권 다툼에 매 국회마다 계류 중이었기 때문에 초당적 접근이 필요하다”고 말했다.

임종인 대통령실 사이버특별보좌관도 “선진국은 주로 정보·보안기관을 중심으로 초국가적 사이버 안보 위협에 대응하는데 미국은 국토안보부, 영국은 정보통신본부, 호주는 신호정보국, 캐나다는 통신보안국 등이 사이버 안보 컨트롤타워”라고 했다.

한국의 사이버 안보 컨트롤타워 구축이 지연되는 사이 북한은 수년 동안 무차별 사이버 공격과 악의를 갖고 정보를 탈취하는 ‘블랙 해커’를 집중 육성하며 사이버 분야에서 세계 최고 수준에 올라 비대칭 군사 전력을 강화했다는 평가를 받고 있다.

이런 상황 탓에 해커 잡는 해커인 ‘화이트 해커’ 같은 사이버 보안 인재를 육성해 국가 안보를 강화해야 한다는 주장이 거세지고 있다. 사이버 안보의 첨병 육성을 위해 정부도 속도를 내기 시작했다. 지난해 10월 윤석열 대통령은 우리나라 청년 화이트 해커 80여 명을 청와대 영빈관에 초대해 오찬을 갖고 “정부는 사이버 10만 인재 양성 프로젝트를 통해 우수한 사이버 인재를 양성하고 사이버 산업의 발전과 역량 강화에 더욱 힘쓸 것”이라고 했다.

이와 관련해 과학기술정보통신부는 2026년까지 재직자 인재 6만 명, 신규 인재 4만 명 양성을 핵심으로 ‘사이버 보안 10만 인재 양성’ 전략을 추진 중이다.

과기정통부는 특성화고·대학·대학원을 통한 정규 과정과 특화 교육으로 보안 인재를 양성하고 재직자를 대상으로 ‘디지털 실전형 사이버 훈련장’을 구축해 해킹 방어 기본 기술을 습득할 수 있는 실전형 사이버 공격 방어 훈련을 제공하고 있다. 올해는 지능화·고도화되는 사이버 위협에 대응하려는 인공지능(AI) 기반의 ‘사이버 보안 관제 교육 과정’ 등을 신설하기 위해 예산을 20％ 이상 증액 편성했다.

다만 사이버 전문가들은 단순히 화이트 해커 ‘수’를 늘리는 데만 급급해서는 안 된다고 주문한다. AI 등 신기술 역량을 갖춘 차별화된 ‘고급 화이트 해커’를 육성해야 한다는 것이다. 유진호 상명대 경영학부 교수는 “AI 기술 활용이 늘어나고 있는 만큼 사이버 보안 인력도 AI 기술 전반에 대해 파악하고 있어야 한다”며 “단순히 사이버 인재 10만 명을 육성하겠다는 접근보다는 AI 기술을 다루는 고급 인력이나 관리 인력 등으로 나눠 인재를 육성할 필요가 있다”고 했다.