2017년 6월 렌섬웨어 공포가 가시기도 전에 발생한 '나야나' 해킹 사건은 충격 그 자체였다. 호스팅 업계에서 20년 된 업체 나야나의 대표가 데이터 복구 조건으로 13억원에 해커와 협상한 것이다. 정부나 기업은 해커와 거래해서는 안되는 게 원칙이지만 해결할 방법도, 문제를 해결할 솔루션도 현재 없기 때문이었다. 더 큰 문제는 돈을 주고도 해킹당한 장비를 완벽한 원상 복구 또는 해결을 하지도 못한 상황에 처해 있다는 것이다.
사이버 해킹은 하루에도 100만건 이상 일어나고 있다. 국가 간 사이버전 형태와 금전 목적의 전문 해커 집단 공격, 개인 테러 목적 공격, 기업 기술 탈취와 자기 과시 목적의 해킹 등 매우 다양한 방법으로 끊임없이 진화하고 있다. 각종 해킹 사건의 빈도와 규모가 날로 증가하는데도 우리 대책은 사고가 있을 때뿐이다. 정보 보안 시스템은 그냥 그대로다. 언론에는 대서특필되고 민간에서 난리를 쳐도 그때만 '반짝' 하고 대응은 제자리인 게 현실이다. 해킹으로 인한 피해 규모는 급증해도 보안 기술과 산업은 사실상 후퇴하고 있다는 얘기다.
정보통신기술(ICT)은 조직 효율성을 높이는 도구로 각광받아 왔다. 그러던 ICT가 중단되면 거의 모든 조직이 작동될 수 없는 필수불가결한 도구가 됐다. 최근에는 ICT가 조직의 전략 도구가 되기에 이르렀다. 조직의 경쟁 우위 창출과 비전 실현 도구의 차원을 달리하는 수단으로 진화했다. 이는 나야나 해킹 사건에서 볼 수 있듯 만약 ICT 자원 가운데 일부라도 보호되지 못하면 어느 조직이든 존립 자체를 위협받을 수밖에 없게 됨을 의미한다.
특히 금융·철도·전력·항공·에너지 등 국가 기간망을 통해 이동하는 각종 데이터, 산업 기술 정보, 개인 프라이버시 정보 유출과 이로 인한 피해는 사회 혼란 및 국가 존립의 문제로 직결된다. 4차 산업혁명 시대가 도래하면서 데이터가 핵심 요소로 등장했다. 모든 사물이 연결되는 초연결 시대에는 그야말로 천문학 규모의 수치 데이터가 생성돼 이동하고 축적된다. 해커 입장에서 보면 먹잇감이 기하급수로 늘어난다는 얘기다. 유추하면 데이터가 4차 산업혁명의 핵심 자원이라면 사이버 보안은 4차 산업혁명 시대의 핵심 키인 것이다. '우리의 정보 보안 대책, 이대로 좋은가'를 반문할 절박한 시점이 지금이다.
전략 대안 마련이 시급하다. 이를 정리해 보자. 먼저 사이버 보안은 국가 안보와 직결되기 때문에 민·관·군을 총괄하는 국가 차원의 컨트롤타워가 구축돼야 한다. 우선 청와대 내 사이버보안 수석을 직제화해야 한다. 사이버 보안은 민간은 물론 공공 부문과 군 영역까지 매우 광범위하게 이뤄져야 하고, 관련 내용의 조정 및 협력이 요구되기 때문이다. 국가안보전략연구원이 내놓은 '국가 안보와 전략'에 따르면 미국은 2009년 이후 백악관이 국가 사이버안보 업무 컨트롤타워 역할을 수행한다. 백악관 국가안전보장회의(NSC) 내 사이버안보국이 대통령 정책 자문역을 담당한다. 사이버안보조정관이 국가 사이버 안보 정책을 총괄한다. 국가정보국은 사이버 위협 정보통합센터를 두고 전체 위협과 사고를 분석, 공공과 민간 기관에 공유한다. 중앙정보국(CIA)은 사람 중심으로 사이버 위협 정보를 수집·분석한다.
우리도 미국의 사이버 안보 컨트롤타워를 벤치마킹할 필요가 있다. 특히 데이터 보호, 보안 문제는 민간과 정부 시각이 현저히 다르다. 사전 조율에 의한 대응 방안, 정책, 로드맵이 필요하다. 문제가 발생했을 경우에도 민·관이 신속하게 적극 대처할 수 있는 시스템이 작동돼야 한다. 정보 보안 유관 기관 기능 강화와 사이버사령부의 역할 증대도 요구된다. 사이버 보안을 군의 핵심 전력으로 키우고, 사이버 무기를 개발해야 한다. 빠르게 진화하고 있는 사이버 전쟁에 대응하기 위해 군에 사이버 보안 민간 전문가를 대규모로 배치하는 대안이 요구된다.
갈수록 커지는 사이버 보안 문제에 적극 대응하기 위한 정보 보안 컨트롤타워를 통해 정보 보안 산업과 국가 사이버 안전 전반에 걸친 로드맵이 그려지고 추진돼야 한다. 그래야 세계 3대 사이버 보안 강국으로의 비전 실현도 가능하다.
노규성 4차산업혁명위원회 위원·선문대 교수(ksnoh114@gmail.com)
