[정보통신신문=박광하기자]

최근 사이버공격은 민간·공공분야를 가리지 않고 전방위적으로 피해를 주는 경향을 보이고 있다. 특히 민간의 정보통신기술(ICT) 인프라에 대한 침투가 곧바로 공공분야 인프라 침투로 이어지는 사례가 증가하는 추세다. 이에 따라 공공·민간분야를 아우르는 국가적 사이버안보 컨트롤타워가 필요하다는 주장이 제기되고 있다.

■국정원 민간분야 조사 한계 파고든 해킹조직

국가정보원은 2003년 인터넷 중단 사태를 가져온 '1.25 인터넷 대란'의 후속 조치로 2004년 '국가사이버안전센터'를 설립하고 수많은 위협에 대응해왔다.

△2009년 DDoS공격 △2011년 농협전산망 마비 △2014년 한수원 해킹사고 △평창올림픽 웹사이트 접속장애 해킹 등 대규모 사고에 대응하면서 전문성 및 노하우를 축적했다.

국정원은 국내 유관기관 및 해외 정보기관과 협력해 사이버 위협정보를 국가사이버위협정보공유시스템(NCTI)·인터넷용정보공유시스템(KCTI) 등을 통해 공유하는 등 사이버공격에 적극 대응하고 있다.

KCTI 참여 민간기업은 시작 당시 13곳에서 96곳으로 확대, 정보공유 건수는 2021년말 10만여건으로 전년 대비 2배 이상 증가했다.

현 정부에서는 사이버위협을 국가 차원의 총체적 보호·대응 활동이 필요한 분야로 인식하고, '국가사이버안전센터'를 '국가사이버안보센터'로 확대 개편하면서 그간 대응활동을 통해 취약한 부분을 보완, 사이버 보안관제·해킹조직 추적 등 위협정보 수집역량을 대폭 강화했다.

그 결과, 지난해 3분기까지 공격 탐지·차단 건수가 일평균 124만건을 기록했는데 이는 2020년 일평균 157만건에 비해 큰 폭 감소한 것이라고 국정원은 밝히기도 했다.

또한, 국정원에 따르면 사이버 분야에서 사이버공격 차단 및 피해 확산 방지를 위해 협력하고 국가는 40여개국에 달한다.

그러나 현행법 체계로는 국정원이 무차별적 사이버 공격을 대응하는 데 한계가 있다.

최근에는 민간 네트워크 장비가 국제 해킹조직의 국내외 공격 경유지로 악용되고 있는데, 이는 해커들이 국정원의 민간분야 조사에 한계가 있다는 점을 악용하고 있는 것으로 정보보호산업계에서는 보고 있다.

현행법상 공공기관 피해 경유지로 활용된 민간분야에 대해 국정원이 조사하려 해도 민간사업자가 거부하거나 협조하지 않을 경우 조사할 방법이 없다는 게 가장 큰 문제다.

이런 경우 국정원은 해커의 시스템 침투 방법과 피해 상황, 최종 목적지 관련 자료를 확보, 분석하지 못해 추가 피해 차단에 큰 곤란을 겪을 수밖에 없다.

이 같은 법의 사각지대를 해킹조직들이 파악하고 국정원의 탐지를 회피하기 위해 민간 장비를 최종 경유지로 악용하는 방향으로 지능화되고 있다고 업계에서는 지적하고 있다.

국정원법 개정에 따라 국정원 직무(국정원법 제4조)에 사이버안보 업무가 공식 포함돼 위협정보 수집·대응 기능이 부여됐지만 이에 필요한 구체적 절차들이 미흡해 실제 대응에 어려움이 있다.

특히 세계적으로 금융·통신·의료·에너지 등 국가 안보나 국민의 안전과 직결된 민간시설을 겨냥한 국제 및 국가배후 해킹조직의 사이버공격이 지속 확산되고 있는 가운데, 정부와 안보 관련 기업이 사이버안보 위협에 능동적으로 확인·대처할 수 있는 사이버안보 협업체계 구축이 시급한 상황이다.

민간분야에서 사고가 발생해도 신고하지 않으면 확인이 어렵고, 피해자가 조사·분석에 협조하지 않을 경우에는 즉각적인 조치가 늦어져 피해 확산 차단을 위한 골든타임을 놓치게 된다.

국정원이 해킹 발생 가능성에 대한 첩보를 입수하거나 정기 점검을 통해 확인된 취약점에 대한 보완조치를 권고하더라도 민간은 물론 국가·공공기관이 자발적으로 이행하지 않으면 이를 강제할 방법이 없다. 전방위적으로 발생하는 사이버공격 특성상 신속한 조치를 취하지 않으면, 그 피해는 다른 기관·기업으로 확대될 수밖에 없는 상황이다.

국정원이 국제 및 국가배후 해킹조직이 국내 대기업을 해킹한 정황을 포착해 해당 기업에 해킹피해 정황을 제공하고 감염원인 및 악성코드 경유지 등의 정보공유를 요청했으나 업체측에서 이를 거부했던 사례가 그렇다. 해당 사건 발생으로부터 2개월 후 국정원이 공공기관의 해킹피해를 조사하는 과정에서 해킹조직의 공급망 공격이 확인됐으며 앞서 대기업 해킹과 동일한 경유지로부터 악성코드가 감염된 사실이 확인됐다. 만약 대기업에서 침해정보를 공유했다면 경유지 차단 등 선조치를 통해 추가 피해를 방지할 수 있었을 것이다.

