얼마 전 인수위 기자실에 대한 북한발 해킹 오보 소동이 있었다. 다행히 해프닝으로 끝나기는 했지만, 단순한 해프닝으로 웃어넘길 수만은 없는 불편함이 여전히 남아 있다.
그 자체는 사실이 아니었지만 전혀 일어날 수 없었던 일이라고는 할 수 없었기 때문이다. 북한은 이미 두 차례의 디도스 공격과 농협사건, 지난해 중앙일보사 해킹까지 굵직한 사건에 개입되어 있음이 확인됐다. 지금 이 순간에도 우리 정부와 기업 컴퓨터를 헤집고 다니면서 향후 공격을 위한 정보를 수집하고, 우리의 사이버 대응능력을 테스트하고 있다. 해외전문가들 또한 북한이 비대칭전의 일환으로 '사이버빨치산' 전술을 수행할 가능성이 높다고 전망하고 있으며 얼마 전 북한의 국가적 중대조치 위협에 사이버테러가 포함될 가능성도 언급되고 있다.
북한뿐만 아니라 이미 많은 국가들이 간첩을 이용한 고전적 첩보전보다는 사이버공간의 공개정보를 이용한 빅데이터 분석과 사이버공격을 통한 정보수집을 선호하고 있다. 국가기반시설 등 주요 시스템에 대한 공격도 사전탐지가 쉽고 국제적인 비난 위험이 높은 물리적 폭격보다 스턱스넷과 같은 사이버무기를 애용하는 것으로 변화하고 있다.
더 불편한 진실은 이번 사건이 단순한 해프닝이 아니라 실제 북한이 공격을 해온 것이었다면 과연 우리가 잘 대응했을까 하는 점이다. 우리가 진짜 부끄럽게 생각해야 하는 것은 바로 해프닝이 발생했다는 사실 자체가 아니라 실제 이러한 공격을 완벽히 대응할 만한 국가적인 준비가 충분히 갖춰지지 않았다는 점이다. 우리는 현재 사이버위협에 책임지고 대응하는 전담조직 없이 각 부처별로 역할이 나뉘어 있어 부처 간 불협화음이 발생하고 있고, 각 부처와 민간의 개별적 노력을 조율할 수 있는 법적권한이 있는 조정기관도 없는 상황이다. 사이버안보 책임과 권한을 부여하는 법도, 적의 사이버공격 발생 시 누가 어떻게 대응할지에 대한 정책과 교전규칙도 우리에게는 없다.
최근 몇 년간 국가주체에 의한 사이버공격과 같은 새로운 안보 위협이 등장하고 이에 각국이 강력한 사이버안보체계를 수립하는 등 전 세계 안보환경이 빠르게 변화하고 있다. 이미 많은 국가들이 사이버공간의 군사전략적 중요성을 인식하고 주요 전장의 하나로 활용하고 있다. 중국의 사이버첩보와 이란의 미국 금융기관에 대한 사이버공격에서 보듯 경제전의 양상까지 보이고 있다. 사이버안보는 이처럼 군사안보, 경제안보를 포함한 주요 국가안보 이슈로 인정받고 있다. 각국의 안보전략은 수동적 방어 중심의 사이버안보를 뛰어넘어 능동적 방어와 공격행위까지 포함하는 다각적 사이버안보 전략을 포괄하는 방향으로 진화하고 있다.
이처럼 사이버안보가 전 세계적 차원에서 국가안보의 핵심 영역이 됐음에도 우리나라에서는 안보정책에서 그만큼의 독자적인 중요성을 인정받지 못하는 것 같아 안타깝다. 다행히 차기정부는 안보를 강조하고 있고, 이러한 차기정부의 안보에 대한 관심은 장관급 국가안보실 설립으로 구체화되고 있다. 하지만 변화된 안보환경에서 살아남기 위해서는 안보에 대한 무조건적인 강조보다는 어떤 안보인가가 더 중요하다. 새로운 안보환경에 맞춰 사이버안보를 포함한 새로운 국가안보정책이 수립돼야 하며, 국가안보실 조직 또한 사이버안보 영역의 중요성을 반영하여 구성돼야 한다. 따라서 대한민국의 진정한 안보강화는 우선 공공 각 부처와 민간에 명확한 사이버안보 역할과 책임을 부여하고, 국가안보실 산하에 차관급 사이버안보수석을 신설해 조정권한을 주는 것으로부터 시작돼야 한다. 대한민국 사이버안보 거버넌스가 명확히 확립될 때 우리는 인수위 사건을 해프닝으로 웃어넘길 여유와 자신감을 갖게 될 것이다.
임종인 고려대 정보보호대학원장
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>