산업2부 김민진 차장
2009년 7월 청와대와 미국 백악관 등 세계 주요기관의 사이트가 집중적인 사이버공격으로 마비됐다. 이후 2011년 3월에는 청와대, 국정원 등 40여개 기관의 주요 사이트가, 같은 해 4월에는 농협 사이트가 공격을 받았다.
2013년 3월에는 또다시 주요 방송사와 금융회사의 정보전산망이 사이버공격으로 마비돼 혼란과 불안을 야기했다. 같은 해 6월 청와대와 정부기관, 언론사 등이 무차별 사이버공격을 받았지만 여전히 속수무책이었다. 초기대응은 부실했고, 컨트롤타워도 제 역할을 못했다.
소를 잃고도 외양간을 못 고친다는 지적도 있었지만 외부로부터의 사이버공격이 그만큼 지능화되고, 고도화됐기 때문이라고도 볼 수 있다. 사이버테러방지법에 대한 법제화를 서둘러야 한다는 목소리도 높아졌다.
일련의 사이버공격이 모두 북한의 소행인지 밝혀지지는 않았다. 하지만 2009년과 2013년 모두 북한의 핵실험 직후 발생했다는 점에서 긴장의 끈을 놓을 수 없다. 최근 대북 긴장감이 높아지면서 북한의 사이버공격에 대한 우려는 그 어느 때보다 커지고 있다.
한 정부부처는 올해 사이버보안 강화를 위해 관련 예산을 70%가량 증액했다. 관제장비를 증설하고, 인력도 더 늘렸다. 이 부처는 2년 전 산하기관에 위탁하는 형태로 사이버안전센터를 구축하고, 이번에는 관제시스템과 시설을 대폭 강화했지만 이 같은 사실이 외부에 알려지는 건 꺼린다.
해당 부처는 사이버안전센터가 문을 열 때도 내부행사로만 개소식을 치렀다. 기업도 마찬가지다. 사이버안전에 대한 강화 또한 보안사항인 것이다.
사이버보안을 강화하고도 쉬쉬하는 것은 '재물 자랑이 도둑을 불러들일 수 있다'는 우려 때문이다. 한 정부 산하기관 관계자는 "특정 기관이나 업체가 사이버보안을 강화했다는 사실이 외부에 알려지면 오히려 해커들의 영웅 심리를 자극해 사이버공격의 표적이 될 수도 있다"고 했다.
정부부처가 본격적으로 사이버보안 체계를 구축하기 시작한 것은 2003년으로 거슬러 올라간다. 정보기술(IT)이 발전하면서 정보보호의 중요성이 강조됐다. 당시 국가사이버안전센터(NCSC)가 만들어졌다.
규모가 크고 민감한 정보를 다루는 정부부처들의 경우 일찌감치 관련 시설을 구축했다. 하지만 홈페이지 관리 수준에 그쳤고, 방비는 허술했다. 그나마도 청(廳) 단위의 부처들이 본격적으로 시스템을 보강하기 시작한 건 2013년 이후다. 각 부처의 사이버보안 실태는 매년 국정감사의 단골 소재가 됐고, 사고가 잦았던 2013년에는 주요 이슈였다.
공룡 부처나 민감한 개인정보를 다루는 곳은 해당 부처 내에 사이버안전 관련 부서를 두고 직접 챙기기도 하지만 대부분이 산하기관을 통한 위탁 형식으로 운영한다.
산하기관은 다시 용역업체를 선정해 운영을 맡긴다. 정부부처가 직접 또는 위탁 형식으로 운영하는 보안센터(보안관제센터)는 40개 정도다. 부처마다 다르지만 1년 단기 또는 2~3년 장기계약 형태로 운영한다.
부처별 관련 예산은 연간 10억~20억원 정도로 예상보다는 많지 않다. 창과 방패의 싸움. 충분한 준비가 돼 있는지 궁금하다.
김민진 기자 enter@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>