#정부는 지난해 8월 국가정보원이 컨트롤타워 역할을 맡고 15개 정부부처가 관여하는 국가 사이버안보 마스터플랜을 발표했다. 사이버 안보 특성상 신속한 정보공유와 대응업무가 필수다. 드러내 놓지 않고 업무를 처리해야 하는 국정원이 이러한 컨트롤 타워 가능을 제대로 수행할 수 있는냐는 우려가 제기됐다.
정보보호 정책을 행안부, 방송통신위원회, 지식경제부 등 다양한 부처가 분산 추진하는 가운데 국정원이 컨트롤타워 역할을 수행한다. 문제는 국정원은 첩보기관으로서의 성격이 강하지 정책을 수립·집행하는 기관이 아니라는 점이다. 국정원은 최근 정보보호 인력을 대거 채용, 관련 조직을 만들었다. 그러나 여전히 정보보호 대책을 마련하는 기관 및 기업과 정보를 공유하거나 협업하지는 않는다.
이처럼 드러내 놓고 정책을 추진하지 못하는 국정원이 국가 정보보호 정책을 `좌지우지`할 수 있었던 것은 관련 법 때문이다. 국가정보화기본법 및 전자정부법 시행령 등에는 해당 법률과 달리 국정원의 역할을 지나치게 확대 규정해 놓고 있다. 국가정보화기본법 시행령에는 `국정원이 정해 통보한 지침은 행안부와 협의를 거치지 않아도 협의한 것으로 인정`한다는 문구까지 삽입돼 있다. 정부 관계자는 “국정원이 막강한 영향력으로 법에서 언급한 정보보호시스템과 전자문서 관련 정책 외에 정보보호 전반에 대해 컨트롤타워 역할을 수행한다”고 전했다.
전문가들은 무엇보다 관련 법 정비가 시급하다는 지적이다. 민간과 공공 영역으로 구분해 정보보호 정책 주체를 정하는 법 자체에 문제가 있다는 것이다. 김승주 고려대 사이버국방학과 교수는 “미국에서는 보호해야 할 자산의 중요도 즉, 정보보호 대상이 기밀 데이터인지, 아니면 일반 데이터인지를 구분해 이에 맞는 정보보호 정책을 마련한다”면서 “공공기관이 무조건 국정원 보안지침을 따르라고 하는 것은 문제”라고 말했다.
행안부와 방통위의 역할이 적극적이지 못한 것도 문제다. 국정원은 위기관리 체계 수립을 위해 정보를 수집할 뿐 관련기관과 공유하지 않는다. 행안부와 방통위가 정보보호 정책 수립을 위해 국정원 눈치만 살필 수밖에 없는 이유다.
이에 대한 대응 방안으로 청와대 위기관리센터에 사이버보안 위기관리 체계를 만드는 안이 제시되고 있다. 염흥열 순천향대학교 정보보호학과 교수는 “분산된 조직이 한 울타리 안에서 최대한 제 기능을 수행할 수 있도록 ICT 거버넌스 안에서 정보보호 거버넌스 체계를 재점검해 볼 필요가 있다”며 “사이버안보가 굳건해지려면 분산된 법, 조직 역량을 집결할 수 있는 방안을 고민할 시기”라고 말했다.
신혜권기자 hkshin@etnews.com, 장윤정기자 linda@etnews.com
