[디지털데일리 이종현기자] 윤석열 대통령의 주요 공약 중 하나였던 국가 사이버보안 컨트롤타워 구성에 탄력이 붙고 있다. 국가정보원(이하 국정원)이 국가사이버안보 기본법을 입법예고했는데, 국정원에 대한 불신이 발목을 잡는 모양새다.
지난 8일 국정원은 국가사이버안보 기본법 제정안을 입법예고했다. 12월 19일까지 국민참여입법센터를 통해 의견을 수렴한다.
현재 사이버보안은 공공의 경우 국정원, 민간은 과학기술정보통신부(이하 과기정통부), 군은 국방부 등으로 나뉘어 대응하는 중이다. 부처별 역할의 혼선이나 업무영역의 중복 등 비효율화가 초래되고 있다는 문제의식이 법안 제정 배경이다.
해당 법안에서는 국가 사이버보안 컨트롤타워인 대통령 직속 국가사이버안보위원회 설치를 명시하고 있다. 국정원, 개인정보보호위원회(이하 개인정보위) 등 중앙행정기관장과 국회 정보위원회의 추천을 받은 민간 전문가 등 20명의 위원을 대통령이 위촉한다는 내용이 담겨있다. 입법추진 과정에서 개인정보위가 위원회 참여를 요청해 합류했다.
제정안 제8조를 통해 부처간 정보 공유도 의무화했다. 사이버안보 위협 행위에 대한 국가 차원의 신속하고 효율적인 대응을 하기 위해 정부 부처가 소관 법령에 따라 각기 수집·작성·처리하는 사이버위협 정보를 상호 공유할 의무를 부과한다는 내용이 포함돼 있다.
사이버보안이 중요하다는 것은 줄곧 강조돼 왔음에도 해당 법안이 논란이 된 것은 제9조(통합대응 조직의 운영)과 제13조(국회 등의 보고) 때문이다.
각 부처나 수사기관, 민간기업 등이 참석하는 통합대응 조직을 국정원에서 설치·운영토록 했는데, 결국 국정원이 컨트롤타워를 맡겠다는 것 아니냐는 볼멘소리가 나오는 중이다. 국가사이버안보위원회의 통제를 받도록 돼 있으나, 국가사이버안보위원회 자체가 실무적인 역할을 하지 않는 기구인 만큼 크게 의미부여할 수 없다는 지적이 적지 않다.
쐐기를 박은 것은 제13조의 국정원장이 사이버안보에 관련된 국내·외 정보를 수집·종합 및 작성하라는 내용이다. 사실상 민간인 사찰을 합법화하는 것 아니냐는 우려가 제기된다. 폐쇄적인 조직 특성상 국정원이 어떤 정보를 어느만큼 수집하는지를 파악하는 것은 어렵다.
국정원의 비밀주의가 지나치다는 비판은 어제오늘의 일이 아니다. 국정원은 정보기관이 사이버보안 컨트롤타워를 맡아서는 안 된다는 주장에 대해 미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA)의 예시를 들었는데, CISA의 경우 한국 국정원 대비 보다 적극적인 정보공유를 하는 편이다.
국정원은 이와 같은 비판이 일자 10일 “민간인 사찰 가능성 주장은 사실이 아니다”라며 “수집하는 정보는 사람이 아닌 사이버공격과 관련된 제한적 정보”라고 반박했다. 또 “통합대응조직은 국정원, 국방부, 과기정통부 및 민간 기업이 대등하게 참여해 상호협력하는 조직”이라며 국정원이 컨트롤타워를 맡게 되는 것이 아니라고도 했다.
그러나 국정원의 반박을 그대로 받아들일 경우 통합대응조직을 국정원에 둬야 할 이유도 없는 것이 사실이다. 오히려 덜 폐쇄적인 기구를 두고 국정원이 거기에 합류하는 것이 논란의 여지를 없앨 수 있지 않냐는 의견도 제시되고 있다.
또 사이버위협에 대응하기 위해 수집되는 정보를 사람에 대한 정보, 위협에 대한 정보로 딱잘라 구분한다는 것은 불가능하다는 것이 업계 전문가들의 일관된 목소리다. 수사 및 대응을 위해 포괄적인 정보를 들여다 볼 수밖에 없으며, 오히려 사람에 대한 정보를 뺀 채 사이버보안에 대응한다는 것은 임무를 방기하는 것이나 마찬가지라는 비판도 나온다.
사이버보안 업계 관계자는 “법안의 최대 문제는 국정원에 굉장히 많은 힘을 실어주는 반면, 국정원을 견제하기 위한 장치는 너무 미흡한 점”이라며 “국정원이 사이버보안 컨트롤타워로서 제격이라는 것은 공감한다. 그러나 별다른 안전장치 없이 그 역할을 맡긴다면, 늑대를 피하려다가 호랑이를 만나는 꼴이 될 수도 있다”고 말했다.
이어서 그는 “무언가를 얻기 위해서는 무언가를 포기할 수밖에 없다. 사이버보안이 특히 그렇다. 개개인이 100자리의 비밀번호를, 서비스별로 다르게 사용한다면 보안 수준은 굉장히 향상될 거다. 하지만 현실적으로 그러지 못한다. 사용성을 위해 보안을 일부 포기하는 것”이라며 “이번 논란도 마찬가지라고 본다. 사이버보안을 강화하기 위해 사찰의 가능성을 일부 열어줘야 한다는 것인데, 이에 대한 사회의 이해를 얻는 과정이 필요하다고 생각한다”고 전했다.
또 다른 관계자는 이태원 핼로윈 참사를 언급하며 “이태원 참사 당시 경찰이 보다 적극적이게 개입했다면 참사를 막을 수 있었다고들 한다. 사이버보안도 사고 이후에는 ‘왜 조치를 안 했냐’는 얘기가 나올 것”이라며 “사이버보안 컨트롤타워를 만드는 것은 꼭 필요한 일이다. 어떤 방향으로든 건설적인 토론이 이어졌으면 한다”고 피력했다.
한편 국정원이 입법예고한 국가사이버안보 기본법은 이후 여러 과정을 거치게 된다. 법제처 심사, 국무회의 심의, 대통령 재가, 국회 심의·의결 등 적잖은 산을 넘어야 한다. 이 과정에서 다수 내용이 개정될 것으로 예상된다.