Home > 전체기사
국가 사이버위기관리법 제정 필요...콘트롤타워 설치와 역할이 쟁점
  |  입력 : 2013-03-31 12:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

서상기 의원실, 국가사이버위기관리법 제정 공청회 개최


[보안뉴스 김태형] ‘3.20 대란’ 등 사이버 공격에 대한 국가 차원의 체계적인 대응을 위해 국정원장 직속으로 국가사이버안전센터를 두는 것을 핵심 내용으로 한  국가사이버위기관리법 제정 공청회가 29일 국회에서 개최됐다.


      


이 법안 발의를 준비 중인 새누리당 소속 서상기 국회 정보위원장 주최로 열린 이날 공청회 참석자들은 현재 대통령 훈령에 근거한 사이버 위기 대응 한계와 콘트롤 타워의 부재 등의 문제점을 지적하면서 국가사이버위기관리법 제정의 필요성을 인식했다.


서상기 의원은 국정원에 콘트롤타워를 설치해 사이버테러 위협에 효과적으로 대응하고 공공분야 뿐만 아니라 민간 분야, 즉 전력·교통·통신·방송 등을 포함해 국정원이 모든 분야를 총 지휘해야 한다고 주장했다.


그러나 국정원에 사이버 위기관리를 위한 ‘콘트롤타워’를 두는 것이 과연 적절한지에 대해서는 이견이 있어 논란이 되고 있다. 특히 국정원이 공공기관은 물론 민간 분야까지 총괄해 관여하는 것에 대한 우려의 목소리가 높다.


국정원이 콘트롤타워의 역할을 하려면 국정원에 집중된 권한에 대한 견제와 사이버 정보 관리의 투명성을 높이기 위한 법적·제도적 장치의 마련도 필요하다는 지적이다.


이날 주제 발표를 맡은 임종인 고려대학교 정보보호대학원 원장·교수는 “지난 2006년과 2008년에도 관련법이 발의됐지만 실패한 이유는 국정원에 권력이 집중되고 민간 영역에까지 권한을 갖는다는 부분과 국정원에 의해 개인정보가 오·남용될 가능성에 대한 우려때문이다”라고 설명했다.


임 교수는 “이에 국정원을 견제할 수 있는 법·제도적인 장치를 마련해서 국정원의 콘트롤타워 역할에 대한 우려를 최소화해야 한다”며 “청와대에 사이버안보수석이나 1급 비서관 이상의 사이버안보조정관을 두고 사이버안보 분야에 관한 신속한 집행과 국가사이버안보체계의 안정적 운영과 정보공유를 해야 한다”는 방안을 제시했다.


그는 또는 “법률안에서 이러한 견제장치가 마련되지 않으면 국정이 국가 사이버 안보와 관련한 컨트롤타워의 역할을 하기는 매우 어려우며 사이버 공격의 정의 및 사고 발생시 단계별 매커니즘이 확립되어야 한다”고 강조했다.


이러한 국가사이버안전세터는 공공기관 뿐만 아니라 민간분야까지 커버하고 국가정보원장은 국가사이버 위기관리 종합계획을 수립해 이에 기본 지침을 작성해서 각 기관의 책임관에게 배포해 이행하도록 해야 한다는 것이다.


현재 찬성 논리는 전문적이고 기술력을 갖고 있는 기관이 맡아야 하고 국가정보원이 실제 콘트롤 타워의 역할을 하고 있다는 것이고 반대 논리는 국정원의 불법 민간 사찰 등의 신뢰성 및 민간 정보 등의 개방성 및 투명성이 없다는 것이다.

이에 대해 토론 패널로 참석한 류재철 충남대 컴퓨터공학과 교수는 “사이버 공격 대응을 위해서 필요한 것은 네트워크상의 보안관제, 즉 무슨 일이 일어나는지 살펴보고 대응해야 한다는 것이다. 현재 25개 주요 시설에 대한 보안 관제를 총괄하는 국가사이버안전센터가 사실상의 콘트롤타워 역할을 하고 있지만 이를 강화해 공공과 민간부분까지 관제할 수 있어야 한다”고 말했다.

또한, 그는 “이게 아니면 핵심적인 역할 할 수 있는 총괄적인 별도의 조직이 필요하다. 이 별도의 조직이 국가사이버안전센터의 역할도 할 수 있도록 기능과 권한을 확대하는 것도 방안이라고 생각한다”고 주장했다.

 

이어서 정준현 단국대 법학과 교수는 “보안은 사람이 가장 중요하다는 말에 공감한다. 전자정부 1위의 우리나라가 악성코드 감염 및 유포지도 1위라는 것은 역설적이다. 국가 사이버위기관리법의 제정은 늦었지만 중요한 시기에 필요한 타당한 법이라고 생각한다”고 말했다.

 

이어서 그는 “법안 내용을 세부적으로 보면 국정원의 민간인 불법사찰 등의 문제와 관련한 책임만 있고 권한에 대한 규제나 법이 없다. 이러한 법을 만들어 타탕한 활동을 보장해야 한다”면서 “현재 법 조항에 조사 목적으로 제공받은 정보를 부정 사용할 경우에 대한 처벌 규정이 빠져 있다. 국정원이 제공받은 정보를 다른 목적으로 사용했을 때의 처벌할 수 있는 조항도 추가해야 한다”고 말했다.

손기욱 국가보안기술연구소 사이버연구본부 본부장은 “사이버 위협을 예방하고 사고발생시 신속한 원인 규명 및 조치를 위해 이 법은 필요하다. 그러기 위해서는 여러 기관, 즉 민간 기업, 연구소, 공공기관 등에서 갖고 있는 다양한 정보들을 활용해 사고 대응에 중요한 역할을 할 수 있도록 해야 한다”면서 “이러한 정보들이 국가사이버 안보 등을 위해 공유되어야 하는데 현재는 그렇지 못하다”고 지적했다.

또한 그는 “이를 위해서 국가 주요 공공기관에서는 평소에도 포렌식 도구의 준비 및 사용을 의무화 또는 강제화 해야 할 필요가 있다. 이는 사고 분석을 얼마나 빨리 하느냐에 따라 대응 조치가 조속히 나올 수 있기 때문이다”라고 밝혔다.


그리고 그는 주요정보통신기반시설 및 국방 등의 국가 주요 기관의 IT 시스템 및 SW도입 시 취약점 및 안정성 점검이 반드시 필요하다고 강조했다.


이창범 한국사이버안보법 정책학회 박사는 “기존 우리나라의 사이버위기 관리체계는 잘 구축되어 있다고 생각한다. 하지만 모든 법들이 각 주체별 권한과 기능별로 갈라져 있어 공조되지 않는 점이 문제다”라고 지적했다.


그는 “새로운 콘트롤타워를 만드는 것 보다는 기존의 각 주체별 기능과 권한의 협력관계 구축이 중요하다. 폐쇄적이기 보다는 수평적 협력적관계로 재편되어야 하고 이를 통한 수평적 정보공유 시스템을 구축해야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)