랜섬웨어 급증 맞긴한데...전담 '사이버보안청' 신설해야하나

머니투데이

차현아 기자

[서울=뉴시스]조수정 기자 = 서울지방경찰청 사이버안전과 사이버수사대 이은실 팀장이 15일 오후 서울경찰청에서 '랜섬웨어 제작, 유포한 PC 수리기사 일당 검거'와 관련, 악성코드를 설치하고 '.enc' 확장자로 암호화 시켰다가 복호화 하는 범행 과정을 시연하고 있다. 이들은 출장 수리 중 고객 몰래 PC의 윈도우 디펜더를 사용하지 않도록 해제한 상태에서 악성코드를 설치했다. 2021.06.16. chocrystal@newsis.com

임종철 디자이너 /사진=임종철

사이버보안 전담 정부조직인 '사이버 보안청' 신설 필요성이 다시금 고개를 들고있다 .정부와 공공기관, 민간기업 대상 사이버 공격이 급증하는 가운데 통합·체계적 대응을 위해서는 전담기관이 필요하다는 주장이다. 반면 청와대 국가안보실이라는 컨트롤타워가 있는 만큼 청단위 조직신설이 불필요하다는 반론도 맞선다.

국회 과학기술정보통신위원회 소속 양정숙 의원(무소속)은 26일 오전 '일원화된 사이버 보안청 설치 토론회를 진행했다. 이날 토론회에서 과학기술정보통신부와 한국인터넷진흥원(KISA), 보안업계 전문가들은 사이버 보안청 설치 필요성을 두고 맞섰다.

사이버보안청 왜 필요한가 "부처간 통합대응 필요해"

사이버 보안청 신설은 최근 국민의힘 소속 하태경 국회의원이 대선 출마를 선언하며 내건 공약 중 하나다. 국내에는 사이버 공격에 대응할 전담 부서가 국가정보원과 군사안보지원사령부, 경찰청, 과기정통부, KISA 등으로 흩어져있다. KISA와 과기정통부는 민간 영역을, 군사안보지원사령부는 국방 분야, 공공 부문은 국가정보원이 맡는다. 각 기관에 흩어진 사이버 공격 대응 인력과 업무를 한데 모은 국가사이버보안청을 신설하고 이를 대통령 직속 기구로 만들어 해킹 범죄와 사이버 전쟁에 적극 대응해야 한다는 취지다.

사이버 보안청 신설 공약은 매번 대선때마다 의제로 올랐지만 성사되진 못했다. 앞서 지난 19대 대선당시 유승민 바른정당 대선후보도 사이버 보안청을 공약한 바 있다. 2013년에도 단일 기관인 국가사이버안전센터를 설치하자는 내용을 담은 국가사이버위기관리법 제정 움직임이 있었다. 하지만 해당 기관이 갖게 될 수사권이 민간인 사찰에 악용될 수 있다는 지적 등 부작용우려로 불발됐다. 다만 최근 해킹과 랜섬웨어 공격의 폐해가 급속도로 커짐에따라 과거와 달리 새로운 국가적 대응체계를 마련해야 한다는 의견이 고개를 든다.

이날 토론회에서도 사이버 보안청 신설을 놓고 찬반 의견이 팽팽히 맞섰다. 박춘식 아주대 사이버보안학과 교수는 사이버 보안청을 신설해야 한다는 의견을 피력했다. 박 교수는 "빠른 시간 내에 진행되는 사이버 공격의 특성을 감안할 때 사이버 보안청이라는 일원화된 기관 중심의 통합적인 대응이 중요하다"고 강조했다. 사이버 보안청이 각종 사이버 보안사고를 전문적으로 분석, 대응할 수 있도록 수사권과 정보 수집권도 가져야 한다는 입장이다.

실제로 주요 국가는 사이버 보안 관련 전담 기관을 두고 있다. 미국의 사이버인프라안보국(CISA)과 영국의 국가사이버안보센터(NCSC)가 대표적이다. 박 교수는 "사이버 보안청은 정책방향을 수립하는 한편, 민간과 정보를 긴밀히 교류하고 정부 부처 간 실질적인 협조체제를 이룰 기반이 될 것"이라고 말했다.

[서울=뉴시스]조수정 기자 = 서울지방경찰청 사이버안전과 사이버수사대 이은실 팀장이 15일 오후 서울경찰청에서 '랜섬웨어 제작, 유포한 PC 수리기사 일당 검거'와 관련, 악성코드를 설치하고 '.enc' 확장자로 암호화 시켰다가 복호화 하는 범행 과정을 시연하고 있다. 이들은 출장 수리 중 고객 몰래 PC의 윈도우 디펜더를 사용하지 않도록 해제한 상태에서 악성코드를 설치했다. 2021.06.16. [email protected]

반대 의견도 팽팽 "조직 신설만 답은 아냐"

과기정통부와 KISA는 사이버 보안청 신설에 유보적 입장이다. 오진영 KISA 미래정책연구실 실장은 "사이버 보안청을 만들면 신속하고 유기적으로 대응할 수 있는 장점은 있겠지만, 민간의 사이버 공격 대응역량이 약화될 수 있다"고 설명했다. 조사 권한을 한 곳에 집중하면 권한이 없는 부문은 사이버 공격 대응에 비교적 소홀해질 수 있다는 우려다. 오 실장은 "단순히 조직을 만드는 것으로 그칠 것이 아니라, 어떻게 효율적으로 운영할지도 중요하다"며 "다각도로 검토가 필요한 사항"이라고 말했다.

신대식 과기정통부 정보보호기획과장 역시 "현재 사이버 보안 컨트롤타워는 청와대 국가안보실이며, 과기정통부와 국정원, 국방부 등 정부기관도 여러 분야의 사이버 보안이슈에 이미 긴밀히 협력하고 있다"면서도 "최근 사이버 공격이 민간과 공공기관, 국방을 넘나들며 발생하는 만큼 정보공유 활성화 등 일부 개선은 필요하다"고 말했다.

김승주 고려대 정보보호대학원 교수는 현재 관련 기관끼리의 유기적 협업 구조를 만드는 방향을 제안했다. 김 교수는 "의료 시스템에서 1차와 2차, 상급 의료기관 등으로 단계를 나누는 것과 유사하게, 사고가 발생하면 1차적 진단과 해결을 각 기관이 담당하고, 상위 기관이 종합 진단과 대응을 하는 방식으로 운영하는 것도 가능하다"고 말했다.

한편 과기정통부는 현재 공공과 민간 분야별로 규정된 사이버보안 법제도를 체계화하고 산업분야 별로 협력을 강화하기 위해 사이버보안기본법 제정을 추진 중이다. 양정숙 의원실도 관련 법안을 준비 중이다. 양정숙 의원실 관계자는 "정부와 별도로 사이버보안 기본법 발의를 준비 중"이라며 "사이버 보안청 신설 관련 내용을 담을지도 현재 검토 중"이라고 말했다.