한국이 미국에 의존하지 않는 사이버보안 역량을 쌓고 실행할 정책이 필요하다는 주장이 제기됐다. 그간 군사적으로는 한미상호방위조약에 따라 일정 부분 미국에 기대 온 측면이 있지만, 사이버보안 분야에서까지 그걸 기대해선 안 된다는 지적이다.
사이버보안 역량이 향후 국가 안보의 주요 독립변수가 될 거란 뉘앙스다. 이는 전 대통령 안보 특별보좌관 임종인 고려대학교 사이버보안정책센터장의 메시지다.
고려대 사이버보안정책센터는 지난 23일 서울 한국프레스센터에서 '4차 산업혁명과 사이버위기의 시대 국가 사이버보안 정책의 미래' 토론회를 열었다. 민관군 분야별 사이버보안 전문가와 정책연구자 100여명이 참석한 자리였다.
센터는 대통령 안보특보, 한국정보보호학회장을 맡았던 임종인 교수를 비롯해 고려대 정보보호대학원 정책분야 교수들이 주축이 돼 지난해 6월 11일 설립된 정책연구조직이다. 글로벌 사이버보안정책 씽크탱크를 표방한다.
임 센터장은 이 토론회에서 차기 정부의 국가 사이버보안 정책 방향성을 제시했다. 그는 미국 신임 대통령이 자국 첩보기관 국가안보국(NSA)에 사이버인텔리전스 관련 권한과 예산을 강화하며 그 역할에 힘을 실어준 것이 안보 차원의 접근이라고 진단했다.
이어 그는 영국, 일본, 이스라엘 등 다른 지역 선진국도 비슷한 기류를 형성하고 있다고 봤다. 따라서 한국도 안보 차원에서 독자적인 사이버보안 역량 확보가 필요하다고 강조했다. 군비만이 아니라 사이버보안 역량도 향후 국가간 전쟁 억지력으로 작용할 것이란 견해다.
■"사이버분야 독자 역량 갖춰야"
임 센터장 발언의 몇 대목을 아래에 인용했다.
"안보적 측면에서 핵 억지력을 갖추듯, 사이버 억지력을 갖춰야 한다. 갖추려면 상황, 의도를 분석할 수 있는 인텔리전스부터 시작해야 한다. (공격이 발생한) 원점을 알아내는 역추적 기술과, 우리가 공격을 당하면 얼마나 당했을 때 반격할 것인가하는 쓰레시홀드(threshold, 경계획정) 문제(도 고려해야 한다). …(중략)… 트럼프 대통령은 국가안보국(NSA)에 사이버커맨드, 인텔리전스를 갖추고 공세적 역량을 갖추라는 방향으로 (정책을) 정리해 줬다. 사이버 관련 정보 자산이 안보 관점에서 무기와 같은데 (한국은) 많이 부족하다. 한미상호방위조약으로 무기, 안보를 미국에 의존하고 있다. 사이버 안보도 미국이 도와주겠지 여기는 것 같다. (사이버보안 분야에선 그렇지 않을 것이다.)"
임 센터장 발언의 메시지는 요컨대 온 나라가 4차산업혁명에 대비해 경제, 사회 번영을 꿈꾸고 있는데, 사이버보안이 담보되지 않으면 모래성이 될 수 있다는 얘기로 해석됐다. 이어지는 발언이다.
"우리가 미국이 과거(군사방위 분야)처럼 사이버보안 해주겠지, (여기고) 자력을 갖추지 못하면 4차 산업혁명 시대를 헤쳐갈 수 있을까 의심스럽다. G메일을 많이 쓰지만 항상 찜찜하다. 구글이 다 보고 있고, 구글이 본다는 건 NSA에 다 넘어가는 것이다. 사이버 분야에서 독자 역량을 못 갖추면 우리가 살아남을 수 있을 것인지 굉장히 많이 우려된다. 과거 첨단ICT를 전통 산업에 적용해 효율과 효과성을 높이자는 정보화 방향으로 3차산업혁명이 일어났다. 인공지능(AI) 등장하면서 4차산업혁명이 왔구나, 지금까지 방식으론 안 된다고 느낀다. 근본 변화가 일어나야 한다."
그는 이 발언 뒤 통해 차기 정부의 국가 사이버보안 정책이 갖춰야 할 큰 틀과 세부 목표 과제 등을 구체화했다. 6대 기본원칙, 6대 목표, 7대 구성요소, 14대 핵심전략을 제안했다. 또 대통령 선거에 출마를 선언했거나 출마 가능성이 높은 정치인들을 대상으로 사이버보안 정책 관련 요구사항과 12가지 주요 질문사항을 발표하기도 했다.
■"현행 국가 사이버보안, 분야별 책임자만 있고 체계 약해"
임 센터장 발제에 앞서 사이버보안정책센터의 권헌영 법학 교수가 '4차 산업혁명 시대의 글로벌 사이버보안 정책 동향'을 발표했다.
