해킹 발전하는데 정부는 '밥그릇 싸움'…중심이 없다[K방패 뚫렸다]

편집자 주

대한민국이 뚫리고 있다. SKT 대규모 유심 해킹에 이어 KT에서도 가입자들의 무단 소액 결제 피해가 이어졌다. 해킹 수법은 갈수록 고도화하는 데 반해 대응책 마련이 부실해 속수무책으로 당하는 실정이다. 비단 기업만의 문제는 아니다. 정부 주요 부처들도 줄줄이 해킹 피해에 노출되면서 안보, 보안 등 국가의 근간이 흔들리고 있다. 이번 기획으로 대한민국의 'K방패'가 뚫리게 된 구조적인 배경과 이를 개선하기 위한 제도적 방안을 모색한다.

[K방패 뚫렸다③]
해킹 분야 가리지 않지만…정부, 칸막이식 대응
국가안보실이 수행하지만 보안 전문성↓ 지적
개별 대응에 정보 공유, 공조 어렵다는 비판 나와
국정원-과기정통부, 정보 공유 두고 '알력다툼'도
해외 IT 강국은 보안 전담 컨트롤타워 일원화 체계
전문가 "해커는 통합 공격 수행해…보안 거버넌스 필요"

연합뉴스

▶ 글 싣는 순서

①'손바닥 기지국'의 공포…KT, 수차례 '경고' 무시했다 ②정부망 뚫렸을 땐 쉬쉬하더니…기업에만 '이중처벌' ③해킹 고도화하는데 밥그릇 싸움하는 정부, 중심이 없다 ④'보안' 외양간만 고친다…"자진신고 활성화해야"

 
해킹은 분야를 가리지 않는다. 최근 한국도 이동통신사와 금융사, 정부 부처 등 여러 분야에서 줄줄이 해킹 피해를 입고 있다.

그러나 대응은 소관 정부 부처가 개별적으로 하는 실정이다. 해킹 범죄는 나날이 고도화하는데 초기 대응은 느릴 수밖에 없다. 공조 체제도 부실하다. SK텔레콤 대규모 유심 유출 사태 때는 부처 간 정보 공유조차 하지 못하며, '밥그릇 다툼'까지 하는 촌극이 벌어지기도 했다.

전문가들은 구조적 한계를 극복하기 위해서는 범부처 차원의 컨트롤타워를 구축하는 게 필요하다고 조언한다.

국정원, 과기부, 금융위 등 개별 대응…적용 법도 달라

연합뉴스

최근 분야를 가리지 않고 줄줄이 해킹 피해가 이어지면서, 정부의 '칸막이식 대응'이 도마에 올랐다.

현행 제도상 공공 분야 정보 보호는 국가정보원이, 국방 분야는 사이버작전령부가, 민간 기업은 과학기술정보통신부와 한국인터넷진흥원(KISA)이, 금융은 금융위원회와 금융보안원이 맡고 있다. 올해 해킹 피해가 발생한 SKT·KT·예스24는 과기부와 KISA가, 롯데카드는 금융위가, 정부 부처는 국정원이 담당한 것이다.

현재 대통령실 국가안보실이 컨트롤타워 역할을 하고 있지만, 사이버 범죄를 전문적으로 조율하기에는 역량이 부족하다는 지적이 나온다. 이재명 정부 출범 이후 국가안보실 사이버안보비서관과 국정원 3차장은 두 달 넘게 비어 있기도 했다.

적용되는 법도 다르다. 민간 기업이 해킹 피해를 입을 경우 정보통신망 이용 촉진 및 정보보호법이 적용되지만, 금융권의 보안 분야의 경우 전자금융거래법과 신용정보이용보호법을 적용받는다. 이같은 체계는 분야별 특성과 전문성을 고려한 결과지만, 최근 해킹 범죄가 분야를 넘나들고, 산업 간 경계도 모호해지고 있어 체계를 정비해야 한다는 지적도 나오고 있다.

칸막이식 대처에 정보 공유 어려워…국정원-과기부 부딪히기도

정부의 칸막이식 대처 때문에 신속한 대응이 어려울 수 있다는 지적이 나온다. 이를테면 최근 발생한 KT 무단 결제 사건의 경우 초기에는 사이버 범죄 사건으로 인지돼 과기정통부가 담당했다. 이후 금전 피해가 수도권 곳곳에서 발생하면서 금융위가 합동 대응해야 하는 게 아니냐는 목소리가 뒤늦게 나왔다.

비슷한 시기 롯데카드 해킹 사태가 발생해 정부가 합동 브리핑을 열었지만, 부처 간 협업은 찾아볼 수 없었다. 과기정통부 관계자는 KT 관련, 금융위원회 관계자는 롯데카드 관련 질답만 진행하며 이원화한 모습을 보였다.

