[채텀하우스 좌담]北 해킹 위협, 전쟁은 이미 시작됐다

'실전 양성' 北 해커들 공격력 세계적 수준

러-우크라 전쟁에서 나타난 사이버戰 위협

사이버 안보법, 보안 솔루션 도입 등 과제

편집자주북한의 사이버 공격이 날로 심화하고 있다. 가상자산과 정보를 탈취하는 수준을 넘어 대국민 혼란을 노린 공작도 포착된다. 보이지 않는 사이버 공간에서의 위협은 현실로 다가왔다. 북한의 위협 수위는 이미 '레드라인'을 넘었지만, 실제적 위험도가 어느 정도인지 체감하는 건 쉽지 않다. 아시아경제는 지난 22일 서울 중구 아시아미디어타워에서 북한의 해킹 실태를 진단하고 사이버 안보 과제를 고민하는 '채텀하우스 좌담회'를 마련했다. 문종현 지니언스 시큐리티센터장, 윤민우 가천대 경찰안보학과 교수, 이진 사이버안보연구소(NCSL) 소장, 임종인 대통령실 사이버특별보좌관(가나다순)이 참석했다. 채텀하우스는 외교·안보 분야 최정상급 연구기관으로 꼽히는 영국 왕립국제문제연구소(RIIA)의 별칭이다. 좌담회는 참석자 명단을 공개하되, 각 토론자의 발언은 익명 처리하는 '채텀하우스 룰'을 따랐다.

▶사회 = 소종섭 정치사회 매니징에디터

<사회> 대법원 전산망·방산업체 해킹 등 최근 북한의 해킹 공격과 관련한 뉴스가 많다. 북한의 해킹·사이버 공격 능력은 어느 정도 수준인가.

북한의 사이버 위협

<토론자 A> 세계에서 다섯 손가락 안에 든다. 북한은 지킬 게 별로 없기 때문에 공격에 집중한다. 공격력에 있어서는 세계적인 수준이라고 할 수 있다. 가상화폐 거래소를 해킹하거나 랜섬웨어로 협박해 돈을 뜯는 게 대표적이다. 최근 5년간 해킹으로 30억 달러(약 3조 9800억원) 이상을 마련했다고 한다. 지난 6~7월에는 일본·인도 가상화폐 거래소를 공격해 일주일 만에 5억 5000만 달러(약 7300억원)라는 엄청난 돈을 탈취했다. 핵·미사일 개발에 필요한 각종 자금으로 활용된다.

최근에는 방산업체에 대한 공격이 문제다. 한국 무기들이 첨단·고도화하면서 'K-방산'이 경쟁력을 갖추다 보니, 북한도 그에 대응해서 무기체계 고도화 필요성을 느낄 것이다. 대기업은 (보안이) 튼튼한 편이지만, 협력업체 등은 아무래도 한계가 있다. 공격을 많이 받는 중소 방산업체들을 어떻게 도울 것인지 최근 대통령실 차원에서 긴급점검회의를 하기도 했다.

이 밖에도 가짜뉴스로 인한 위협이 큰 문제가 되고 있다. 오는 11월 미국 대선뿐만 아니라 (우리나라의) 지난 총선 당시에도 가짜뉴스에 대한 우려가 굉장히 많지 않았나. 올해 유엔 사이버 안보회의에서도 가짜뉴스에 의한 선거 개입과 민주주의에 대한 위협, 사회 주요 기반시설 공격, 가상화폐 거래소 공격 등이 문제로 거론됐다. 북한은 이런 공격들에 모두 능하다.

<토론자 B> 공식적인 기록에 따르면 2009년 7·7 디도스(DDoS) 사건(한국과 미국의 주요 정부기관·포털·은행 사이트 등이 공격당해 서비스가 일시적으로 마비된 사건)을 많이 이야기하는데, 사실 2003년에 (북한이) 악성파일을 만든 기록도 발견되고 있다. 북한은 김정일 시대부터 '사이버전(戰)' 개념을 만들고 젊은 학생들을 체계적으로 육성하기 시작했다.

초기에는 (북한이) 기술적으로 대단히 약했다. 악성 프로그램도 간단하고 기능적으로도 분석이 용이했다. 지금은 자체적인 암호화 알고리즘도 악성 프로그램에 많이 넣고 있다. 실제 (북한의) 코드들을 보면 정체를 알 수 없도록 숨기고 은닉하는 '바꿔치기 기법'을 많이 쓰고 있다. 중국이나 러시아가 공격한 것처럼 위장하는 등 의도적인 작업들을 많이 한다. 과거와 현재를 일대일로 비교하자면 기술적으로 굉장히 성장했다고 볼 수 있다.