권 교수는 지난해말까지 파악된 미국, 영국, 독일, 일본, 중국 등 대륙별 주요 국가의 사이버보안 관련 법제 동향과 정부 차원의 정책 방향을 소개한 뒤 한국의 사이버보안 관련 국가정책과 법 체계의 문제점을 일부 짚었다.
그는 "미국, 영국, 독일이 과거 조용히 논의해 오던 사이버보안 분야의 국가전략화를 이제 노골적으로 드러내놓고 하고 있다"고 평했다. 이어 "우리는 청와대가 사이버안보 컨트롤타워를 수행하고 국가정보원 중심으로 각 기관이 소관영역에서 협력하는 거버넌스 체계를 운영 중"이라면서 "분야별 대응 책임자를 정해놓고 있을뿐, 다양한 분야별 사건사고에 근본적으로 대응하지 못해 왔고, 사이버보안 관련 법령은 체계적이지 못하며 하위 법령이 너무 많은 것을 규율하고 있다는 평가를 받고 있다"고 지적했다.
이날 센터 측은 공식 발표 자료에서도 차기 정부가 전국가적 사이버보안 대응체제를 만들고 다양한 주체가 참여하는 사이버보안 생태계를 구성해야 한다고 주장했다. 현존 사이버보안대응체제와 정책은 정치적 이해에 따라 분산돼 있고, 부처이기주의에 의해 비합리적인 형태로 굳어져, 사이버보안 기능의 안정성과 전문성이 약하다고 꼬집었다.
또 주요 대선 후보들의 4차 산업혁명과 안보 공약에 사이버보안과 사이버국방이 빠져 있고, 독자적인 사이버보안 공약과 토론도 없는 상황임을 지적했다. 차기 정부 사이버보안 정책 방향에 대한 사회적 논의를 시작하고 대통령 후보자들에게 국가 발전과 사회 안전을 위한 핵심 아젠다로서 국가 사이버보안 정책의 중요성을 인식시키며 후보자들이 현실적인 공약을 만들도록 돕고자 토론회를 열었다고 덧붙였다.
■"국제정세 차원 거시적 관점 필요" "국내 산업역량 높이려면 민간 주도 협력 돼야"
임 센터장 발제 후 차기정부의 사이버보안 정책에 관한 토론이 시작됐다. 서울대 법학전문대학원 이원우 교수가 진행을 맡고 조화순 연세대 정치외교학과 교수, 권헌영 고려대 정보보호대학원 교수, 최소영 한국CISO협회 사무국장, 강용석 SK인포섹 본부장이 패널로 참석했다.
연세대 조화순 교수는 "한국의 사이버 안보 정책은 국내 거버넌스 문제를 넘어 어떤 국제질서에 편입될 것인가의 문제로 보다 거시적이고 정치적인 구도에 대한 이해가 필요하며, 한국이 사이버안보 국제규범 마련 논의에 보다 적극적으로 참여해야 한다"고 말했다.
한국CISO협회의 최소영 사무국장은 "제4차 산업혁명은 우리에게 기회이자 동시에 위험이며, 보안이 담보되지 않은 사물인터넷은 시한폭탄과도 같기 때문에 국가적 차원의 보안대책을 마련해야 한다"고 말했다.
강용석 SK인포섹 본부장은 "사이버보안 산업계의 입장에서 국내 보안산업의 역량을 높이기 위해서는 개방과 공유, 투명에 바탕을 둔 자발적인 협력이 필요하고 관주도의 협력이 아니라 이제는 민주도의 협력이 되도록 해야 한다"고 말했다.
관련기사
- AI는 사이버 보안을 승리로 이끌 것인가2017.03.24
- 사이버 보안 전략, 왜 인텔리전스를 주목하나2017.03.24
- 한-미, '사이버 보안' 공조 강화한다2017.03.24
- 가상자산, 미국은 변하는 데 한국은 왜 안 바뀌나2024.11.25
임종인 센터장은 "사이버보안 위협이 증가하고 있는 상황에 정치권이 아닌 학계와 전문가들이 주도적으로 차기 정부의 국가 사이버보안 정책의 방향을 제시함으로써 사회적 논의를 본격적으로 시작하였다는 점에 의미가 크다"며 "앞으로 전문가와 단체의 도움을 받아 대통령 선거후보들의 사이버보안 공약 자문, 평가, 차기 정부의 사이버보안 전략 수립 자문 등 역할을 해 나가겠다"고 말했다.
센터는 다음달 '디지털 민주주의 수호를 위한 사이버보안 정책 토론회'에서 국가 사이버보안 정책과 민주주의에 관련된 사회적 논의의 화두를 던지고 정책적 해법을 논의하기로 했다.