[시론-주대준] 사이버안보 더 강화해야

지난해 말 사상 초유의 한국수력원자력(한수원) 원전 해킹 사고에 이어 소니픽처스사 해킹은 국제적으로 핫이슈가 되었다. 사건이 발생한 지 한 달이 지났지만 한수원의 자료 유출 사고는 아직도 유출 규모와 공격자 실체 등 핵심 원인들이 제대로 규명되지 않고 있다. 다만 해킹 수법과 도구 등 다방면에서 과거 북한이 공격한 방식과 유사성이 있어 관련성을 분석 중이다.

지금까지 해킹 사고의 유형은 금융 방송 정부기관 등을 대상으로 한 금융사고, 개인정보 및 원자력 정보 유출 등이었다. 그러나 불시에 전력, 가스, 교통 및 국방 등 국가기반 시스템이 동시 다발적으로 해킹을 당했다고 가정해 보자. 지금까지 경험한 해킹 사고와는 비교할 수 없는 엄청난 사회 혼란과 국가 위기를 초래할 수 있다. 자칫 사이버세상에서도 세월호와 같은 재앙이 닥칠 수 있음을 경고하며 국가 사이버안보 강화를 위해 제언하고자 한다.

첫째, 국가 사이버안보 강화를 위한 신기술 연구개발 및 정보보호 산업의 육성이다. 사이버 세상에도 마치 ‘에볼라’와 같은 백신이 개발되지 않은 신·변종 ‘해킹바이러스’가 존재한다. 사이버의 특성상 해킹을 당하고도 모르고 있을 뿐이다. 현 정부 출범 이후 다양한 산업 분야에 창조경제의 효과가 드러나고 있지만 정보보호 분야는 상대적으로 예산 지원이 미흡하고 관심이 적어 아직 가시적 효과가 나타나지 않고 있다. 사물인터넷 등 인터넷 성장 규모에 비례해 알려지지 않은 해킹기술에 대비한 지속적 연구개발이 병행돼야 한다.

둘째, 진정한 국가 사이버안보 컨트롤타워 구축이다. 실제로 컨트롤타워 역할을 할 수 있는 전문조직이 필요하다. 정부, 공공기관 및 산업체를 포함해 국가 전체의 사이버안보 정책과 운영을 직접 통제하고 유사시 사이버사고 상황을 실시간으로 지휘·통제할 수 있는 전문인력과 시스템을 갖추어야 한다. 최근 청와대 안보특보가 임명되기는 했으나, 사이버안보 분야의 경우 특보 한 사람이 할 수 있는 일은 극히 제한적이다. 오히려 사이버보안비서관실 신설이 더 효율적이다.

셋째, 사이버보안 전문인력 양성과 출구전략이다. 해킹 사고가 발생하고 사회적 관심이 고조될 때 한시적으로 인력양성을 부르짖을 것이 아니라 평상시에 양성한 전문인력이 안정적으로 취업하여 고급 인력으로 성장할 수 있는 기틀이 마련돼야 한다.

넷째, 사이버테러법을 포함한 각종 법·제도 정비다. 현재 사이버 범죄에 대한 솜방망이식 처벌은 오히려 사이버 범죄를 부추기고 있는 형편이다. 그럼에도 사이버테러법안이 여야 정치권의 정쟁에 휘말려 1년이 넘도록 논의조차 하지 못한 채 계류 중이다. 사이버테러법 지연으로 인한 피해는 국민의 몫이다. 국회는 어떻게 보상할 것인가. 중장기적으로는 강력한 사이버헌법을 제정해 현실세계와 동일한 사이버세상의 법체계로 발전시켜야 사이버 사고를 예방할 수 있다고 본다.

다섯째, 청와대와 국회 등 국가 주요 정책 입안기관에 사이버보안 전문가를 진출시켜 사이버보안 정책을 입안할 수 있게 해야 한다. 가정과 직장의 컴퓨터가 해커의 지령을 받는 좀비PC가 되어 나도 모르게 사이버공격에 가담하는 것을 예방해야 한다. 또한 국민들의 사이버보안 기본교육과 의식제고가 필요하다.

2011년 아프간 국경지대에서 정찰활동을 하던 미군 무인정찰기(드론)가 이란군에 해킹을 당해 이란 영토에 불시착한 적이 있었다. 완벽한 사이버안보 강화는 무기를 탑재한 무인전투기가 적군에 해킹을 당해 아군 머리 위에 떨어질 수도 있는 위험을 예방할 수 있다. 사이버세계는 지금도 전쟁 중이다.

주대준 KAIST 정보보호대학원 교수