투자도 많이 한다. 정권 차원에서 해커를 양성한다. 김정일-김정은 정권으로 이어지는 과정에서도 굉장히 체계적으로 교육해왔고, 특히 수학·과학·컴퓨터 영재들을 잘 선발해서 내부적으로 육성하고 있다는 게 피부로 느껴질 정도다.

<사회> 국민이 현실적으로 느끼기엔 거리감이 있는 듯하다. 북한의 사이버 공격 위험도는 어느 정도라고 봐야 하나.

22일 서울 중구 아시아미디어타워에서 '북한의 해킹 실태 진단과 사이버 안보 분야 과제'를 주제로 열린 채텀하우스 좌담회에서 패널들이 토론하고 있다. (왼쪽 아래부터 시계 방향으로) 소종섭 아시아경제 정치사회 매니징에디터, 이진 사이버안보연구소(NCSL) 소장, 문종현 지니언스 시큐리티센터장, 윤민우 가천대 경찰안보학과 교수, 임종인 대통령실 사이버특별보좌관. 윤동주 기자 doso7@

<토론자 B> 과거에는 공격, 특히 군사 정보에 집착했다. 그 과정에서 북한식 표현들이 실수로 많이 발견되기도 했다. (북한이 심은) 악성 프로그램에 문서 파일을 수집하는 기능이 있었는데, 군대 편성 단위를 '려단(여단)'이라고 표현한 키워드가 나왔다. 두음법칙을 쓰지 않는 북한의 고유한 언어 법칙이 초창기 악성 파일에서 단서로 많이 발견됐다. 2013년 3·20 전산망 마비사태 땐 아예 평양 IP 주소까지 포착됐다. 이제는 공격자가 노출되지 않도록 하는 전술이나 위장도 많이 고려한다.

방글라데시 은행 해킹 사건이 발생했던 2016년을 기점으로 가상자산(비트코인) 거래소 등 외화 자금을 벌어들이는 데 초점을 맞추고 있다. 정권의 통치 자금으로 활용하거나, 핵·미사일을 개발하는 데 필요한 자금을 조달한다.

사실 지난해 초 대국민적 공격이 있었다. 국민 대부분이 인터넷 뱅킹이나 국세청 홈택스 접속 때 설치하는 대표적 공인인증서 프로그램을 해킹하고 소스를 탈취했다. 이 소프트웨어의 취약점을 악용해 메이저급 언론사 홈페이지 8곳을 해킹했다. 누구나 아는 언론사 홈페이지가 해킹됐다는 건 무작위 공격이 가능했다는 뜻이다. 당시 사건을 분석하면서 가장 놀랍고 겁이 났던 부분이다. 하지만 북한은 (대국민 공격에 필요한) 인프라를 모두 세팅해놓고, 특정 방산업체나 IT 기업들에 대해서만 악성코드 명령이 내려가도록 필터링을 걸어놨다. 만약 그 필터링이 걸려 있지 않았다면, 정말 대국민 공격이 일어나 엄청난 혼란이 초래됐을 수 있다.

이런 공격은 언제든지 또 일어날 수 있다. 우리나라는 특히 인터넷 의존도가 높지 않나. 미사일 등 무기도 다 컴퓨터로 제어한다. 공격자 입장에선 실제 전쟁이 일어났을 때 사이버 공간을 어떻게 활용할 것인지 작전 계획을 만들 것이다. 사이버 안보라는 개념이 눈에 보이지 않을 뿐이다. 이미 굉장히 위험한 수준에 이르렀고, 모든 국민이 경각심을 가질 필요가 있다.

<토론자 C> 정찰총국이라 부르는 조직이 핵심이다. 우리나라는 국가정보원에서 컨트롤하듯이 북한의 공격용 해킹에 대해서는 정찰총국이 모든 정책·전략을 세우고 사람을 뽑아 교육한다. 유학을 보내거나 특정 그룹을 구성하는 것도 그렇다.

