[디지털데일리 이민형기자] 앞으로 국가안보를 위협하는 사이버위협 발생시 청와대가 사이버안보 컨트롤타워 역할을 수행하게 된다.

정부는 각종 사이버위협에 대응하기 위해 관계부처 합동으로 ‘국가 사이버안보 종합대책’을 마련해 시행한다고 지난 4일 밝혔다.

사이버위협 상황 발생 시 청와대로 직접 보고하고, 이후 국가안보실에서 모든 상황을 통제, 지휘하게 된다는 점이 이번 대책의 핵심이다. 실무총괄은 국가정보원이 맡게 됐다.

또 부처간 월활한 정보공유를 위해 ‘사이버위협정보 공유시스템’을 내년까지 구축하기로 했다.

이는 올해 초 버락 오바마 미국 대통령이 사이버공격 정보를 실시간으로 공유할 수 있는 ‘사이버보안 서비스프로그램’을 확대해야한다고 행정명령(Improving Critical Infrastructure Cybersecurity)을 발동한 것과 유사해 보인다.

박재문 미래부 정보화전략국장은 “사이버위협정보 공유시스템은 미래부, 국방부, 국정원 등 기관들이 보유한 정보를 서로 공유해 사이버위협에 대응하기 위해 구축을 계획하게 됐다”며 “정보공유가 훈령 등 법적으로 명시된 것은 아니지만 이번 대책 자체가 유관기간끼리 합의한 내용이기 때문에 잘 지켜질 수 있을 것”이라고 말했다.

한편 사이버위협정보 공유시스템은 정부부처간에 적용되는 시스템이며, 이와 별도로 민간 부문과의 정보제공·협력도 강화해 나갈 방침이다.

오승곤 미래부 정보보호정책과장은 “정부와 민간기업간 정보공유가 원활하게 이뤄지지 않는다는 지적을 많이 받았다”며 “정부입장에서는 악성코드 샘플 등의 정보공유로 민간기업의 실력이 향상되는 것이 좋다. 앞으로 한국인터넷진흥원 등 유관부처와 민간간의 정보공유를 강화해 나가겠다”고 강조했다.

◆청와대와 국정원이 사이버위협 대응 총괄=사이버위협 발생시 청와대가 전면에 나서 총괄 역할을 수행하게 됐다는 점은 의미가 크다. 그러나 국정원을 ‘실무총괄’로 지정하면서,
전문성을 요구하는 사이버안보 업무의 특성상 사실상의 컨트롤타워는 국정원이라는 분석이 나오고 있다.

국정원은 사이버위협 피해 발생시 원인을 규명하고 조사하는 권한도 가지고 있다. 상시로 운영되는 민·관·군 합동대응팀 지휘도 국정원이 맡고 있다.

그럼에도 이번에 실무총괄로 규정함으로써 국정원의 권한과 책임을 크게 강화시켜 줬다는 시각도 있다.

또한 그간 국정원이 사이버안보 컨트롤타워 역할을 맡아왔고, 앞으로도 국정원이 실무총괄을 담당하기 때문에 청와대가 컨트롤타워가 된다고 하더라도 시스템상 큰 변화는 없을 것으로 예측된다.

신홍순 미래부 정보보호정책과 사무관은 “이번 대책은 청와대가 사이버위협 발생 시 모든 상황을 통제하고 지휘한다는 것에 의미가 있다”며 “시스템 자체는 큰 변화가 없더라도 청와대에서 직접 상황보고를 받고 통제할 경우 기관 간 상호협력과 공조가 강화될 수 있을 것”이라고 설명했다.

◆국내 보안업계, 특수 누릴까=‘국가 사이버안보 종합대책’으로 국내 보안시장이 크게 커질 것으로 예상된다.

정부는 사이버위협에 대응할 수 있는 기반을 만들기 위해 주요정보통신기반시설을 확대하고, 국가기반시설에 대해 망분리 솔루션을 도입할 계획이다. 또 정보보호관리체계(ISMS) 인증대상을 확대한다

현재 미래부는 민간분야 주요정보통신기반시설(59개 관리기관, 76개 관리시설)에 대한 보안점검을 실시하고 있다. 점검 이후 기반시설의 정보보호 취약점을 개선하고 내년도 보호대책에 반영할 계획이다.

또 방송·정유·가스·의료 등 민간분야 중요 시설에 대한 정보통신기반시설 신규 지정 여부를 심사하기 위한 표준 평가기준도 마련해 주요정보통신기반시설의 신규 지정 확대(209->400개)도 추진한다.

주요정보통신기반시설이 확대되면 보안컨설팅 전문업체 지정도 덩달아 늘어나고, 국내 보안시장의 확대로 이어질 것으로 기대된다.

정부는 현재 금융회사에만 의무화 돼 있는 망분리 솔루션을 국가기반시설에 적용할 계획이다. 이미 일부 공사와 지자치에서는 망분리 사업을 발주해 추진하고 있다.

박 국장은 “내부망과 외부망을 분리시켜 사이버위협으로부터 국가기반시설을 보호할 수 있도록 망분리 솔루션 도입을 확대할 계획”이라고 말했다. 이에 따라 안랩, 미라지웍스, SGA 등 국내업체들의 움직임도 빨라질 것으로 기대된다.

또 ISMS인증 의무대상이 기존 250여개에서 500여개로 늘어남에 따라 보안컨설팅 시장활성화도 기대된다. 현재 확대 적용되는 대상의 기준은 나오지 않았으나, 의무대상에서 제외됐던 연매출액 100억원 이하인 영세 VIDC, 정보통신서비스 사업자들이 포함될 가능성이 높아보인다.

<이민형 기자>kiku@ddaily.co.kr