본문 바로가기

신동아 로고

통합검색 전체메뉴열기

Interview

“사이버 공간 통한 대참사 대비해야”

대통령 경호차장 출신 주대준 한국과학기술원 교수

  • 김진수 기자 │ jockey@donga.com

“사이버 공간 통한 대참사 대비해야”

2/4
▼ 우리나라 사이버보안 수준은 어느 정도인가. 관련 기관은 KISA, 국가정보원, 경찰, 검찰 정도다.

“2012년 11월 ‘이스라엘 홈랜드 시큐리티(Israel Homeland Security)’에 초청받은 적이 있다. 500여 명의 전 세계 관계자가 참석한 그 국제행사에서 이미 치열한 사이버 패권 전쟁이 불붙은 미국, 중국 등 G2와 함께 북한, 이스라엘 정도까지를 사이버보안의 메이저로 보더라. 우리나라나 일본은 그 아래 중상위 레벨쯤으로 평가받았다. 현실이 그렇다. 사실 기관별, 부서별로 분산된 조직으로는 제아무리 정보를 잘 공유해도 날로 진화하는 신·변종 해킹 공격과 악성코드를 당해낼 수 없다. 악성코드는 ‘사이버 지뢰’다. KISA는 2009년 정부의 부처 간소화 정책에 따라 한국정보보호진흥원, 한국인터넷진흥원, 정보통신국제협력진흥원이 통합돼 인터넷과 정보보호 진흥 업무를 동시에 맡고 있는데, 이는 잘못된 것이다. 기존 한국정보보호진흥원을 순수한 정보보호기관으로 그대로 뒀어야 했다. 3개 기관을 하나로 통합해버리니 정작 KISA는 본부 개념밖에 안 되는 게 문제다.”

KISA 통합은 잘못

▼ 그렇다면 대안은.

“사이버보안을 위한 국가 차원의 컨트롤타워로 사이버보안청(가칭)을 창설하고 사이버 법체계를 빨리 구축해야 한다. 우리나라 사이버보안 수준이 선진국에 비해 뒤처진 것도 법체계 탓이 크다. 우리나라에선 개인정보보호법이 2011년 일반법으로 제정됐지만, 제정 전 상황을 보면 소관 영역별로 독자적인 법을 운용해 개인정보보호 사각지대가 존재했다. 반면 미국은 이미 1970년대에 ‘Privacy Act(사생활권법)’를 제정했고, 유럽도 1980년대에 ‘개인정보보호 원칙’을 채택하는 등 법제도를 정비했다. 우리나라는 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률), 전자금융거래법, 국가정보화기본법 등 다양한 분야의 정보보호 관련법이 존재하지만 여전히 부처별, 소관 영역별로 산재해 사각지대가 존재한다. 이런 실정에선 국가 전체 사이버보안 수준이 높다고 이야기할 수 없다. 따라서 개인정보보호법과 마찬가지로 일반법 성격인 사이버보안법(가칭) 제정 등 국가 전체 사이버보안 수준을 유지할 방안이 절실하다.”



‘폴스 네거티브 에러’

“사이버 공간 통한 대참사 대비해야”

2008년 유비쿼터스 기반 경호과학화 심포지엄 당시의 주대준 교수.



▼ 우리나라가 최첨단 IT강국임에도 국가기관 홈페이지 해킹, 개인정보 유출, 악성코드 유포에 대해 무력한 이유가 뭔가.