이 중에는 평소 중국의 일반 IT 회사에서 멀쩡하게 일하다가 저녁에 모여 돈을 벌기 위해 해킹을 하는 경우도 있다. (북한 해커들에 대한) 보상을 알아보니 처우가 굉장히 좋았다. 해커들이 받는 인센티브를 자세히 밝힐 순 없지만, 중국에서 일반 직장인이 도저히 만질 수 없는 금액이다. 한국 대기업 연봉 이상으로 벌고 있다. 북한에 있는 가족에게 송금할 수도 있다.

<토론자 D> 사람을 공략해서 해킹할 수도 있고, 해킹으로 사람의 인지 구조나 지휘·명령체계에 영향을 미칠 수도 있다. 최근 대전 지역 병원에서 환자 개인정보가 털렸다는 소식을 들었다. 기자가 '왜 환자 정보를 탈취했을까' 묻기에 그 병원의 주 이용 고객이 누구인지 되물었다. 국방과학연구소(ADD) 연구원이 많다고 했다. 개인정보를 얻으면 그것으로 어떤 사람을 포섭할지 식별할 수 있다는 점을 생각해야 한다. 가족이 암을 앓는다거나 하는 여러 가정사가 스파이 포섭에 엮이는 모멘텀이 되는 거다. 주요 시설이나 거점들은 보안이 잘 돼 있지만, 내부자를 포섭해 공격할 수 있다. 국군정보사령부 정보 유출도 내부자 소행 아니었나.

북한이 사이버전과 재래식 전쟁을 어떻게 결합할 것인지도 추론해 봐야 한다. 북한의 전쟁 방식은 소련-러시아 전술에 기반한 전통적 3단계다. 항공 포격과 미사일 화력으로 전선을 강타한 뒤 진출로가 열리면 전차·기계화 보병을 몰아넣는다. 이렇게 서울과 대전 이남으로 중심을 돌파하면서 전체 국면을 잡아가는 게 기본 전략이다. 여기에 0단계가 생겼다. 사이버전과 인지전이다. 이미 러시아-우크라이나 전쟁에서 나타났다. 물리적인 화력전 이전에 대규모 사이버 공격과 가짜뉴스가 밀고 들어오는 것이다. 공격 주체 식별이 불가능한 단계에서 정부가 고립되고 대중이 동요하면서 주요 기반시설과 거점이 (공격) 당할 수 있다.

<사회> 국가정보원은 최근 북한의 해커가 8400명 정도 된다고 밝혔다. 라자루스·안다리엘·김수키 등 언급되는 조직도 다양하다. 모두 정찰총국이 관장하는 것인가.

22일 서울 중구 아시아미디어타워에서 '북한의 해킹 실태 진단과 사이버 안보 분야 과제'를 주제로 열린 채텀하우스 좌담회에서 문종현 지니언스 시큐리티센터장이 발언하고 있다. 윤동주 기자 doso7@

<토론자 A> 우리나라는 기관에 속한 해커도 있고, 학계에 계신 분들도 있고 다양하다. 북한에서 해커라면 일단 군이나 정부에 속해 있다고 봐야 한다. 중국 기업 화웨이가 인민군과 연계돼 있듯이 북한 해커들도 정부에서 관리한다고 볼 수 있다.

해커들의 숫자는 계속 늘어나고 있다. 잠재적인 예비군 개념까지 합치면 훨씬 더 많을 거다. 가족의 안정도 보장되고 경제적 인센티브도 워낙 좋지 않나. 아주 어릴 때부터 수학·과학 영재들을 뽑아 국가에서 체계적으로 훈련시키고, 해마다 100명씩 선발해서 평양에 45평짜리 아파트를 준다는 정보도 있다. 그곳으로 가족을 이주시키지만, 결국 다 인질인 셈이다.

<토론자 B> 라자루스·안다리엘·김수키 등 이름들은 대부분 민간 보안업체가 만든 것이다. 2014년 소니픽처스가 해킹당했을 당시 공격자가 사용한 가짜 계정을 보면 '라자루스'라는 영문식 이름이 닉네임으로 쓰였다. 이를 분석한 미국의 보안 전문가는 보고서에 (북한 대신) 그 호칭을 인용했다. 공격의 배후가 북한이라는 완벽한 수사 결과가 나오기 전이었기 때문이다.

김수키(Kimsuky) 역시 공격자 이메일에 나온 '김석양(Kimsukyang)'이라는 이름에서 유래했다. 러시아 보안업체에서 보고서를 쓸 때 'ang'를 잘라버리고 '~스키'로 끝나는 러시아식 이름처럼 임의로 인용한 것이다. '라자루스'나 '안다리엘'은 사실 모두 '디아블로'라는 온라인 게임에 등장하는 캐릭터다. 이런 내막을 알면 그룹명이 일종의 코미디라고 할 수 있겠다.

