[기고] ‘국가사이버안보법’ 제정 서둘러야
남기명 동의대 국가안전정책대학원 초빙교수 법학박사
2014년 12월 북한이 배후로 추정되는 해킹 조직이 한수원 내부 자료를 여러 차례 인터넷에 공개하면서 원전 가동중단 사태를 초래할 뻔하여 나라 전체가 혼란에 빠졌던 기억이 생생하다. 이 사건으로 사이버 공격으로 국가기반 시스템이 무력화될 수 있고 사이버 기술이 불순세력들에 의해 악용될 경우 엄청난 사회 혼란을 야기할 수 있다는 점을 실감했다. 이후에도 국방 전산망 해킹, 평창동계올림픽 운영시스템 해킹 등 대형 사고가 계속 발생하였다.
정부는 그동안 사이버테러를 막기 위해 청와대 사이버안보비서관 신설, 국가사이버안보전략 수립, 사이버안보 종합대책 마련 등 노력을 기울여 왔다. 그러나 이러한 노력에도 불구하고 사이버 공격은 여전히 현재 진행형이다. 올해도 북한 연계 해킹 조직이 원자력연구원 전산망에 침투해 연구 자료를 빼내 갔으며, 한국항공우주산업, 대우조선해양 등 방산업체가 해킹 당해 기밀자료가 유출되는 사고가 발생하였다.
사이버 공격은 공격 주체를 특정하거나 추적하기 어렵고 비용 대비 효과가 커 각국이 정보 절취, 인프라 마비, 사회 혼란 등을 위한 공격 무기로 활용하고 있다. 이에 따라 주요국은 국가안보 측면에서 사이버 위협 방어·대응 체계를 마련 중이다. 정보·보안기관을 중심으로 예방과 대응 활동에 관한 권한을 부여하거나 사이버 안보기관을 신설하고 국가 간 공조체제를 구축하는 등 발 빠르게 움직이고 있다. 또한 ‘사이버안보법’을 제정 또는 개정해 관련 기관의 임무 명시, 공공·민간 대상 예방활동 근거 마련, 해킹사고 조사나 인터넷 사용기록 보관 의무화 등 집행력을 강화하기 위한 장치를 마련하였다.
이에 비해 우리나라는 법·제도적 뒷받침이 미흡하다. 21대 국회에서 여야가 ‘사이버안보법’을 각각 발의하였다. 사이버 공격이 국가안보나 국익을 위협하는 현실을 감안할 때 법 제정 필요성은 모두 공감하고 있다. 단지 컨트롤타워가 청와대냐 국정원이냐의 차이만 있을 뿐 큰 틀에서는 여야법안이 큰 차이가 없으므로 여야 모두 대승적 차원에서 열린 자세로 임할 필요가 있다.
국회 정보위에 발의된 법안 내용을 살펴보면, 사이버안보 관련 중요사항을 심의하기 위해 ‘사이버안보위원회’를 설치하고, 해킹사고 발생 시 막대한 피해가 예상되는 공공기관, 기반시설 관리기관, 방산업체, 통신사업자 등을 책임기관으로 지정해 예방 활동을 의무화하고, 국정원은 보안대책 수립, 사고조사, 경보발령 등을 수행토록 규정하고 있다. 또한 국정원장은 해킹사고 원인 분석과 대응 조치를 위해 사이버안보위협 디지털정보를 당사자 동의하에 수집할 수 있고, 긴박한 경우 판사의 허가를 받아 수집토록 하고 있다. 특히 국정원의 권한을 견제하기 위해 관련 활동을 국회에 보고토록 통제 장치를 두었다.
미국의 경우 2015년 12월 사이버안보법이 제정되었다. 2011년 법안이 의회에 발의된 후 찬반 논쟁을 거치다가 2014년 소니픽처스 해킹, 2015년 인사관리처(OPM) 정보유출 등 대규모 침해사고를 계기로 민주당·공화당 간 합의로 통과되었다.
인공지능(AI)·블록체인 등 4차산업 기술이 발전할수록 이를 이용한 해킹 수법도 고도화되면서 현재의 대응 체계나 기술로는 사이버 공격을 방어하는 데 한계가 많을 것이다. 해킹·사이버 공격으로 전력·통신·교통·금융 등 기반시설이 마비된다면 국가행정이나 국민 생활에 일대 혼란이 발생할 것이다. 지난 10월 약 40분가량의 KT 네트워크 장애 발생으로 전국적으로 결제, 주식 거래, 전화, 인터넷 등이 마비되는 사태를 경험한 바 있다.
재난은 아무리 예방한다고 해도 100% 막을 수는 없다. 그러나 미리 대비하고 준비한다면 피해를 상당 부분 줄일 수는 있다. 소 잃고 외양간 고치는 우(愚)를 범하지 않기 위해서라도 ‘국가사이버안보법’ 제정을 서둘러야 한다.