“가장 큰 이유는 앞서 말한 법제도적 측면 때문이다. 둘째는 사이버보안 투자가 인색한 데 있다. 대형 사이버 사건·사고가 터지면 단기적으론 예산을 투입해 당장 부족한 부분을 채운다. 하지만 일시적 방편일 뿐이다. 안전한 사이버보안을 위해선 지속적으로 예산을 투입해야 한다. 정보보안 예산은 보험 성격이 아니라 조직을 유지하기 위해 필요한 투자다. 예산 편성의 근거가 되는 법제도를 먼저 정비하고, 조직의 최고경영자(CEO)가 스스로 보안의 필요성을 느끼고 적절한 예산을 투입할 때 사이버보안은 보장된다. 어느 조직에서 최고안전책임자(CSO)를 한 명 임명했는데, 그가 만날 돈만 달란다는 힐난을 받는다 치자. 그래선 안 된다. 그건 사이버보안에 대한 무지다. 전문용어로 ‘해킹을 당하고도 해킹당한 사실을 인지하지 못하는 것’을 ‘폴스 네거티브 에러(False Negative Error)’라고 하는데, 이는 도둑이 들어도 도둑맞은 사실조차 모르는 걸 일컫는다. 사이버 공격과 그에 대한 방어는 끊임없는 것이다. 도둑을 막으려면 보안장비 구입에 돈이 들 수밖에 없다.”

▼ 왜 아직 그런 컨트롤타워의 부재가 해결되지 않는다고 보나.

“윗사람들부터 사이버보안에 대한 인식이 희박하기 때문이다. 지금껏 사이버보안 컨트롤타워 구축이니 전문가 보강이니 하는 장밋빛 청사진이 적잖이 제시됐지만, 성사된 게 없다. 왜 그럴까? 수십 명에 달하는 대통령비서실 수석비서관과 비서관 중 사이버보안을 전공한 이가 단 한 명도 없다. 이 때문에 지구촌 어디서든 네트워크가 연결돼 있는 한 전혀 예측할 수 없는 시기에 동시다발적인 사이버 공격이 가능한 것이다. 따라서 지근거리에서 대통령을 보좌하며 사이버 위기를 컨트롤할 수 있는 전문가가 절대적으로 필요하다. 버락 오바마 미국 대통령은 1기 대통령 취임식 직후 백악관에 사이버안보 보좌관을 임명했고, 이스라엘에도 우리나라 수석비서관급의 전문가가 임명돼 있다. 이제 우리도 ‘소 잃고 외양간 고치기’식 뒷북은 그만 치고, 국가 사이버보안을 총괄해 전담하는 예방 차원의 강력한 사이버보안 컨트롤타워와 청와대 사이버보안 보좌관 제도를 도입해야 한다. 그래야 실시간 대응이 가능하다. 이런 컨트롤타워는 평시엔 소관부처의 사이버보안 인식 제고와 선의의 경쟁을 통한 전반적인 사이버보안을 진흥시키고 국가 위기상황이 도래할 땐 오너십(주인의식)을 갖고 상황에 대처할 수 있다. 세월호 참사만 봐도 그 원인이야 어떻든 부처별로 비상상황실을 만들고 별개로 운영함으로써 소통 부재, 부정확한 정보 제공으로 인한 혼란 가중 등 부작용이 생겼지 않나. 부처 간 경쟁의식은 평시엔 상호 윈-윈을 위한 기폭제 구실을 하겠지만, 대형 사건·사고 발생 시엔 당연히 한 몸으로 뭉쳐 대응해야 한다,”

▼ 사이버보안이 정책 우선순위에서 밀리나.

“맞다. 대통령의 강한 의지와 참모들의 전문성이 전제돼야 하는데, 국가안전보장회의(NSC)의 인력 보강 면에서만 봐도 외교·통일 분야에 비해 사이버 분야는 항상 뒷전이다. 지금도 NSC 사이버보안 실무자는 국정원이 파견한 부이사관 한 명뿐이다. 다행히 박근혜 대통령은 취임 직후부터 끊임없이 사이버보안을 강조해왔다. 그런 대통령 의지를 뒷받침해줄 참모가 없는 게 문제다.”

2/4
김진수 기자 │ jockey@donga.com
목록 닫기

“사이버 공간 통한 대참사 대비해야”

댓글 창 닫기

2022/07Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.