[DT광장] 사이버테러방지법 왜 필요한가

최근 각종 정보유출 사고 및 해킹 사건이 잇따라 발생하면서 우리나라가 보안 위협에 언제든 노출될 수 있음을 재차 확인시켰다. 더구나 단순한 자기 과시 혹은 금전적 이득이 아닌 대상의 파괴를 목적으로 하는 사이버테러가 현실화되고 있는 상황에서 국가 차원의 정보보안 체계 수립의 필요성이 그 어느 때보다 커지고 있다. 이러한 상황에 발맞춰 효과적인 사이버테러 방어 체계 구축을 위한 사이버테러방지법이 현재 국회를 중심으로 활발히 논의되고 있다.

사이버테러방지법은 국가사이버안전센터를 설치하여 국가차원에서 사이버 위기를 체계적으로 관리하는 것을 골자로 하고 있다. 다만 일각에서는 사이버테러방지법을 제정할 경우 국가기관이 개인의 정보를 수집하고 나아가 국민의 사생활을 침해할 수 있다는 주장을 펼치고 있다. 최근 사생활 침해에 대한 국민적 우려가 높은 만큼 이러한 주장에 대해 사실 관계를 명확히 짚고 넘어가야 불필요한 논쟁을 줄일 수 있다.

현재 다수의 공공 기관을 비롯해 다양한 민간분야의 보안관제업무를 총괄하는 보안업체 관계자로서 사이버테러방지법, 그 중 보안관제와 관련된 두 가지 오해에 대해 명확한 사실 관계를 밝히고자 한다.

우선 보안관제센터는 보호해야 할 대상의 인터넷 인입부에 설치된 방화벽이나 침입탐지시스템, 통합보안관리시스템 등에서 탐지한 사이버공격이나 해킹징후 정보를 전송 받아 신속하게 사이버공격을 차단 및 대응하는 곳이다. 사이버공격을 탐지하는 것은 규칙에 의해 공격 패턴을 찾아내는 정보보호제품의 역할이고 정보보호제품에서 수집된 정보가 보안관제센터로 보내지는 것이다. 따라서 정보보호제품에는 국민의 사생활 정보가 없고 보안관제센터로 들어오는 위협정보는 정보보호제품에서 보내는 사이버공격 관련 정보뿐이다. 결국 보안관제시스템에는 국민의 사생활 자료가 저장되지 않는다.

쉽게 비유하자면 가정의 출입문에 설치된 시건 장치를 외부인이 무단으로 부수거나 푸는 경우를 대비해 이를 감시하고 침입 상황 발생시 경고하는 것이 보안관제센터의 역할이라고 볼 수 있다. 하지만 일부에서는 내부로 들어가 내부의 정보를 수집하는 것으로 오해하는데 보안관제는 집안 내부가 아닌 출입문만을 감시하며 출입 현황과 시건 장치 등을 점검할 뿐이다.

또 다른 오해 중 하나가 보안관제를 통해 관제 대상의 홈페이지나 시스템 등에 접근하는 국민의 정보를 수집한다는 것이다. 하지만 지난 10년간 국가사이버안전센터를 비롯해 60여개의 부문별 보안관제센터에서는 단 한 건의 사생활 침해사고도 발생하지 않았다.

단 한 건의 사고도 발생하지 않은 이유는 간단하다. 보안관제는 각종 보안장비나 내부 시스템에서 발생하는 보안 관련 데이터를 수집할 뿐 개인의 정보를 별도로 수집하지 않기 때문이다. 개인정보를 수집 및 관리는 보안관제와는 다른 영역으로 가입자 신상정보나 접근 기록 등은 보안관제 업무를 통해 접근할 수 있는 데이터가 아니다. 당연히 수집도 불가능하거니와 만에 하나 수집된다 하더라도 그것은 보안관제라는 업무에 도움을 주지 못하는 무의미한 데이터일 뿐이다.

얼마 전 미ㆍ중간 정상회담에서도 사이버안보를 중점적으로 논의하였고 세계 유력자들의 비밀 회동인 '빌더버그 그룹(Bilderberg Group)'에서도 사이버전쟁을 회의 주제로 채택했다고 한다. 그만큼 사이버안보에 대한 관심이 전 세계적으로 높은 상황이다. 이러한 상황에서 사이버테러방지법 제정은 외부의 사이버공격으로부터 묵묵히 총성 없는 전쟁을 수행하고 있는 국가사이버안전센터가 더욱 단단해 질 수 있게 법적 뒷받침을 마련해주고자 추진되는 것이다.

앞서 언급한 바와 같이 보안관제와 국민의 사생활 침해는 무관한 사안이다. 한국이 IT강국을 넘어 사이버안보의 리더국가로 발돋움하기 위해서는 기술적, 법률적 지원이 반드시 필요하다. 지금이라도 부정확한 사실 관계로 인한 소모적 논쟁보다는 보다 나은 미래를 준비할 수 있는 사이버테러방지법 마련에 힘을 모으길 희망한다.

조창섭 이글루시큐리티 보안관제서비스부문장