UPDATED. 2021-11-26 21:03 (금)
"사이버위협 대응 통합 컨트롤타워 법제화 검토 필요"
"사이버위협 대응 통합 컨트롤타워 법제화 검토 필요"
  • 박광하 기자
  • 승인 2021.10.18 21:13
  • 댓글 0
이 기사를 공유합니다

국정원·과기정통부·국방부
사이버 공격 대응체제 분권화
긴밀한 공조·통합적 대응 곤란

개별부처 대응 조정 담당할
기관 법제화 모색 필요해
[사진=클립아트코리아]
[사진=클립아트코리아]

[정보통신신문=박광하기자]

대한민국의 사이버 안보를 위협하는 북한과 직접 대치하는 현실에서 공공·민간영역을 포함한 국가 차원의 통합적인 사이버안보 대응체계 구축을 위한 법제화 검토 필요 지적이 제기돼 주목을 받는다.

국회입법조사처는 최근 '사이버위협 대응체계 현황과 개선과제'를 주제로 이 같은 내용을 담은 '이슈와 논점' 보고서를 발간했다.

 

■공공·민간 사이버 공격 대응 근거 파편화

사이버 공격에 대해 규정하고 있는 현행 '국가사이버안전관리규정'에 따르면, 중앙행정기관의 장이 소관 정보통신망의 안전성을 확보할 책임이 있으나(제4조 제1항), 국가 사이버안전 관련 정책과 관리는 국가정보원장이 총괄·조정하도록 하고 있다(제5조 제1항).

다만, 이 규정의 적용대상은 중앙행정기관·지방자치단체·공공기관이므로 민간영역에는 적용되지 않으며(제3조), 국방분야의 사이버안전 업무수행과 관련해서는 국방부에 대한 별도의 특례규정을 두고 있다(제18조).

한편, 민간부문 정보보안은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 근거를 두고 있다. 이 법에서 과학기술정보통신부 장관은 해킹 등을 포함한 침해 사고에 대응하기 위해 침해사고 정보의 수집·전파·예보·경보·긴급조치 등의 업무를 수행할 권한을 갖고 있다(제48조의2 제1항).

공공과 민간의 주요기반시설에 대한 정보보안은 '정보통신기반보호법'에 마련돼 있다. 중앙행정기관의 장은 행정·금융·치안·국방·에너지 등과 관련한 국가의 주요정보통신기반시설을 지정할 수 있으며, 동 시설의 관리기관이 기본적으로 기반시설 보호대책을 수립·시행하도록 하고 있다(제5조 제1항). 또한 과기정통부·국가정보원·국방부에게 주요정보통신기반시설의 보호대책 이행 여부를 확인할 권한을 부여하고 있다(제5조의2 제1항).

보고서는 국가사이버안전관리규정이 법률로 돼 있지 않아 소관기관의 실질적 권한행사에 한계가 있고, 적용 대상을 공공 분야에 한정하고 있어 민간 분야를 대상으로 한 사이버 공격 대응에는 한계가 있다고 짚었다.

또한, 사이버공격이 공공 및 민간 영역에서 전방위적으로 동시에 발생되고 있음에도 국정원·과기정통부·국방부 중심의 분권화된 대응체제는 부처간 긴밀한 공조와 통합적 대응이 어려운 문제가 있다고 판단했다.

보고서는 현재 민간 및 공공을 포괄하는 국가차원의 사이버안보 대응을 위해 △국정원의 총괄적 기능을 확대하는 안 △청와대나 국무총리실이 총괄적 기능을 갖는 안 △사이버안보를 전담하는 별도의 대응 기구를 설치하는 안이 제시된 바 있다고 언급했다.

하지만 개별부처 차원의 분권적 사이버안보 대응체계를 유지해온 국내 현실에서 별도의 전담기관 설치가 용이하지 않고, 국가차원의 통합적인 사이버안보 대응을 위한 정보기관의 역할 강화에 대한 정치·사회적인 우려도 존재하고 있다고 분석했다.

