[포럼] 국가사이버안보, 새해 최우선 관심사 돼야

염흥열 순천향대 정보보호학과 교수

지난해 우리나라가 사이버보안 분야에서 거둔 대표적인 성과를 꼽자면 국제전기통신연합(ITU)에서 격년으로 발표하는 글로벌사이버보안지수(GCI) 평가에서 세계 194개 국가 중 4위를 거둔 일일 것이다. 우리나라 국가 사이버보안 대응 준비 태세의 우수성을 세계적 국제기구가 인정한 셈이다.

다른 성과 중 하나는 2021년 5월 22일 발표된 한미 정상회담에서 사이버보안 강화를 위해 한국과 미국 사이에 랜섬웨어 공격 대응 협력방안을 논의할 사이버 작업반을 설립하기로 합의했고 지난 9월 7일 첫 번째 랜섬웨어 대응을 위한 작업반 회의를 개최한 점이다.

주목할 점은 청와대는 2021년 12월 7일 국가안보실 내 '신기술·사이버안보 비서관'을 신설했다. 5월 한미 정상회담 후속 조치인 한미 사이버 작업반 운영 등을 담당하고, 핵심 신기술 연구개발부터 사이버보안의 국가 컨트롤타워 역할을 담당한다. 2015년 3월 신설되었던 사이버안보 비서관이 3년 5개월 만인 2018년 7월 폐지된 이후, 3년 6개월 만에 이름에서 부활한 셈이다. 정부는 12월 24일에 사이버보안, 양자, AI, 5G·6G를 포함한 '10개 국가 필수전략 기술'을 선정해 집중 지원에 나선다고 발표했다.

미국과 일본 등 주요국도 최근 사이버보안 조직을 강화하고, 기존 사이버보안 전략을 개선하고 있다. 미국 백악관의 '국가 사이버실(Office of the National Cyber Director)'은 2021 회계연도 국방수권법에 근거해 설립되었다. 미국 상원은 지난 9월 바이든 대통령에 의해 지난 7월에 지명된 "크리스토퍼 잉글리스(John Christopher Inglis)"를 "국가 사이버 국장"으로 인준했다. 국가 사이버 국장은 사이버보안 정책 및 전략, 업계 및 국제 이해 관계자와의 사이버 관여에 대해 수석 고문의 소임을 수행할 예정이다. 일본은 2021년 9월 2014년 처음 발표한 '차기 사이버보안 전략'을 수정해 발표했다. 주요 내용은 사이버보안과 디지털 전환을 동시에 진전하며 사이버 공간의 안전성과 보안을 보장하고 국가 안보 차원에서 개선한다는 것이다.

최근 사이버 공격 대상이 국가 주요기반시설로까지 확대되고 있다. 미국에서는 2021년 5월 7일 미국 동부 지역에서 송유관 서비스를 제공하는 콜로니얼 파이프라인 회사 정보시스템이 랜섬웨어 공격을 받아서 공격자에게 금전을 지불하고 1주일 후에 정상적인 서비스를 재개했다고 알려졌다. 미국 바이든 정부는 이에 대응해 5월 12일 긴급 사이버보안 행정명령을 통해 소프트웨어 보안 강화, 사고 발생 시 대응 절차의 표준화 등의 세부 보안 규정을 명시해 발표했다.

보안 전문가의 분석에 의하면, 2021년도 국내 주요 사이버 위협은 △금전 추구형 공격 대상이 분명히 정해진 랜섬웨어 공격의 증가 △해킹으로 얻어진 국내 이용자 계정 정보와 국내 기업 정보의 다크웹 등을 통한 유출 및 판매 급증 △국가지원 해킹그룹의 사이버 위협 확대 △공급망 공격 증가 등으로 요약될 수 있다. 또한 2021년 11월 국내 일부 아파트 월패드가 해킹되어 아파트 주민의 사생활 정보가 온라인을 통해 유통되는 보안 사고가 발생하는 등 사물인터넷 기기에 대한 공격이 증가하고 있다.

국제전기통신연합(ITU)에서 발표한 글로벌사이버보안 아젠더(GCA)에서는 지능화되는 사이버 공격에 대처하기 위해서는 법적 조치, 기술·절차적 조치, 조직적 조치, 역량 개발, 국제협력 등 5가지 차원의 보호 조치가 필요하다고 역설하고 있다.

2022년도 예상되는 사이버 위협은 2021년도와 비슷하게 기업 및 조직에 대한 타깃형 랜섬웨어 공격의 지속, 다크웹을 통한 국내기업의 정보 유출 및 판매, 국가 주도 사이버 공격의 증가 등이 예상되고 있다. 올해 국내 사이버 공간을 효과적으로 방어하기 위해서는 다음과 같은 몇 가지 사항이 고려되어야 한다.

첫째, 사이버보안은 국정 최고책임자의 최우선 관심사가 되어야 한다. 최근 미국 바이든 정부의 백악관처럼 청와대에 사이버보안을 전담할 '국가사이버실'을 신설하거나 기존 '사이버안보 비서관'의 역할을 강화해야 할 것이다. 우리나라의 사이버보안 위협 현황을 상시적으로 점검하고 대책을 강구하며 국내 여러 부처에 분산된 사이버보안 기능과 역할을 효과적으로 조정해 사이버 공간의 안전성과 보안을 보장하도록 해야 한다.

둘째, 효과적인 사이버보안 정보공유 체계를 위한 법 제도적 기반을 강화해야 한다. 민간과 민간, 민간과 공공, 공공과 공공 간의 효과적이고 개방적인 사이버보안 정보공유는 개선되어야 한다. 현재 국회에서 논의 중인 (가칭) '사이버보안 기본법'에 효과적인 국가 사이버보안 정보공유가 가능하도록 하는 주요 이해 당사자 간의 역할 재정의 및 할당이 요구된다.

셋째, 기술적 조직적 역량 차원의 사이버보안 대응 역량을 강화하기 위한 기업 정보보호 공시제 활성화, 사물인터넷 기기의 보안 인증제도 확대, 정보보호 관리체계 인증의 강화, 연구개발 강화, 국제 표준화 활동 참여 확대, 사이버보안 문화 및 인식 제고 강화, 인력 양성 강화, 국제 협력은 지속적으로 추진되어야 한다.

넷째, 사이버보안과 개인정보 보호 문제는 분리될 수 없다. 사이버보안 사고는 국민의 개인정보 유출과 연관될 경우가 많다. 사이버보안 사고로 인한 개인정보 유출 및 노출로부터 정보 주체의 개인정보 자기 통제권을 보장하는 조치도 필요하다.

다섯째, 새 정부가 2022년 5월 9일 출범할 예정이다. 새 정부의 정권 인수위원회 활동 기간 동안 2009년 오바마 행정부처럼 50일 동안의 '국가 사이버보안 검토' 기간을 설정하고 우리나라 현재 사이버보안 위협을 현황을 살펴보고, 차기 정부가 추진할 향후 사이버보안 정책의 방향과 내용을 사이버보안 전문가와 함께 논의해 결정할 필요가 있다.

올해 글로벌 사이버 위협은 더욱 지능화될 것이다. 국내 사이버 공간의 신뢰성과 안전성 확보가 절실하다. 이를 위해서는 정부, 기업, 국민의 준비와 노력이 요구되는 시점이다.