법이 없어 북 사이버테러 알고도 당했다는 ‘국정원의 궤변’

[한겨레] 도 넘은 ‘공포 마케팅’

지난달 당·청에 “테러 준비” 보고

위기경보 한단계 올려놓고도

“정부인사 휴대폰 해킹당해” 발표

현재도 기관들 보안시스템 통제

스스로 무능·무책임 자인한 셈

“법안 처리위해 분위기 조성” 지적

국가정보원이 8일 서울 서초구 내곡동 청사에서 ‘국가사이버안전관리규정’에 따라 14개 정부부처가 참석한 가운데 긴급 국가사이버안전대책회의를 열고 있다. 국가정보원 제공

국가정보원 국가사이버안전센터가 발령하는 사이버위기경보는 8일 현재 ‘주의’ 단계다. 북한 장거리 로켓 발사 뒤 ‘추가 도발 대비’를 위해 지난달 11일 오전 11시 ‘관심’에서 한 단계 올린 지 27일째다. 주의 단계에서는 국가 정보시스템 전반의 보안을 강화해야 한다. 이 업무를 책임지는 것은 국정원이다.

국정원은 8일 14개 정부부처가 참석한 가운데 긴급 국가사이버안전대책회의를 열었다. 이 자리에서 “북한이 지난달 말부터 이달 초 사이에 정부 주요 인사 수십명의 스마트폰을 해킹해 음성통화 내용과 내역, 문자메시지, 전화번호를 절취했다. 이에 해킹 경로 추적 등 긴급대응에 나섰다”고 밝혔다. 또 “지난달 북한 해킹조직이 국민 2천만명 이상이 사용하는 인터넷뱅킹·결제 보안소프트웨어 제작업체 내부 전산망에 침투했으며, 금융기관 보안소프트웨어 납품업체도 북한에 해킹된 사실이 드러났다”고 했다.

국정원은 지난달 18일 청와대와 새누리당에 “김정은 북한 노동당 제1비서가 사이버테러 역량을 결집하라고 지시했고, 이에 북한 정찰총국 등이 준비하고 있다”고 보고했다. 정부 고위급 인사들의 스마트폰이 털리고 시민 수천만명에 영향을 줄 수 있는 해킹 공격이 이뤄졌다는 시점은, 국정원이 사이버위기경보를 격상하고 대남공작을 총괄하는 정찰총국의 동태까지 파악하고 있던 때였다. ‘알면서도 당했다’는 것인데, 국정원은 이날 “사이버테러방지법이 없어서”라고 주장했다. 해킹당했다는 기관들의 보안시스템과 프로그램, 정보통신망은 지금도 규정에 따라 모두 국정원이 실시하는 보안적합성과 암호 검증을 통과해야만 한다. 이번 해킹을 막지 못한 원인이 ‘사이버테러방지법이 없어서’는 아니라는 얘기다.

국가 기간시설인 철도 관련 기관들은 북한으로 추정되는 해킹 시도를 여러 차례 받아왔다. 코레일은 2014년 8월에도 내부 자료가 유출됐지만, 국정원은 넉달이 지난 12월에야 이 사실을 인지하고 대응에 나섰다. ‘정찰총국의 국가 기간시설 테러’를 미리 경고했던 국정원은 이날 “북한이 지난 1~2월 지방 철도운영기관 직원들의 메일 계정과 패스워드 탈취를 시도했다. 철도교통관제시스템에 사이버테러를 하기 위한 준비단계였다”고 했다.

테러방지법이 없어 일을 못 한다던 국정원은 지난해 이슬람국가(IS)의 프랑스 파리 테러 직후에도 “국내 아이에스 추종자 수십명을 찾아내 추방했다”며 테러 공포를 국내로 끌어들인 뒤 법안 처리를 요구했었다. 한 보안전문가는 “국정원이 이번 기회에 사이버테러방지법까지 얻기 위해 (북한 해킹 사실을 발표하며) 분위기를 잡으려는 것으로 보인다”고 했다. 그는 “사이버테러의 경우 공공·민간 부문을 명확하게 구분하기 어려운 점이 있어 현재 공공기관에 한정된 국정원 업무에 어려움이 있을 수 있다”면서도 “테러방지법과 달리 여야 협의도 제대로 이뤄지지 않은 상황에서 법안이 통과되는 것은 문제가 있다. 국정원의 사이버 업무를 감독하는 독립기구 설치나 한국인터넷진흥원이 국정원에 넘어갈 민간정보를 중간에서 걸러주는 방안 등을 검토해야 한다”고 했다.

김남일 기자 namfic@hani.co.kr

공식 SNS [페이스북] [트위터] | [인기화보] [인기만화] [핫이슈]

Copyrights ⓒ 한겨레신문사, 무단전재 및 재배포 금지

<한겨레는 한국온라인신문협회(www.kona.or.kr)의 디지털뉴스이용규칙에 따른 저작권을 행사합니다.>