민간 장비 경유지로 악용해도 조사 수단 사실상 없어
국정원 사이버안보위 설치 등 법안 발의…"현 정부 내 통과돼야"
사이버안보 통제탑 없는 한국, 경유지로 노리는 해커들
지난달 한 국제 해킹조직이 국내 아파트와 빌딩의 냉·난방기와 배수펌프 등을 자동 제어하는 시스템을 해킹해 40개국에 있는 인터넷 서버를 공격했다.

이처럼 한국이 '해킹 경유지'로 악용되는 사례는 무수히 많고 특히 최근에는 공격이 민간에서 공공 분야로 확대되는 경향까지 보인다.

해커들이 너도나도 한국을 경유지로 노리는 배경에는 국가정보원이 민간에 대한 조사 권한이 없다는 허점이 있다.

이에 국회에서는 국정원장 소속 '사이버안보위원회' 설치를 골자로 한 사이버안보법을 발의, 국가적 사이버안보 컨트롤타워를 구성할 필요가 있다는 목소리가 나온다.

◇ '손쉬운' 공격 경유지…민간 장비 악용으로 지능화
19일 국정원 등에 따르면 국내 민간 네트워크 장비가 해킹조직의 공격 경유지로 악용되는 것은 해커들이 국내 해킹 단속 현실을 알고 저지르는 일로 분석된다.

국정원이 민간에 대해선 조사 권한이 없다는 점을 해커들도 인식하고 있다는 것이다.

현행법상 국정원은 민간 사업자가 거부할 경우 공공기관 피해 경유지로 활용된 민간분야를 조사할 방법이 없다.

지난달 기준 우리나라는 미국과 러시아보다 사이버 공격 경유지로 더 많이 악용됐다.

실제로 국정원은 지난달 초 한 해외 협력기관으로부터 '한국 소재 IP가 우리 기관을 대상으로 사이버 공격을 시도했다'는 사실을 통보받고 조사한 결과 국내 생산 NAS(Network Attached Storage·저장장치) 장비가 해킹된 후 해외기관 공격에 악용된 사실을 확인하기도 했다.

국정원은 국내 관계기관, 해외 정보기관과 협력해 사이버 위협정보를 국가사이버위협정보공유시스템(NCTI)와 인터넷용정보공유시스템(KCTI)을 통해 공유한다.

특히 2003년 '1·25 인터넷 중단 대란' 후속 조치로 이듬해 국가사이버안전센터를 설립된 후 2009년 디도스(DDoS·분산서비스거부) 공격, 2011년 농협 전산망 마비, 2014년 한국수력원자력 해킹사고, 평창동계올림픽 홈페이지 접속장애 해킹 등 대규모 사고에 대응하며 전문성을 쌓아왔다.

현 정부 들어서는 국가사이버안보센터로 확대 개편해 사이버 보안관제와 해킹조직 추적 등 위협정보 수집 역량을 강화하기도 했다.

그 결과 올해 3분기 하루 평균 공격 탐지와 차단 건수는 122만 건을 기록, 지난해 같은 기간(157만 건)에 비해 큰 폭으로 감소했다.

사이버안보 통제탑 없는 한국, 경유지로 노리는 해커들
◇ 전문성에도 현행법상 대응 한계…정보공유·조사 불가
이처럼 국정원이 사이버안보 분야에서 가장 전문성이 있는 것은 다양한 통계와 사례로 확인되지만 현행법상 무차별적 사이버 공격에 대응하는 데 한계가 있다는 지적이 나온다.

국정원 관계자는 "지난해 국정원법 개정으로 국정원 직무에 사이버안보 업무가 공식적으로 포함돼 위협정보 수집과 대응 기능이 부여됐지만 하위 법령들이 정비되지 않아 실제 대응에 어려움이 많다"고 말했다.

지난 2월에는 국가배후 해킹조직이 국내 대기업을 해킹한 정황을 포착해 해당 기업에 관련 정보를 제공하고 감염 원인과 악성코드 경유지 등 정보 공유를 요청했으나 업체 측이 거부했다.

결국 2개월 후 공공기관의 해킹피해를 조사하는 과정에서 이 조직의 공급망 공격이 확인됐고, 대기업 해킹과 동일한 경유지로부터 악성코드가 감염된 사실도 파악됐다.

정보가 공유됐으면 경유지 차단 등 선제적 조치를 통해 피해 확산을 막을 수 있었던 상황이다.

국정원이 공공기관 피해 경유지로 활용된 민간 분야를 조사하려 해도 사업자가 거부하면 조사할 방법이 없는 것도 문제다.

지난 3월에는 에너지 관련 기반 시설을 운영하는 민간기업이 해킹 메일 공격을 당했는데, 전자우편 서버가 정보통신 기반보호법상 기반시설이 아니라서 조사가 거부됐다.

지난해 11월에는 해킹 피해 후 거액의 가상통화를 요구받은 민간 방산업체가 이 사실을 신고해 국정원이 보안대책을 지원했으나 이를 시행하지 않았다가 올해 10월 추가 피해를 본 일도 있다.

권고를 이행하지 않아도 제재할 방법은 없다.

사이버안보 통제탑 없는 한국, 경유지로 노리는 해커들
◇ 선진국은 정보기관 중심 대응…"사이버안보법 통과 시급"
선진국은 주로 정보·보안기관을 중심으로 초국가적 사이버안보 위협에 대응하고 있다.

미국은 국토안보부, 영국은 정보통신본부, 호주는 신호정보국, 캐나다는 통신보안국 등이 사이버안보 컨트롤타워다.

특히 미국은 바이든 정부 출범 후 NSC(국가안전보장회의)에 사이버안보 고위직을 신설했다.

이에 국회 정보위원회 소속 김병기 의원 등 13명은 국정원의 해외정보 역량과 사이버 기술력을 동시에 활용할 수 있는 사이버안보법을 지난달 발의했다.

세부 내용에는 국정원장 소속 사이버안보위원회 설치 외에도 통합보안관제 체계 시행, 국정원장의 사이버안보 위기 경보 발령 등이 포함됐다.

법이 제정되면 정부 기관이나 방산 시설 등 안보 관련 공공·민간의 주요 시설을 대상으로 보안대책 이행에 대한 집행력을 강화할 수 있을 것으로 기대된다.

정보기관이 사이버 위협 대응체계를 총괄하면 권한이 집중된다는 우려도 일각에서 나온다.

그렇더라도 현재 발의된 법을 보면 통신·계좌 조사와 달리 안보 위협 정보라도 해킹 피해자의 동의를 얻어야 수집할 수 있고 불가피한 경우에도 법원 허가를 받도록 돼 있다.

긴박한 위기 상황에서 민간의 긴급디지털정보 확인 조치를 먼저 집행한 경우에는 36시간 이내 고등법원 수석판사의 승인을 반드시 받도록 했다.

이 경우에도 해킹 피해자가 거부하면 사실상 집행이 불가능하다.

김민호 성균관대 법학전문대학원 교수는 "최근 국회의 국정원 통제 절차도 마련됐고, 해당 법안에 법원 통제까지 있으니 시민사회 일각에서 우려하는 민간인 사찰 등 오·남용은 걱정하지 않아도 될 것"이라고 말했다.

김 교수는 "사이버 테러 대응은 국가 안보와 직결돼 시급하고 절실하다"며 "과거 이 법에 반대했던 여당이 법안 추진 움직임을 보이는 만큼 이번이 유일한 기회라고 본다.

이번 정부 안에 여야 합의로 통과되길 기대한다"고 덧붙였다.

/연합뉴스