8일 정부 ‘국가 사이버안보 마스터플랜’이 발표됐지만 강력한 기능을 가진 컨트롤타워는 아직 미흡하다는 지적이다.
그간 업계는 지속된 대형 보안사고 대책으로 미국과 같이 대통령 직속 사이버안보체계를 만들어야한다고 지적해왔다. 하지만 이번 ‘국가 사이버안보마스터플랜’을 살펴보면 지난 2009년 7·7 DDoS 사고 이후 발표한 ‘국가 사이버위기 종합대책’과 별반 다를 바 없다.
당시 정부는 “7·7 DDoS와 같은 대규모 사이버 공격 시 정부 부처 간 혼선이 빚어져 일원화된 대응체계가 필요하다”며 ‘사이버위기 대응 총괄역할을 국정원이, 방통위는 좀비PC 제거와 일반 국민 대항 사이버안전 홍보 및 계도업무 등을 수행토록 했다. 이번에 발표된 국가사이버안전센터 중심 컨트롤타워가 과거 국정원 중심 컨트롤타워와 무엇이 다르냐는 지적이다.
김승주 고려대학교 정보보호대학원 교수는 “국가 사이버안전센터가 컨트롤타워가 돼야 한다는 이야기는 노무현 정권 때부터 논의돼 오던 것”이라며 “일원화된 컨트롤타워라면 보안 관련 예산, 인력충원 및 보안감사, R&D 계획 등 보안 분야에 강력한 권한을 행사할 수 있어야 하는데 이번 발표에서는 어떤 권한이 있는지 명확치 않다”고 말했다.
이에 대해 정부 측 관계자는 “보안상 국가사이버안전센터가 가진 권한에 대해서는 상세히 밝힐 수 없다”고 말했다.
주대준 카이스트 부총장도 “사이버보안을 전담할 사이버보안청, 사이버보안센터를 만들거나 미국처럼 대통령 직속의 사이버안보보좌관을 설치해야 한다”며 “사이버안전 분야에서 리더십을 갖고 컨트롤타워 역할을 하는 기관과 인력이 필요하다”고 설명했다.
지난 2009년 정부는 사이버부대를 설립해 사이버전쟁에 대비한 군사 대응체제를 강화하고 사이버보안관 3000명 양성사업을 본격화하겠다고 밝힌 바 있다. 자동차, 조선 등 주요 산업별로 보안관제센터(ISAC)도 추진한다고 밝혔다. 또 민간 사이버위기 발생 시 민관합동 범정부 대책 기구 구성 및 악성프로그램 확산 방지 등에 대한 법률(일명 좀비PC 방지법)을 추진한다고 발표했다. 하지만 사이버보안관 3000명 양성사업에서 양성된 해커들이 어디로 배치, 운용되고 있는지 불명확하며 좀비PC 방지법은 아직 국회에서 계류 중이다.
이번 발표에서는 사이버공간을 제4의 전장으로 규정하고 조직적인 해커공격에 외부 전문가가 참여하는 ‘민·관 합동대응반’을 운영키로 했다. 민간 기업 해킹사고 발생 시 경영자의 책임 및 민간 분야 보안 관리를 강화하기로 한 것 역시 최근 발생한 농협전산망 마비, 네이트온 개인정보 유출 사고 등 일련의 보안 사고 대안이라는 해석이다.
업계 한 전문가는 “지금까지 행안부, 방통위, 지경부 등 각 부처별로 움직이다 국가적인 사고라도 나면 국정원이 나서서 회의를 수립하고 결정하는 방식을 고수해왔다”며 “청와대와 같은 강력한 권한을 가진 컨트롤타워가 나서지 않는 한 보안사고에 대한 근본적인 대안마련은 요원하다”고 말했다.
장윤정기자 linda@etnews.com