국정원이 민간분야를 조사하려 해도 현행법상 해당 정보통신기기기의 관리자 등이 거부할 경우 해당 정보통신기기 내에서 해킹조직이 어떤 위협활동을 하고 있는지 알 방법이 없다는 점도 문제다.

이는 국정원의 해킹 피해 방지 권고조치를 민간분야에서 이행하지 않아도 제재할 방법이 없다는 뜻이기도 하다.

모 민간 방산업체가 그랬다. 해킹공격을 받은 뒤 거액의 가상통화를 요구하는 협박메일을 받고 관련 기관에 신고했고, 국정원은 즉시 유관부처와 합동조사를 진행, 해킹피해 규모 확인 및 보안대책 지원을 실시했다. 하지만 이 업체는 국정원의 보안대책을 이행하지 않아 추가 해킹 피해를 입었다.

한국원자력연구원과 한국항공우주산업(KAI)도 지난해 5월과 6월에 원격 근무시스템에 사용되는 가상사설망(VPN, Virtual Private Network)이 뚫려 일부 자료가 유출된 바 있다. 조사 결과, 해당 VPN 장비에 대해서 두 기관 모두 필요한 긴급 보안조치를 제때 취하지 않아 피해가 발생했던 것으로 밝혀졌다.

■법률로 사이버 피해 조사권한 부여 절실

현재 '정보통신기반 보호법'·'정보통신망 이용촉진 및 정보보호 등에 관한 법률'·'전자정부법' 등 개별법률에 사이버안보 업무 수행을 위한 근거 규정이 일부 포함돼 있지만, 법 제정 목적이 상이하고 적용 대상이 제한적이다.

이런 문제를 해결하기 위해 현재 국회 정보위에는 여·야(김병기·조태용 의원)가 대표 발의한 사이버안보법안이 계류 중이다.

사이버안보법안은 국정원의 해외정보 역량 및 사이버 기술력을 동시에 활용할 수 있도록 허용하고 있다. 이를 통해 국제 및 국가배후 해킹조직에 의한 우리나라 대상 사이버공격을 사전에 탐지·차단하는 활동이 강화될 수 있다. 또한, 정부기관·방산시설 등 안보 관련 공공·민간의 주요시설을 대상으로 보안대책 이행에 대한 집행력을 강화함으로써 국가 사이버위협 대응 역량이 제고될 것으로 기대된다.

하지만 국정원이 사이버 안보 관련 조사 권한을 부여해서는 안 된다는 주장이 제기되기도 한다. 국정원이 마음만 먹으면 시민 누구나 사찰을 할 수 있다는 것이다. 카카오톡이나 이메일 내용을 언제든지 들여다볼 수 있을 것이라는 말도 나왔다.

하지만, 정보기관인 국정원이 사이버위협 대응체계를 총괄하는 역할을 맡을 경우 권한이 집중된다는 우려는 지나치다는 반론도 나오고 있다.

국정원은 통신비밀보호법·개인정보보호법 등 관계 법률에 따라 사이버위협과 무관한 개인정보는 수집할 수 없다.

특히 국정원 사이버안보센터는 설립 이후 현재까지 민간사찰이나 정치개입 사례는 전혀 발생하지 않았던 점도 그렇다.

발의된 법안에 따르면, 안보위협 정보라도 해킹 피해자의 동의를 받아야 수집이 가능하고 불가피한 경우에도 엄격한 요건 하에 법원 허가를 받도록 하고 있어 민간인 사찰 가능성을 차단하고 있다.

긴박한 위기 상황에서 민간의 긴급디지털정보 확인조치를 먼저 집행한 경우에는 36시간 이내에 고등법원 수석판사의 허가를 반드시 받도록 한 것이다.

이는 현재 '통신비밀보호법' 상의 국가안보 목적의 긴급 통신제한조치를 실시 후 법원에 사후적 허가를 의무화하고 있는 것과 동일한 통제 장치다.

아울러, 이 경우에도 해킹 피해자가 거부할 경우 사실상 집행이 불가능하고 현장 조사 과정에서 해킹 피해자는 관련 내용을 알게 된다. 집행 내역 사후 통지 의무가 있기 때문이다.

결론적으로, 법안에 따르면 국정원이 개인정보를 무분별하게 수집할 수 있는 가능성이 차단된다는 이야기다.

신소현 세종사이버안보센터 박사는 통화에서 "민간·공공분야를 넘나들면서 시민 안전 뿐만 아니라 국가 안보까지 위협하고 있는 사이버 해킹 문제를 신속하고 효과적으로 대응하기 위해서는 국정원에게 사이버안보 관련 조사를 수행할 수 있도록 적절한 권한을 부여토록 하는 게 필요하다"고 강조했다.

그는 "국정원의 사이버안보 활동에 대한 감시·통제 수단을 마련하는 것이 바람직하다"며 "해외의 경우에도 상설 위원회 운영 등을 통해 정보·안보기관의 사이버 안보 활동에 대한 민간 통제를 실시하고 있다"고 말했다.

박광하 기자 다른기사 보기