다음달 2일, 제20대 국회 국정감사가 열린다. 올해 과학기술정보방송통신위원회의 국정감사에서는 사이버 보안과 관련해 다양한 이슈가 나올 것으로 전망된다.

국회입법조사처가 발간한 ‘2019 국정감사 이슈분석’에 따르면, 이번 국정감사에서 사이버 보안 화두로 ▲국가사이버안보 거버넌스 정립 ▲주요 정보통신기반시설 지정·관리 ▲신유형 해킹 기술의 발전과 대응이 예상된다.
 

‘국가사이버안보 거버넌스 정립’은 지난 4월 정부가 발간한 ‘국가사이버안보전략’을 중심으로 논의될 것으로 보인다. ‘주요 정보통신기반시설 지정·관리’는 5세대(5G) 시대가 도래하면서 주요 정보통신기반시설에 대한 보안 체계가 논의될 전망이다. ‘신유형 해킹 기술의 발전과 대응’은 국가 차원의 사이버보안 R&D 강화에 초점이 맞춰질 것으로 보인다.
 

앞서 정부는 지난 4월, 국가 사이버안보 정책의 최상위 지침서로 ‘국가사이버안보전략’을 발간했다. 개인·기업·정부 간 상호 신뢰와 협력을 바탕으로 민간·공공·국방분야를 포괄하는 사이버안보 수행체계 확립이 골자다.
 

하지만 일각에서는 ‘국가사이버안보전략’과 관련해 원론적인 내용만 담았다는 지적이 나온다. 컨트롤타워 역할 강화를 위한 구체적이고 실효성 있는 방안이 미비하다는 것이다. 현재 국가안보실을 국가 사이버안보 컨트롤타워로 운영하고 있으나, 자체 조직과 예산이 미흡해 정책 수립·집행에 한계가 있다는 지적이다.
 

국가 사이버 위협 대응 체계에 대한 문제도 나온다. 정부는 사이버 위협을 민간·공공·국방으로 분류해 대응하고 있다. 정부·공공 분야는 국가정보원이, 민간분야는 과학기술정보통신부, 국방분야는 국방부가 담당하고 있다. 하지만 사이버 위협의 특성상, 한 영역에서 발생한 침해는 다른 영역으로 빠르게 전이될 수 있어 현 체계가 실효성이 있는지 의구심이 제기되고 있다.
 

따라서 국정감사에서 사이버안보 컨트롤타워의 별도 인력과 예산을 갖춘 조직구성을 검토해야 한다는 얘기다. 단순 조정의 역할을 넘어 자체적으로 기본계획과 실행계획을 수립·조정할 수 있도록 하자는 것이다. 또 민간과 공공을 아우르는 사이버안보 정책을 수립해야 하며, 법제 간 중복·혼선의 우려도 해소해야 한다는 필요성이 나오고 있다. 
 

5G 시대가 도래하면서 '주요정보통신기반시설의 지정·관리'도 주요 보안 문제 중 하나로 떠오르고 있다. 정부는 정보통신기반 보호법에 따라 통신, 금융, 에너지, 교통 등 국가 핵심 인프라를 ‘주요 정보통신기반시설’로 지정해 보호·관리하고 있다. 그 중 주요 정보통신기반시설은 시설 단위로 지정하고 있다.
 

하지만 일각에서 제기되고 있는 문제는 이 제도에서 기지국과 같은 정보통신망 개별통신장비가 누락됐다는 것. 이로 인해 정보보호 사각지대가 발생할 수 있다는 우려다. 
 

게다가 현행 주요정보통신기반시설 취약점 분석·평가 방식으로는 새로운 유형의 사이버 공격에 대한 점검이 어려울 수 있다는 얘기도 나온다. 과학기술정보통신부가 제시한 ‘기술적 취약점 분석·평가 방법 상세가이드’는 외부에서 네트워크를 통한 서버보안의 취약점 점검 항목을 나열했다. 하지만 고출력 전자기파(EMP) 공격에 대한 사항은 미비하다는 지적. 시스템 내부에 백도어를 설치해, 외부로 데이터를 유출시키는 내재 기능이나 결함에 대한 대비는 미흡하다는 것이다.
 

따라서 현행 주요정보통신기반시설 관련 정책을 다방면에서 재검토할 필요가 있다는 제언이 나온다. 주요정보통신기반시설의 취약점 분석·평가에 새로운 유형의 공격이 예방될 수 있도록 보완해야 할 필요도 있다.
 

아울러 과방위 국감에서 우리 정부의 사이버 위협 대응 능력과 진단에 대해서도 논의될 것으로 보인다. 국제전기통신연합(ITU)이 조사·발표하는 세계사이버안전지수(GCI)에 따르면, 우리나라는 2014년 조사에서 공동 5위였으나, 2018년 조사에서 15위로 하락하며 부진한 사이버 위협 대응 수준이 드러났다.
 

사이버안보 역량 증대를 위해 관련 연구개발(R&D) 역량 강화가 시급하다는 의견이 나온다. 필요성을 인지한 정부도 지난 2015년 관계부처가 참여하는 ‘국가 사이버보안 R&D 조정협의회’를 구성했다. 2016년에는 민관협력의 ‘정보보호 R&D 기술공유 협의체’와의 협력을 확대한다고 발표했다. 하지만 실제 협력 성과는 아직까지 확인되지 않았다.
 

또 정부는 지난 2017년 판교에 정보보호 클러스터를 개소하고, 산학연 협업지원 프로그램 운영계획을 발표했다. 마찬가지로 실질적인 R&D 성과가 나타나지 않는다는 의구심도 나오고 있는 상황.
 

따라서 사이버안보 기술력 제고를 위해 민간과 공공 간 R&D 성과를 공유해야 한다는 제언이 이어지고 있다. 사이버안보 클러스터를 조성하고, 관련 산업 활성화를 추진할 필요가 있다는 것.
 

구체적으로, ‘사이버보안 R&D 조정협의회’와 ‘정보보호 R&D 기술공유 협의체’의 운영과 협력을 활성화하는 방안이 있다. 또 판교 정보보호 클러스터를 현재 조성 중인 송파 ICT보안 클러스터와 연계하는 방안도 고려할 수 있다. 대학과 연구소와의 연계 방안을 마련해 R&D 수준을 고도화해야 한다는 취지다.

<홍하나 기자>hhn0626@ddaily.co.kr
 

저작권자 © 딜라이트닷넷 무단전재 및 재배포 금지