세계 각국은 사이버전쟁 우위 점하기 위해서는 사이버안보 관련 법 필수 국가차원 컨트롤 타워도 법적 근거 마련해야
유승화 아주대 명예교수
최근 사이버공간은 냉전체제의 새로운 전쟁터로 급부상하고 있고 사이버전은 외부로 드러나지 않는다는 특징이 있기 때문에 이를 자제하자는 합의나 협정이 쉽지 않다. 사이버전 1호는 2007년 발생한 러시아 소행으로 추정되는 에스토니아 기간전산망 마비 사건이었다. 각 국가별 사이버군의 규모는 극비이지만 중국이 세계 최대인 약 40만 명의 사이버 병력을 보유하고 있는 것으로 추정되고 있다. 또한 미국은 2010년 매년 사이버작전 장교 400명을 양성하기로 결정했다. 세계에서 강대국 행세를 하려면 실제 전쟁뿐 아니라, 사이버전 능력 강화를 위해 엄청난 투자를 하고 있다. 또한 북한은 최근에 소니픽쳐스 해킹 사건을 통해 자신들의 사이버전 능력을 세계에 과시한 적이 있으며, 사이버 테러 3.20 대란, 7.7 DDoS 사건, 1.25 대란 등을 여러 차례 저질렀다. 사이버전 전문가 리처드 클라크는 북한의 사이버전 수행 능력을 세계 최고 수준으로 평가했다. 북한은 정찰총국 등을 중심으로 7000여 명의 사이버 공격 전문조직과 인력을 운용하고 있다. 전 세계 사이버공간은 지금 이 시간에도 해킹 등을 통해 주요 군사 및 산업 정보를 빼내고 전력, 통신 및 교통 인프라를 마비시키는 사이버전이 진행되고 있다.
사이버전에서 가장 중요한 부분은 사이버 병력의 질이다. 사이버전은 그 특성상 최고 수준의 해커 한 명이 수백 명의 사이버 부대와 맞서 전쟁을 치를 수 있기 때문이다. 현재 사이버전의 최전선인 사이버사령부와 국가정보원은 최고 수준의 화이트 해커를 확보하지 못하고 있다. 사이버사령부에 소속된 해커 부대 500여명은 만들어진 해킹 도구를 활용해 공격하는 수준으로 해커 입장에서 보면 최고의 질의 사이버 병력으로 볼 수 없다. 그러나 최고 수준의 해커들이 사이버사령부나 국정원과 같은 부처에 입사하면 정식 직원과 차별 대우를 받고, 기업에서 제시하는 대우와 워낙 차등이 되기 때문에 가지 않는다. 따라서 최근 사이버보안 인력육성계획에 의해서 실력이 뛰어난 해커 영재의 경우 수능 성적과 상관없이 고대 사이버국방학과 등 3개 주요 대학에 입학할 수 있게 되어 우수 인력을 양성할 수 있다. 사이버국방대학을 졸업하면 장교로 임관, 7년간 의무 복무토록 해 사이버 전력의 중추 역할을 맡긴다는 것이다.
그러나 군에 복무할 때 단순 반복 업무만 시킬 것이 아니라 이들을 충분히 활용하여 창조적 역량을 발휘할 수 있는 여건과 동기를 부여하여 사이버 병력의 질을 향상시켜야 한다.
최근 국정원이 이탈리아 보안 업체에서 해킹 프로그램을 비밀리에 구입 논란이 확산되고 있다. 2013년에는 미국이 각국 정상과 대사관, 유엔본부까지 도청했다는 에드워드 스노든 전 미국 국가안전보장국 직원의 폭로로 발칵 뒤집힌 적이 있다. 도·감청 문제는 국제정보기관의 중요 속성 중 하나이기 때문에 적절한 권한 부여와 권한을 넘어선 행위에 대한 통제가 필요하다. 그러나 더 중요한 것은 수행할 기술 확보다. 최첨단 전자통신장비와 소프트웨어 기술을 바탕으로 한 정보보안 능력은 오늘날 사이버전의 핵심 역량이다. 최근 전방위적인 사이버전을 불사하는 북한을 상대하고 있는 우리 정보기관이 사이버전과 안보 위협에 대응할 최신 사이버보안 기술을 개발하고 적법한 대응 전략을 세우지 않는다면 오히려 직무유기일 것이다. 그러나 안랩을 포함한 국내 정보보안업체들은 국제경쟁 기술면에서 취약하여 사이버전의 공격을 막을 수 있는 솔루션을 현재 제공하지 못하고 있기 때문에 국가차원에서 경쟁력있는 사이버보안 기술 개발이 추진될 수 있는 대책이 수립돼야 한다.