과거 '일종의 금기'가 있었다. 민간에선 이미 북한의 소행인지 여부를 기술적으로 검증할 수 있었지만, 정치적 이슈로 변질될 수 있어 공격의 배후가 북한이라고 직접 언급하기 어려웠다. 이렇다 보니 라자루스에 관한 보고서가 나왔을 때 북한이 '미국의 보고서를 봐라, 우리가 아니라 라자루스라고 하지 않느냐'며 심리전을 펴기도 했다. 언론에서 정찰총국 또는 국가보위성이라고 직접적으로 표현해주면 좋겠다. 북한의 공격이란 걸 명확히 알 수 있게 표현해야 경각심을 가질 수 있지 않을까.

<사회> 북한 해커들의 공격과 관련해 최근 주목할 점이 있다면?

22일 서울 중구 아시아미디어타워에서 '북한의 해킹 실태 진단과 사이버 안보 분야 과제'를 주제로 열린 채텀하우스 좌담회에서 윤민우 가천대 경찰안보학과 교수가 발언하고 있다. 윤동주 기자 doso7@

<토론자 D> 한국 해커들과 달리 북한의 해커들은 '실전 파이터'다. 거듭된 실습(practice)을 통해 능력을 키우고 있다. 미국도 2015년까진 북한을 저평가했지만, 2018년부터는 높게 평가한다.

북한은 러시아를 닮아가고 있다. 러시아는 2016년 미국 대선 당시 해킹으로 빼낸 민감한 정보들을 위키리크스 등에 흘리는 식으로 영향 공작을 펼쳤다. 기술 공격과 영향 공작을 통합적으로 운용하는 방식이다. 그런 측면에서 올해 초 러시아의 해외정보를 총괄하는 대외정보국(SVR) 수장이 북한을 방문한 게 우려스럽다. 군사 협력이 긴밀해지는 과정에서 사이버 분야도 그런 교류가 있지 않을까 예상한다. 러시아 입장에선 첨단기술보다 이런 (사이버 공격) 노하우를 전수하는 게 훨씬 부담이 적을 것이다.

<토론자 C> 북한과 러시아의 교류에 있어 '거점 제공'도 고려해볼 수 있다. 러시아와 인접한 동유럽 국가들을 보면 러시아인부터 다양한 인종이 섞여 우리처럼 단일 민족이라는 개념으로 구분하기 어렵다. 예컨대 카자흐스탄에 가보면 한국 사람과 외양에서 큰 차이가 없다. 그들 중 누군가 북한 사람이라고 해도 구분하지 못할 거다. 그만큼 신분 세탁이 쉬운 곳이다.

세계 어디서든 (해커들이 일을 하려면) 인터넷이 필요하지 않나. 결국 거점이 필요한데, 북한 사람 이름으로 뭔가 할 수 있는 곳은 중국밖에 없다. 하지만 중국인으로 신분을 세탁해도 이미 중국 자체가 경계 대상이다. 러시아는 다르다. 유럽과 붙어 있기 때문에 서방 쪽에 얼마든지 그런 거점을 마련할 수 있다. 이런 거점은 꼭 남한만 공격하기 위한 게 아니라 일종의 범죄 네트워크로 활용된다. 범죄 조직 간에 서로 공유할 수 있다. 예컨대 (범죄 네트워크로) 유명했던 장소가 불가리아다.

<토론자 B> 실제로 북한의 해킹 공격에서 얀덱스(Yandex·러시아 최대 포털 사이트) 이메일과 클라우드, 불가리아와 인도 이메일이 발견된다. 이런 인프라를 써보지 않았으면 공격에 사용할 수 없지 않겠나. 북한의 공격을 분석할 당시 과연 해외 이메일·클라우드 서비스를 어떻게 알고 실전 공격에 활용했는지를 중요하게 봤는데, 해외 파견 등을 통해 현장 경험을 쌓으면서 직접 써본 것으로 보인다. 불가리아 등의 이메일로 정부기관을 공격하는 자체가 일종의 위장·교란 전술이 될 수 있다.

