우리는 인터넷 뱅킹이나 전자거래를 하기 위해 공인인증서를 이용한다. 또 인터넷 웹 사이트에 가입하기 위해 인터넷 가상번호인 아이핀을 이용하고, 백신 프로그램을 컴퓨터에 설치하는 등 오늘날 일상생활은 정보보호 기술에 크게 의존하고 있다.

현재 국내 사이버보안 거버넌스(관리통제체계)는 여러 부처에 그 기능과 역할이 흩어져 있는 분산형으로 돼 있다. 가령 국가정보원에 의한 총괄대응, 행정안전부에 의한 전자정부 보안과 민간부문 개인정보보호 집행, 방송통신위원회에 의한 민간분야 침해 대응 및 개인정보 보호, 지식경제부의 보안인력 양성 및 산업 육성, 교육과학기술부의 교육 부문 개인정보 보호, 국방부에 의한 사이버 국방, 경찰청과 검찰청에 의한 사이버 수사 및 법 집행, 금융위원회에 의한 사이버 금융보안, 그리고 보건복지부에 의한 의료정보 보안 등으로 분산돼 있다.

최근 정보통신기술(ICT) 거버넌스에 대한 논의가 활발하게 이뤄지고 있다. 이와 긴밀하게 연관돼 있는 사이버보안 거버넌스는 ICT 거버넌스 논의 결과에 영향을 받기 때문에 이에 대한 논의가 시급한 시점이다. 적절한 국가 사이버보안 거버넌스의 구축은 사이버보안 사고를 막기 위한 필요조건이기 때문이다.

그러나 많은 국내 보안 전문가는 한국의 사이버보안 수준이 고도화·지능화하는 사이버 위협에 효과적으로 대응하지 못하고 있다고 우려한다. 작년 한 해 동안만 해도 10만대 이상의 좀비 PC들을 이용해 감행된 3·4 사이버 테러, 북한 소행으로 발표된 농협 해킹 사건 및 관련 서비스 중단, 국내 제일의 게임 사이트에 의한 개인정보 유출 등의 대규모 개인정보 유출사건 등이 발생했다. 올해에도 EBS에 의한 대규모 개인정보 유출에 이어 한국 최대의 정보통신서비스 제공자인 KT에 의한 대규모 개인정보 유출사건 등이 일어났다.

따라서 날로 진화하고 있는 사이버 공격을 효과적으로 막을 수 있는 혁신적인 국가 사이버보안 거버넌스의 개선이 시급히 요구되며, 이를 위해서는 다음과 같은 원칙들이 고려돼야 한다.

국가 사이버보안 체계는 현재 위협 수준에 걸맞게 국내 보안수준을 향상할 수 있도록 개선돼야 한다. 이를 위해 개인정보보호 거버넌스와 사이버보안 거버넌스를 별개의 이슈로 다뤄서는 안 된다. 이는 동전의 앞뒷 면과 같아서 지능적이고 목표지향적인 사이버 공격이 성공할 경우 대규모 개인정보 유출로 연결되기 때문이다. 또한 민간과 정부, 민간과 민간, 민간과 공공 간의 공조체제를 지속적으로 개선할 필요가 있다. 왜냐하면 최근의 사이버 공격은 민간과 공공, 정부의 실질적인 공조를 통해서 효과적으로 대응하고 복구할 수 있기 때문이다.

사이버보안 이슈는 민생의 문제로 간주돼야 하며 국가 정책에서 최우선적으로 다뤄져야 한다. 이 근거는 정치, 경제, 사회, 금융, 의료 체계가 정보통신 시스템에 의존하고 있으며, 이들 부문의 정보통신 시스템에 대한 사이버 공격은 국가 시스템의 오작동을 초래할 수 있기 때문이다. 이의 대표적인 사례로, 10·26 서울시장 보궐선거 날 발생한 분산서비스거부(일명 디도스) 공격이 우리 사회에 얼마나 많은 소모적인 정쟁과 사회적 비용을 초래했는지를 보면 이는 자명하다.

사이버보안 거버넌스는 국가 최고책임자의 조정과 통제가 필요하다는 점도 강조돼야 한다. 미국 오바마 정부는 백악관에 사이버보안 고위조정관을 신설하고 국가적 사이버보안 활동과 프로그램을 조정하고 있다. 일본도 내각 관방 산하에 국가정보보호센터를 두고 여러 부처에 분산돼 있는 사이버보안 활동을 총괄 조정하고 있음을 귀감으로 삼아야 할 것이다. 특히 사이버보안 산업과 인력양성은 사이버보안의 고위 조정관에 의해 통제돼야 하고 정책 우선순위가 주어져야 한다. 그렇지 않은 경우, 균형적인 사이버보안 산업과 인력 양성이 되지 못할 가능성이 높다.

지식기반 스마트 사회의 구축은 사이버 위협에 대비하기 위한 종합적이면서도 효과적인 사이버보안 거버넌스의 재정비로부터 시작해야 한다.

염흥열 < 순천향대 교수·정보보호학과 hyyoum@sch.ac.kr >