 

■세계 주요국 사이버 보안 대응 체계는

미국은 국가차원의 통합적 사이버안보 실무 및 조정기구를 설치하고 있다. 2001년 9.11테러 발생 이후 '국토안보법(Homeland Security Act)' 제정을 통해 신설된 행정부처인 국토안보부(DHS)에 물리적 시설 외에 사이버안보도 국가기반으로서 관리하도록 권한과 책임을 부여했으며, 나아가 대통령 직속의 기구 설치를 통해 범정부 차원의 사이버안보 정책을 담당하고 있다. 현재 대통령 직속기구로는 바이든 정부 출범 이후 '국방수권법(NDAA 2021)' 개정을 통해 신설된 국가사이버실(ONCD)이 사이버안보 정책의 부처간 조정 역할을 수행하고 있다.

일본은 국가차원의 통합적 사이버안보 대응을 위해 내각에 조정기구를 설치하고 있다. 일본의 경우 2014년 이전에는 훈령차원에서 사이버보안 분야는 개별 부처가 각각 주관하되, 부처간 조정 역할은 내각의 사이버보안전략본부가 하도록 했는데, 2014년 '사이버보안기본법' 제정을 통해 훈령에 근거를 둔 사이버보안 조직체계를 법률차원으로 격상시켰다.

영국은 개별부처 차원에서 공공 및 민간분야의 사이버보안 정책을 수립·운영하고 있다. 즉 내각부(Cabinet Office)가 정보보호정책을 총괄하고 각 정부기관의 정보보호 업무를 조정하는 기능을 담당하고 있지만, 업무 범위는 중앙부처 범위에 한정되며, 개별 영역의 사이버보안 정책에 대한 최종적 책임은 내무부(Home Office)·외무부(FCO)·국방부(MoD) 등 각각의 부처에 귀속돼 있다.

독일은 국가차원의 통합적 사이버보안정책을 전담하는 별도의 행정기관을 운영하고 있다. 독일은 1991년에 제정된 '연방정보기술보안청의 설치에 관한 법률(BSI-Errichtungsgesetz)'에 근거해 국가차원에서 사이버보안을 총괄·지원하는 기관으로 연방 내무부 소속으로 연방정보기술보안청(BSI)을 설치하고, 동 기관을 통해 통합적인 사이버보안 체계를 운영하고 있다.

보고서는 주요 국가별 사이버위협 대응체계를 비교했을 때, 제도의 수렴보다는 제도적 다양성의 특성을 보이고 있다고 봤다.

통합형 체계에 가까운 미국과 독일의 경우, 미국은 국토안보를 담당하는 부처 내에 사이버보안을 총괄하는 기능을 부여하고 있으나, 독일은 사이버보안을 전담하는 행정기관을 별도로 설치하고 있다는 것이다.

분산형 체계에 가까운 일본과 영국을 보면, 영국은 개별부처가 공공 및 민간의 사이버보안 문제를 담당하고 있으나, 일본은 범정부적 정책 조정기구를 두고 있음을 알 수 있다고 설명했다.

 

■개별부처 대응 조정할 조직 신설 검토해야

보고서는 현행 사이버 안보 대응 체계 하에서 부처간 대응을 조정하는 기관의 법제화에 대해 검토가 필요하다는 의견을 제시했다.

위협적인 사이버 전력을 보유한 북한과 직접 대치하는 안보환경에 있는 우리의 경우 공공 및 민간영역을 포함한 국가 차원의 통합적인 사이버안보 대응체계 구축을 위한 근거 법률을 조속히 마련할 필요가 있다는 것이다.

다만, 구체적 거버넌스의 방향과 관련해서는 우리의 특수한 제도적 유산을 고려해야 한다고 언급했다. 즉, 개별부처 차원의 분권적 사이버안보 대응체계를 유지해온 국내 현실에서 별도의 전담기관 설치가 용이하지 않고, 국가차원의 통합적인 사이버안보 대응을 위한 정보 기관의 역할 강화에 대한 정치·사회적인 우려도 존재하고 있다는 이야기다.

보고서는 이러한 제도적 제약을 고려한다면, 현행 분권적 형태의 사이버안보 대응 체계에서는 적어도 개별부처의 대응을 조정하는 역할을 담당하는 컨트롤타워의 법제화에 대해 합리적으로 검토할 필요가 있다고 결론지었다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행·편집인 : 문창수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2021-11-26
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2021 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트