관련 통계자료 다운로드 주요 개인정보 침해사고 추이 정부는 8일 국가정보원 ‘국가사이버안전센터’를 위기 시 컨트롤타워로 지정한다는 ‘국가 사이버안보 마스터플랜’을 발표했다. 또 사이버공간을 영토·영공·영해에 이어 국가가 수호해야 할 또 하나의 영역으로 보고 이를 위해 예방, 탐지, 대응, 제도 기반 5대 분야 중점 전략과제를 수행하기로 했다.
하지만 관련 업계는 국가사이버안전센터를 컨트롤타워로 지정하는 부분에 대해 과거 2009년 7·7 DDoS 대란 이후 발표됐던 ‘국가 사이버위기 종합대책’과 차이점을 절감할 수 없다는 반응이다. 국정원 산하 국가사이버안전센터를 컨트롤타워로 놓고 사이버위기 대응을 총괄하는 방식은 지난 2009년부터 수행되어 왔다. 그러나 그간 대규모 보안 사고는 끊이지 않았고 그때마다 ‘컨트롤타워 부재’ 지적이 계속돼왔기 때문이다.
관련 전문가들은 청와대와 같은 강력한 권한을 가진 기관을 국가 위기 시 컨트롤타워로 지정해야 한다고 목소리를 높이고 있다.
◇‘국가 사이버안전센터’를 위기 시 컨트롤타워로=정부는 3·4 DDoS 공격, 농협 전산망 장애 사건 등을 계기로 외부 사이버공격이 국민 재산과 국가 안보를 위협하는 상황에 이르러 이를 방치할 수 없다고 밝혔다.
이에 국정원·방통위·국방부·행안부·금융위 등 15개 관계 부처가 참여해 수차례 ‘국가사이버안전 실무회의’와 유관부처 회의를 가졌으며 외부 전문가 자문 등을 거쳐 이번 마스터플랜을 수립했다. 이번 마스터플랜에는 국가 차원의 사이버위협 대응체계 정비 및 관련 부처별 역할 정립, 분야별 중점 추진과제 등이 포함됐다.
대응체계 정비 및 부처별 역할 정립에 있어서는 각종 사이버 위협에 총력 대응토록 ‘국가사이버안전센터’를 중심으로 관계부처 간 협력 ·공조와 민간 전문가 참여를 확대해 나갈 방침이다.
또 국정원 컨트롤타워 기능과 부처별 역할을 명확히 해 그간 제기됐던 기관 간 업무 혼선·중복 및 사각지대 발생 문제점을 해소하기로 했다.
국정원은 평·위기 시 총괄, 방통위 방통통신 등 민간, 금융위 금융, 국방부 국방, 행안부 전자정부 및 대민서비스, 정부전산센터 행정 등 각 부처별 소관사항을 분장, 수행할 계획이다.
그리고 사이버공간을 영토·영공·영해에 이어 국가가 수호해야할 제4 영역으로 보고 중점 과제를 수행한다는 전략이다.
◇5대 분야 중점 전략과제 추진=예방 측면에서 전력, 금융, 의료 등 기반시스템 운영기관 및 기업 중요정보 암호화 등 보안조치를 강화한다. 주요 핵심 시설에 백업센터 및 재해복구 시스템 확대 구축과 정부 소프트웨어 개발단계에서 보안취약점 사전진단 제도 의무화 등이 추진된다. 탐지 측면에서는 범국가적 사이버공격에 대응하기 위해 ‘3선(線)線 방어체계’ 국제관문국·인터넷연동망↔인터넷서비스 사업자(ISP)↔기업·개인 개념을 도입, 공격 트래픽을 단계별로 탐지·차단할 계획이다.
나아가 지자체 정보시스템 사이버공격 탐지도 실시하고 보험·카드사 등 제2금융권 전산망에도 보안관제를 확대해 나가는 한편 북한산 불법SW 유통 감시·차단 활동을 강화한다. 금융·통신 등 민간 주요시스템은 전문업체를 활용한 보안점검을 연 1회 이상 이행토록 의무화한다.
정부는 대응 측면도 강화할 예정이다. 대응 측면에서는 조직적인 해커공격에 외부전문가가 참여하는 ‘민·관 합동 대응반’을 운영하고 주요 국가 및 국제기구와 협력을 강화해 고도화하는 해킹에 총력 대응한다.
제도 측면에서는 국가·공공기관 대상 정보보안 평가제도 개선, 민간기업 정보보호관리체계(ISMS) 인증 활성화, 금융분야 ‘IT부문평가’ 대상기관 확대 등을 추진하고, 민간기업 해킹사고 발생 시 경영자 책임을 명확히하는 한편 용역업체에 의한 사고 시 민·형사상 책임을 함께 묻도록 하는 등 용역사업 및 민간분야 보안 관리를 강화하기로 했다.
◇주기적 이행실적 점검·미비점 개선 예정=마지막으로 기반 측면에서도 각 정부기관 정보보안 인력 증원 및 금융위 보안업무 전담조직을 신설한다. 한국인터넷진흥원 정보보호 정규직 비율을 상향하고 원전 등 국가 핵심 기반시설 운영기관 보안 전담인력 확보 등을 추진한다.
정부는 이번에 수립한 마스터플랜을 바탕으로 부처별로 소관 분야 세부 추진계획을 수립·시행토록 하고 주기적으로 이행 실적을 점검해 미비점을 개선할 예정이다. 아울러 향후 국내외 사이버안보 환경 변화와 사이버공격 행태·수단 발전양상을 고려, 이번 마스터플랜을 지속 수정·보완해 나갈 방침이다.
장윤정기자 linda@etnews.com