<사회> 그간 북한의 해킹 공격은 가상자산 탈취를 통한 자금 마련 혹은 핵심적인 정보 탈취를 목표로 했다. 하지만 해킹 수법의 고도화, 전문적인 해커 양성 등을 거치면서 실제 우리 사회를 마비시키는 공격도 가능하다는 우려가 나온다.

22일 서울 중구 아시아미디어타워에서 '북한의 해킹 실태 진단과 사이버 안보 분야 과제'를 주제로 열린 채텀하우스 좌담회에서 패널들이 토론하고 있다. 윤동주 기자 doso7@

<토론자 A> 우크라이나 전쟁 등을 보면 전장에서 인공지능(AI) 기술이 쓰이거나 드론이 위력을 발휘한다. 전통적인 전쟁에서 변화가 나타나면서 사이버 역시 중요한 수단으로 떠올랐다. 핵무기는 사실상 억제 수단이고, 현재로선 미사일과 사이버 공격이 가장 유효한 전쟁 수단이다. 북한 입장에선 이 두 가지에 있어서는 남한보다 분명히 우위에 있다고 생각할 여지가 많다. 북한은 이를 '유효한 수단'으로 계속 고도화할 가능성이 크다. 한국은 촘촘한 디지털화가 이뤄졌고, 인공지능 전환(AI Transformation·AX)까지 일어나고 있다. 북한의 사이버 공격으로 기반 시설 마비와 민심 교란, 심지어는 전쟁까지 치를 수 있게 됐다.

AI나 위성과 같은 새로운 기술·플랫폼이 떠오르면서 사이버 안보(Cyber Security)가 기본값으로 여겨질 만큼 중요해졌다. 전 세계적으로 실력 있는 해커들은 프로스포츠 선수처럼 갈 수 있는 곳이 많아졌고, 인력 쟁탈전까지 벌어지고 있다. 그런 관점에서 본다면 북한의 핵과학 기술자, 사이버 인력들에 대한 양성 프로그램은 성공했다고 볼 수 있다.

우리나라도 이런 변화를 벤치마킹해야 하는데, 아직 체계가 일사불란하게 변하지 않고 있다. 사회가 이를 수용할 태세가 덜 돼 있다는 점이 아쉽다. 2006년부터 시작된 사이버 안보법 제정 과제는 이번 정부 국정과제에도 있지만, 안 되고 있지 않나. 문재인 정부 때도 추진했었는데, 여당은 하려 하고 야당은 안 된다는 상황이 반복되고 있어 안타깝다.

<사회> 한국 해커들의 능력과 사이버 공격·방어 수준은 어느 정도인가.

22일 서울 중구 아시아미디어타워에서 '북한의 해킹 실태 진단과 사이버 안보 분야 과제'를 주제로 열린 채텀하우스 좌담회에서 이진 사이버안보연구소(NCSL) 소장이 발언하고 있다. 윤동주 기자 doso7@

<토론자 C> 우리 해커들이 대회에 나가면 성적이 상당히 좋다. 그러나 이 해커들은 하다 못해 민간회사라도 '진짜 해킹'을 해본 적이 없다. 해킹 대회라는 정해진 틀과 만들어진 룰 안에서만 해본 것이다. 정말 살 떨리는 실전 해킹, 엄청난 자금이 오가는 상황을 직접 겪어본 북한 해커들과 비교하면 아무래도 공격력에서 차이가 생기지 않겠나.

방어 능력은 국가정보원과 한국인터넷진흥원(KISA)에서 오랜 시간 체계를 갖춰왔다. 사람이 포섭당하는 게 아니라면 시스템적으로는 원칙만 지켜도 뚫리지 않을 만큼 잘 갖춰져 있다. 하지만 불편하니까 잘 따르지 않는 경우들이 생긴다. 보안 의식이 낮다. 실제로 매년 정부 부처마다 보안 감사를 해보면 아주 기초적인 내용에서 지적사항이 꼭 나온다.

<토론자 D> 앞선 토론자가 중요한 지적을 해줬다. 해킹은 범죄라는 것이다. 해킹이라는 행동의 성격 자체가 규정과 규범을 넘나들어야 하는데, 제도권 교육에서 인재를 길러내게 되면 학습 과정에서부터 규범을 지키도록 사고(思考)가 세팅된다. 인간의 뇌는 주어진 틀 안에서는 굉장히 능력을 발휘하지만, 그 경계를 넘나드는 일은 어렵다. 하지만 북한 해커들은 실전을 바탕으로 하기 때문에 (범죄적) 상상력이 동원된다. 그래서 서방 국가들은 실제 활동 중인 해커들을 고용하기도 한다.