결국 부처 간 정보 공유나 공조가 어려울 수밖에 없다. 지난 24일 열린 국회 과학기술정보방송통신위원회 '대규모 해킹 및 소비자 피해' 청문회에서도 해당 문제가 도마에 오르기도 했다. 청문회에 출석한 류제명 과기정통부 2차관은 "정부 부처 해킹과 관련해 과기부는 국정원에 (정보 공유를) 요청할 수 있느냐"는 최민희 과방위원장 질의에 "그런 권한은 저희에게 없다. 과기정통부는 관련 공공기관에 대해서는 소관 책임이 있지만, 정부기관에 대한 부분은 국정원과 행안부가 맡고 있는 것으로 알고 있다"고 답했다.

이같은 칸막이에 부처 간 '밥그릇 싸움'이 벌어지기도 했다. 과기부가 국정원으로부터 SKT 해킹 사태와 관련한 자료 공유 요청을 받으면서 두 기관 간 거버넌스 논란이 불거진 것. 국정원법에 따르면, 국정원은 국가 배후의 해킹 세력 관련 정보를 수집할 수 있지만, 과기부는 정보통신망법상 조사 자료를 제3자와 공유할 수 없기 때문이다. 이에 과기부는 법제처에 유권해석을 맡겼고, 법제처는 'SKT 해킹 사태가 국제 테러 조직과 관련된 것인지 명확하지 않다'는 취지로 요청을 반려한 것으로 전해졌다.

해외 IT강국서는 전담 컨트롤타워가 일원화 대응

연합뉴스

해외 IT강국에서는 정부 조직 내 컨트롤타워를 두고 일원화한 체계를 갖추고 있다.

미국의 경우 2018년 국토안보부 산하에 사이버보안·인프라보안국(CISA)을 창설해 대응하고 있다. CISA가 국방부, 연방수사국(FBI), 중앙정보국(CIA), 국가안보국(NSA)뿐만 아니라, 구글·마이크로소프트·아마존 등 민간까지 참여하는 사이버방어협의체(JCDC)를 구성해 사이버 위협에 대응하는 구조다.

영국은 정부통신본부(GCHQ) 산하에 국가사이버보안센터(NCSC)가 국방부와 함께 통합 사이버·전자전 사령부 신설을 추진 중이다. 유럽연합(EU)도 사이버보안 전문기구인 유럽네트워크정보보호원(ENISA)을 두고 정책 수립, 훈련, 인증, 협력 등을 담당한다.

일본은 지난 7월 사이버시큐리티센터(NISC)를 개편해 국가사이버통괄실(NCO)을 발족했다. 이와 함께 '사이버 대응능력 강화법안'을 통해 해킹 범죄에 대응하는 체계를 갖추고 있다. 사이버 위협 시도를 감지할 경우 경찰과 자위대가 선제적으로 적의 서버를 무력화하고, 교통과 에너지, 통신 등 핵심 인프라에 대한 사이버 보안 책임을 강화하는 내용이 담겼다.

국내 컨트롤타워 신설해야 "통합 공격에 대응하려면 거버넌스 필요"

연합뉴스

전문가들은 이같은 국내에도 보안을 전담하는 컨트롤타워 도입이 시급하다고 제언한다.

이형택 한국랜섬웨어침해대응센터장은 CBS노컷뉴스와의 통화에서 "현재 한국은 보안 거버넌스가 정부·군·민간으로 분절돼 있지만, 해커는 민간과 공공을 가리지 않고 다양한 기관을 한 번에 공격하는 통합 공격을 수행한다"며 "컨트롤타워가 없다면 통합 공격에 효율적으로 대응하기가 쉽지 않다"고 지적했다.

이어 "국방 수준의 사이버 보안 컨트롤타워를 신설하는 것이 필요하다"며 "특히 미국의 인프라보안국(CISA)과 같은 기구를 통해 여러 기관과 협조 체계를 구죽하는 것이 중요하다"고 강조했다

일각에서는 사이버보안청(가칭)을 신설해야 한다는 목소리도 나온다. 경찰청과 같은 격의 기구를 만들어 사이버 범죄에 대응할 인력을 양성하고 국내 기업들의 보안 의식을 높여야 한다는 주장이다. 현재 KISA를 독립시켜 공공과 민간 영역의 사이버보안을 전담해야 한다는 제언도 제기된다.

이와 함께 최근 출범한 대통령 직속 국가인공지능전략위원회에 보안 분야를 강화해야 한다는 지적도 나온다. 고려대학교 임종인 정보보호대학원 교수는 통화에서 "전략위원회에 보안 분야를 강화해 국민이 신뢰할 수 있도록 해야 한다"며 "해당 TF에서 나온 방안을 통해 정부와 민간이 협력해 전체적으로 보안 역량을 높이는 것이 중요하다"고 지적했다.