[디지털데일리 이유지기자] 사이버위협에 종합적으로 대응하기 위해 범정부 차원에서 마련한 ‘국가 사이버안보 마스터플랜’은 보완돼야한다. 실행력과 실효성을 담보할 수 있는 구체적인 계획도 마련돼야 한다.
많은 전문가들은 8일 정부가 발표한 국가 사이버안보 마스터플랜이 사이버보안 강국을 발돋움할 수 있는 범국가적 차원의 사이버위기관리 종합대책으로는 부족하다고 지적하고 있다.
이번 발표로 정부는 국가정보원이 ‘콘트롤 타워’를 맡고 각 부처가 소관분야를 담당토록 하는 사이버위기 대응체계를 명확히 해 그동안 지적됐던 사이버보안 업무 중복과 그로인해 발생하는 사각지대, 위기 발생시 혼선을 해소하겠다는 취지였다.
이 역시도 실질적인 사이버안보 ‘콘트롤 타워’의 역할에는 미흡하다고 평가되고 있다.
보안업계와 전문가들이 그간 필요성을 제기해온 ‘콘트롤 타워’는 이를 중심으로 정부부처와 관계기관이 협조해 일사분란한 대응체계를 작동하는 것만이 아니다.
국가 사이버보안관련 예산과 보안정책, 인력·조직 운영 및 양성, R&D 투자 등을 총괄하고 부처별 역할과 소관업무를 부여하고 조정하며, 필요한 우선순위를 배정할 수 있는 권한과 임무를 수행할 수 있어야 한다.
“국가정보원이 안보이는 곳에 숨어 위기 상황이 발생하면 회의를 주재하는 정도로는 제대로된 콘트롤타워의 역할이 아니다”라는 한 보안업계 대표의 지적도 새겨들을 필요가 있다.
이 대표는 “국가 사이버위기 대책을 총괄, 조정하고 우선 필요한 분야에 투자를 집중할 수 있도록 결정할 뿐만 아니라 사이버전쟁이나 위협적인 공격이 발생할 시 전면에서 진두지휘하는 역할을 해야 한다”고 말했다. 이는 업계와 학계를 막론하고 많은 보안전문가들이 지적하는 바다.
지난 2009년 7.7 DDoS(분산서비스거부) 공격 이후 수립한 ‘사이버위기 대응 종합대책’으로 이미 총괄 및 공공 분야를 담당하는 국가정보원, 민간 분야를 맡는 방송통신위원회, 국방을 책임지는 국방부의 역할은 이미 정립돼 있었다. 행정안전부, 금융위원회, 보건복지부, 교육과학부 등 각 부처들이 소관분야를 관장해 왔다.
전문가들은 정부 차원의 대응체계만 규정할 것이 아니라 국가안보를 위협하는 사이버공격, 사이버전쟁 상황이 발생했을 때 민간의 역할을 수행할 수 있는 법제도적 근거도 마련돼야 한다고 지적한다.
또 이번 마스터플랜에는 결정적으로 그간 중요하게 지적됐던 보안인력 양성과 연구개발(R&D), 예산 투자 계획까지 실효성을 담보할 계획이 빠졌다. 대신에 사이버공격 사전 예방부터 탐지, 대응, 제도와 기반의 5대 중점전략과제 추진계획이 담겼다. 이 역시 상당히 지엽적인 내용이 포함돼 있다.
예를 들어 제2금융권 보안관제 강화 등과 같은 계획은 금융을 담당하는 금융위의 세부계획에서 담아내면 될 일이다. 이미 농협 전산망 마비 등의 잇단 금융보안 사고 이후 금융 IT보안 강화 종합대책에도 반영돼 있다. 정부의 소프트웨어 개발단계에서 보안취약점 사전진단 제도 역시 행정안전부에서 추진해온 일이다. 민간기업의 정보보호관리체계(ISMS) 인증 활성화 방침도 새롭지 않다.
2년 전 발표했던 ‘사이버위기 종합대책’에서 전혀 나아지지 않았고, 오히려 미흡하다는 평가까지 나오는 이유다.
사이버 공격 사전 탐지·예방을 위해 ‘국제관문국·인터넷연동망↔인터넷서비스 사업자(ISP)↔기업·개인’ 개념의 3선 방어체계를 운영하고, 북한산 불법 SW 유통 감시·차단 활동을 강화, 용역업체에 의한 사고시 책임을 묻는다는 정도만 눈에 띈다.
국가 사이버안보 마스터플랜은 말 그대로 범국가적 차원의 종합대책이어야 한다. 그리고 더욱 중요한 것은 실행이다.
이번 마스터플랜이 가장 의미있는 것은 정부가 사이버공격이 국가안보를 위협하는 수준에까지 이르렀다는 판단 아래 사이버공간을 영토·영공·영해에 이은 제4의 국가 수호영역으로 규정하고, 종합적인 사이버위협 대응에 매진하겠다고 선언한 점이다.