세계 각국이 사이버전이 날마다 치열하고 있지만 우리는 사이버안보에 관한 기본 법률조차 없는 상태다. 현재 국내 사이버안보 관련 법제는 대통령 훈령으로 만든 '국가사이버안전관리규정'이 전부이며 사이버 위기 시 상황 전파 등에 관한 내용 위주이다. '정보통신기반보호법' 등에 사이버 안전 관련 규정이 있지만 이는 일상적인 정보보호에 중점을 두고 있다. 국회에는 '사이버테러방지법'이 계류 중이지만 개인 사생활 침해 우려 등의 이유로 처리되지 못하고 있다. 사이버전에서 우위를 점하기 위해서는 통신 사업자에게 감청장비 설치를 의무화하는 '통신비밀보호법' 개정안도 반드시 통과돼야 한다. 현재 '통합방위법'에는 군이 영토, 영공, 영해를 수호한다고 돼있지만 사이버공간은 포함돼 있지 않다. 따라서 이에 관한 사이버전 교전수칙도 없다. 미국의 경우 '사이버안보보호법', '사이버안보강화법' 등 5개 관련 법률을 제정하여 시행하고 있다. 일본도 작년 11월 사이버전 시 정부, 기업 및 개인 등 주체별 책무를 규정한 '사이버시큐리티기본법'을 제정했다.
국가 차원의 컨트롤타워에 대한 법적 근거가 없는 것이 문제점이다. 우리의 사이버 테러 대응 체계는 '국가사이버안전관리규정'으로만 규정돼 있어 민관의 역량을 총동원해야 하는 사이버전 대응에 한계가 있다. 관련 법률이 전자정부법, 통신기반보호법, 정보통신망법 등에 산재돼 있어 대응 주체간 역할이 상충된다. 최근 청와대 국가안보실 산하에 사이버안보비서관이 신설되어 실질적인 사이버안보 컨트롤타워 역할을 수행할 수 있는 체계가 마련됐다. 따라서 사이버안보 컨트롤타워를 주축으로 정부 역량을 집중, 국가정보원, 경찰청, 국방부, 미래창조과학부, 행정자치부 등의 국가사이버안보 관련 각 부처와 기관이 실질적으로 협력하는 체계가 가동돼야 한다.
전 세계적으로 IT 강국으로 꼽히는 우리나라의 인터넷 환경은 훌륭하다. 그러나 발달된 인터넷 환경과 달리 사이버보안이 취약하고 사이버 공격의 위협을 받고 있다. 2010년부터 2014년까지 국가 공공기관을 대상으로 일어난 사이버 사고는 총 7만 6669건에 달했다. 북한은 최근 몇 년 간 다양한 방식으로 우리나라를 향해 사이버 상에서 도발을 펼쳐왔음에도 정부당국의 대응은 미흡했다. 공격 경유지를 차단한다거나 악성코드를 분석해 치료용 전용백신을 개발하여 보급하는 것이 전부였다. 그러다보니 북한이 마음먹고 공세를 취해도 매번 당할 수밖에 없었다. 현재 우리는 사이버전 능력을 갖추었는지 의문시된다. 그러나 현재 사이버전의 중요성 및 심각성을 정부나 국민이 절실히 인식하지 못하고 있는 것이 더욱 심각한 문제이다. 정부나 정치인들은 말로는 중요하다고 하지만 실질적인 우수인력 양성 및 활용, 경쟁력 있는 사이버보안 기술 개발, 법 제도 및 조직에 대한 대폭적인 전략적 대책이 시급하며 제2의 사이버 연평해전 또는 천암함 같은 사태를 미리 대비해야 한다.
![비틀비틀 비트코인…이건 경고일까, 기회일까?[주형연의 에구MONEY]](https://wimg.dt.co.kr//news/cms/2025/11/08/news-p.v1.20251107.c4c922b306fb44f6a7f0b3d5ec780979_T1.jpg)
