새 정부 '사이버보안청' 만들어야 '해킹 공화국' 탈출한다[은폐⑬]

은폐_해킹 당해도 숨는 기업들

<4부. 해커는 불멸. 그래서 대책을>
[4]새 정부는 사이버보안청으로

尹정부, 국정원에 힘 실어줬지만
비효율적 구조에 기업도 부담

국정원 3차장·KISA·사이버수사대 합친
통합지휘체계 필요

美는 해커 공격 막으려 개발자 언어 바꿔
'사이버보안청'에서 이런 역할 해야

한국에서 해킹사고가 터지면 복수의 기관들이 한꺼번에 움직인다. 국가정보원, 과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회, 경찰청 등이 동시에 덤벼든다. 때에 따라 연관된 각 부처까지 출동한다. 하지만 SK텔레콤 해킹사태 등을 겪으며 사이버안보의 중요성이 어느 때보다 커진 만큼 확실한 컨트롤타워를 세워야 한다는 지적이 나온다.

이는 현행 관리시스템이 대응에 취약하다는 의미로도 볼 수 있다. 직전 정부에서 가장 센 권력을 쥔 기관은 국정원이었다. 2023년 5월 윤석열 전 대통령은 취임 직후 '범부처 차원에서 사이버공격에 맞서겠다'며 국가사이버위기관리단(국사단)을 만들 국정원에 힘을 실었다.

익명을 요구한 정부 고위관계자는 "현행법에서는 국정원은 공공영역, 과기정통부는 민간영역을 맡는 걸로 돼 있지만, 윤 전 대통령은 국사단을 출범시키며 대통령령으로 국정원이 민간 사건에도 관여할 수 있게 했다"며 "SKT 사태는 현재 과기정통부가 조사하고 있으나 계엄 전에 해킹이 터졌다면 국정원이 주도했을 가능성이 높다"고 했다. 그는 "공공과 민간으로 담당 기관을 나누는 것 자체가 비효율적"이라며 "국정원이 민간에 개입할 여지를 남겨두는 것도 기업들에게 큰 부담"이라고 했다.

유상임 과기정통부 장관도 유사한 지적을 한 바 있다. 유 장관은 SKT 해킹 사태 이후인 지난달 초 브리핑에서 "우리나라의 모든 사이버보안 시스템은 국정원을 중심으로 돼 있고 (부처마다 역할이) 산재해 있다. 범국가적인 사이버 보안 강화가 필요한 시점"이라고 했다.

국정원 보안 부문+KISA+사이버수사대 합쳐야

아시아경제가 만난 정부 관계자와 보안업계, 학계는 새 정부가 독립적인 성격이 보장된 사이버안보 지휘본부를 설치해야 한다고 입을 모았다. 이원태 전 KISA 원장은 "국정원을 비롯한 각 부처가 십수 년간 이어온 부처 이기주의를 버리고 영역 다툼을 중단해야 가능한 일"이라며 "민관 합동으로 대응하는 정부기관을 만들어 사이버 보안 규제와 진흥을 동시에 담당하도록 해야 한다"고 했다.

이형택 한국랜섬웨어침해대응센터장이 지난달 9일 아시아경제와 인터뷰를 하고 있다. (사진=윤동주 기자)

이형택 한국랜섬웨어침해대응센터장은 '사이버보안청(가칭)'을 제시했다. 그는 "(사이버보안을 담당하는) 국정원 3차장 부문과 KISA, 경찰 사이버수사대를 합해서 '청' 수준으로 격상해야 한다"고 했다. "해킹사고가 터지면 피해를 최소화할 수 있는 대응인력을 양성하고 국내 기업 대표들의 보안 의식을 높이는 일도 일임해야 한다"고 했다.

박춘식 서울여대 정보보호학과 교수 역시 "해킹 침해 대응을 하는 KISA가 공공·민간 영역의 사이버보안을 총괄하는 기구로 독립해야 한다"고 했다. 박 교수는 "힘을 실어 주려면 개인정보위처럼 국무위원급 위상을 부여하거나 국무총리실 직속기구로 운영하는 방안도 있다"고 제안했다.

10년 내다보는 美, 해킹 공격 막을 프로그래밍 언어로 바꿔

▲미국 백악관 산하 국가사이버국장실(ONCD)가 지난해 2월 발간한 '안전하고 신뢰할 수 있는 소프트웨어 구현을 위한 전략' 표지. 출처=백악관 홈페이지

새 정부가 사이버보안청을 만든다면 미국처럼 10년을 내다보는 '장기 보안 로드맵'을 그리는 역할을 맡아야 한다는 목소리도 있다. 미국의 사이버보안 지휘는 백악관 산하 국가사이버국장실(ONCD)에서 맡는다. 이 기관은 지난해 2월, 10년짜리 장기 프로젝트인 '안전하고 신뢰할 수 있는 소프트웨어 구현을 위한 전략'을 발표했다. '지금까지 소프트웨어를 만들 때 사용해 온 프로그래밍 언어를 전부 바꾸겠다'는 게 핵심 내용이다. 오랫동안 개발자들이 주로 쓰던 언어는 C·C++였다. 이 언어에서 발생하는 메모리 관리 취약점이 전체 보안 결함의 70% 가까이 차지해 해커의 목표물이 됐다.

하지만 요즘 나온 파이선·자바 같은 언어를 이용하면 해킹 공격을 최소화할 수 있다. 파이선·자바는 컴퓨터 메모리를 자동으로 관리해 해커들이 노리는 보안 허점을 막을 수 있다. 해당 프로젝트가 발표된 이후 바이든 행정부는 트럼프 행정부로 바뀌었지만 ONCD는 건재하다. 현재도 정부 시스템부터 산업 전체까지 단계적으로 프로그래밍 언어를 바꾸는 작업을 계속 진행하고 있다.

이해민 조국혁신당 의원은 "백악관이 이 정도로 철저하게 전문적인 로드맵을 그려내는 건 부러운 일"이라며 "새 정부에서 사이버보안청이 만들어진다면 실력있는 민간 전문가들을 대거 유입해 기존에 공무원 조직에서는 불가능했던 해결책을 구상할 수 있게 돕고 장기적으로 지원해야 한다"고 했다.

편집자주현실 세계에서 인질극이 벌어지면 누군가 신고를 하기 마련이다. 당한 사람이 직접 하든 주변에서 대신 하든 빨리 경찰에 알리는 게 급선무다. 그런데 랜섬웨어로 인해 벌어지는 사이버 인질극은 정반대다. 피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 철저하게 숨기 바쁘다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장은 "SK텔레콤처럼 해킹을 당하면 신고하는 기업은 극히 드물다고 봐야 한다. 피해를 입고도 외부에 절대 알리지 않는 기업이 10곳 중 9곳은 된다"며 "해커는 돈만 챙기고 떠나는 구조가 반복되고 있다"고 했다.

박유진 기자 genie@asiae.co.kr
전영주 기자 ange@asiae.co.kr
심나영 기자 sny@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>