[디지털데일리 김보민기자] 국가정보원(이하 국정원)이 대규모 시스템 장애에 대응할 핵심 조직 '사이버119'를 신설한다. 기존 대응 조직의 활동 범위가 수도권에 몰려있다는 한계를 극복하기 위해, 전국 단위로 운영 생태계를 확장한다는 구상이다.

지난해 11월 발생한 행정전산망 마비 사태를 반복하지 않겠다는 의지도 깔려 있다. 당시 정상화 작업이 늦어진 탓에 일각에서는 "골든타임을 놓쳤다"는 비판이 제기된 바 있다.

국정원은 10일 서울 서대문구 스위스그랜드호텔에서 열린 제13회 정보보호의날 기념식 및 국제 정보보호 콘퍼런스에서 사이버119 추진 계획을 소개했다. 이날 발표를 맡은 사이버정책 담당관(이하 관계자)은 "국정원은 관계기관과 합동으로 전국 단위 사이버119 조직을 신설하고 있다"며 "조만간 자세한 내용을 공개할 것"이라고 밝혔다.

사이버119는 지난해 5월 공식 출범한 국가사이버위기관리단(이하 국사단)의 한계를 일부 보완할 수 있을 것으로 보인다. 국사단은 국가위기관리기본지침에 따라 국정원과 정부·공공·민간 전문가들이 합동으로 대응 활동을 수행하자는 취지로 출범했다. 국가안보실은 이를 감독하는 역할을 하고 있다.

행정망 사태 당시 국사단 내 신속지원팀은 현장에 급파됐지만, 수도권을 중심으로 활동하고 있다는 특징 때문에 즉각 대응이 어렵다는 한계가 있었다. 국정원 관계자는 "신속 대응 혹은 신속 대응이라는 용어가 무색할 정도로 어려운 부분이 있었다"라고 설명했다. 지방을 비롯해 전국적 위기 상황이 발생했을 때 골든타임에 맞춰 출동하거나 초등 대응을 하는 데 한계가 있었다는 취지다.

사이버119는 전국 단위로 ▲해킹에 의한 대규모 장애 발생 시 현장 급파 ▲해킹 원인 현장 조사 및 분석 ▲서비스 정상 복구 및 안정화 지원 등 임무를 수행한다. 수도권, 충청권, 영남권, 호남권, 제주권 등 5개 권역으로 구분돼 활동하며 44개 기관(약 130명 구성)이 참여할 전망이다. 침해사고 조사 혹은 분석 역량을 갖춘 인력이 대응 작업에 투입된다.

중대 사고가 발생했을 시 국정원은 해당 권역 사이버119를 소집하고 가동할 수 있게 된다. 수도권은 국사단 신속지원팀(국정원, 검찰, 경찰청, 국군방첩사령부, 사이버작전사령부, 한국인터넷진흥원, 금융보안원)을 중심으로 운영되며, 권역별 관계 기관도 대응 명단에 이름을 올린다. 충청권은 18개, 영남권은 14개, 호남권은 11개, 제주권은 9개 기관이 참여한다. 참여 기관은 권역별로 중복될 전망이다.

사이버119 합동 대응 요건은 ▲국가 차원의 주요 정보통신망 및 정보시스템 대규모 마비 ▲침해사고가 전국적으로 발생했거나 피해범위가 대규모인 사고 ▲다수 기관과 관련된 국가배후 해킹조직의 침해 사고 ▲피해기관 또는 사이버119 참여기관에서 기관 이외로 피해가 확대될 것으로 판단해 지원을 요청하는 경우 등으로 나뉜다.

국정원은 합동 대응 난도를 판단할 3가지 단계도 준비 중이다. 1단계의 경우 단일 기관 역량으로 조속한 대응이 불가능한 사이버 위기가 발생할 경우 가동된다. 침해사고 관련 기관이 15개 미만일 경우 1단계에 해당된다. 1단계의 경우 사이버119 운영 규모는 정원 50% 이내로 한정된다.

다만 다수 정보통신망 및 정보시스템에 장애가 발생했고, 유사 침해사고 발생기관이 3개 이상 혹은 관련 업체가 15개 이상일 경우 2단계에 해당된다. 2단계에는 정원 50% 이상이 투입된다.

국가 차원의 대규모 장애 혹은 마비가 발생했을 때는 3단계로 분류된다. 이때는 비상 상황으로 인지돼 전원이 투입된다. 국정원 관계자는 "이런 3단계까지 가기 전 예방을 하는 것이 중요하다"고 강조했다.

한편 이날 콘퍼런스 현장에서는 정부에서 추진하는 주요 정책 추진 방안에 대한 발표가 이어졌다. 과학기술정보통신부(이하 과기정통부)는 통합보안플랫폼을 추진하는 'K-시큐리티 얼라이언스'를 소개했고, 국방부는 '사이버보안 위험관리 제도(K-RMF)'를 설명하는 시간을 가졌다.