방어적 측면에서도 공격 능력을 고민해야 한다. 공세적 방어다. 북한 해커들도 결국 인간으로서의 취약성을 갖고 있다. 이들에 대한 영향 공작을 통해 탈북하도록 유인하거나, 내부에서 고발하도록 할 수 있다. 북한 해커가 우리 쪽으로 귀순했을 때 은닉한 자산을 본인이 가질 수 있게 해주는 것도 방법이다. 해커들을 적극적으로 흔드는 공세적 대응이 필요하다.

<토론자 B> 사이버 공간에서 절대적으로 빠른 방어는 공격이다. '공격이 최선의 방어'라는 말도 있지 않나. 하지만 그동안 우리가 보안 전문가를 양성해온 과정을 돌아보면 '윤리'를 대단히 중요하게 여겼다. 사이버 공간에선 쉴 새 없이 공격이 들어오고 있다. 방어를 위해 우리가 공격할 수밖에 없는 구조다. 하지만 모순적이게도 최선의 방어로 공격을 하려는 순간 법적으로 문제가 된다. 제도적인 안전장치가 없어 '선'을 넘는 순간 범죄자가 되는 것이다.

최근 미 국방부가 디펜드 포워드(Defend Foward·사이버 위협에 대한 공세적 방어 전략) 개념을 도입하면서 우리나라도 전진 방어를 하겠다는 태세로 변화하고 있다. 이전에도 국가 안보적인 측면에서 비공식적으로 (방어를 위한 위법 행위가) 있었지만, 이제서야 공론화가 이뤄졌다. '사이버 전쟁'이라는 표현을 아직 잘 쓰지 않지만, 물밑에선 실시간으로 전투가 벌어지고 있다. 네트워크 공간에선 지금 이 순간에도 전쟁을 하고 있다고 해도 과언이 아니다.

<사회> 사이버 안보 측면에서 우리의 과제나 향후 보완해야 할 요소는 무엇인가.

22일 서울 중구 아시아미디어타워에서 '북한의 해킹 실태 진단과 사이버 안보 분야 과제'를 주제로 열린 채텀하우스 좌담회에서 임종인 대통령실 사이버특별보좌관이 발언하고 있다. 윤동주 기자 doso7@

<토론자 A> 사이버 범죄에 대한 심각성이 커지면서 지난 8일(현지시간) 유엔 임시위원회 회의에서 '사이버 범죄 방지 협약안'이 만장일치로 타결됐다. 아마 가을쯤 유엔 본회의 안건으로 올라가면 무난히 통과될 것으로 보인다. 사이버 범죄에 관한 최초의 국제협약이다. 협약을 비준하고 그에 따라 국내법을 만들면 우리 사이버전 대응 능력도 나아질 것으로 기대한다.

이전에는 2001년 유럽평의회 회의에서 채택된 '부다페스트 협약'이 있었다. 사이버 범죄 분야에서 신속하게 공조하기 위한 다자 간 협약인데, 우리는 이번 정부 들어서야 가입 신청을 했다. 그간 법과 제도가 갖춰지지 않아 참여하기 어려웠다. 예컨대 범죄를 수사하는 과정에서 공조 요청이 있으면 실시간으로 데이터를 넘겨주기 위한 감청을 할 수 있어야 한다. 하지만 우리나라는 통신비밀보호법상 실시간으로 감청할 수 있는 조항이 없다. 벌칙 조항만 있다. 군도 사이버작전사령부를 만들어놨지만, 임무가 명확하지 않다. (사이버전 측면에선) 냉정하게 말하면 우리 군은 1968년 김신조가 침투했을 당시 수준에서 크게 벗어나지 못하고 있다.

☞ 현행법상 전기통신사업자의 휴대전화 감청 설비 구비를 의무화한 조항이 없어 사실상 감청이 불가하다. 미국은 1994년 만든 통신감청지원법에 따라 정부 또는 통신사가 감청 설비 비용을 부담하며, 독일·영국·호주 등도 유사한 제도를 갖추고 있다.

우리나라가 'IT 강국'이라는 건 착각이다. 외국 관광객이 그렇게나 많이 온다지만, '구글 맵'이 통하지 않는 몇 안 되는 나라 중 하나가 한국이다. '구글 페이'도 안 되고 '애플 페이'도 여전히 안 되는 곳이 많다. 역량을 갖추기 위해서는 법·제도가 마련된 다음 산업이 이뤄지고 그 다음에 서비스가 발전해야 한다. 우리나라는 산업적인 측면에선 많이 발전했는데, 서비스는 한참 뒤처져 있다. 사회 시스템도 미비한 게 많다. 법·제도가 달라지지 않으면 사회가 변하지 못한다.

<토론자 C> '사이버 안보'는 (국가) 안팎을 구분할 수 없는 사이버 공간에서 국가라는 틀을 갖추고 전략적으로 접근해야 한다. 사이버 안보법을 제정할 때 과거의 국가보안법처럼 처벌과 감시의 관점에서 만들어선 안 된다. 그런 게 먹히지 않는 시대다. 정치적 악용에 대한 두려움이 있고, 이런 의심을 해소하지 못한다면 어느 쪽이 정권을 잡아도 법안을 통과시키기 어렵다.

진보·보수 할 것 없이 이제까지 발의된 법을 보면, 개인정보를 보호하기 위해 어떤 원칙을 갖출 것인지가 보이지 않는다. '사이버 안보'를 위해서는 필요하다면 공격적인 수단을 포함, 즉 개인의 프라이버시를 침해할 수 있는 모든 수단이 동원될 수 있어야 한다.

개인정보 침해를 감수해야 하는 국민으로부터 이해를 얻는 것은 '책임'의 문제다. (사이버 범죄) 수사를 위해 해당 기관에서 필요하다고 판단하면 모든 정보·수단에 접근할 수 있어야 한다. 다만, 모든 행위에 대해서는 기록이 남아야 한다. 아울러 이 기록은 삭제되거나 변조되지 않아야 한다는 전제가 필요하다. 몇 년이 지나도 누가, 어떤 정보에, 왜 접근했는지 기록이 있어야 한다. 예컨대 과거 정권이 정치적으로 악용했다가 기록에 의해 법적 처벌을 받는 모습까지 볼 수 있어야 국민도 이해할 것이다.

<토론자 B> 북한의 공격은 이제 특정 조직에서 막을 수 있는 수준을 벗어났다. 국가정보원과 한국인터넷진흥원(KISA)이 많은 방어에 성공하고 있지만, 민간을 노린 은밀한 공격까지 모두 탐지하기엔 현실적 한계가 있다. 청년들이 군대에서 교육·훈련을 받는 것처럼 사이버 공간에서도 '민간 방어태세'가 필요하다. 예컨대 사이버 보안 업체 종사자나 대학에서 관련 전공을 한 학생까지 일종의 '사이버 예비군'을 만들고, 공동으로 연구·대응하는 시스템이다. 방위산업 분야에서 민간 업체가 정부기관과 함께 연구·협력하는 것처럼 사이버 안보 분야에서도 그런 자격·개념을 도입해야 한다. 산·학·연을 아우르는 포괄적 개념으로 방산에 준하는 민간 정보보호기업 투자가 뒤따른다면, 민·관 협력도 더 탄탄해질 수 있다.

시스템 보완도 시급하다. 최근 사이버 침해 사고가 발생한 정보통신서비스 제공자는 사고를 인지한 24시간 안에 피해 내용과 원인 등을 신고하도록 법이 개정됐다. 하지만 북한으로부터 공격당한 기업들은 신뢰도가 추락하거나 주가가 떨어질 수 있다는 우려에서 피해 사실을 관계기관에 공유하거나 외부에 알리기를 꺼려 한다. 북한의 사이버 공격은 특정 기업에서 막을 수 없을 정도로 수준이 높아졌다. 기업들이 피해를 빠르게 공유하고 대응할 수 있도록 부담을 떨쳐줬으면 좋겠다.

해외 사례를 참고한 보안 솔루션도 필요하다. 행위 기반 탐지(EDR·Endpoint Detection Response) 등이 대표적이다. 미국은 대통령 행정명령(Executive Order 14028)으로 연방 기관에 EDR 설치 등을 지시했다. 우리나라는 이런 제도가 부족하다. 기업들은 북한의 공격이 있다는 걸 뉴스로 보고 알 뿐이지, 기술적으로 어떻게 대응해야 하는지 알기 어렵다. 침해 사고가 발생했을 때 문제를 정확히 조사하기 위해 전문 보안 솔루션 등을 도입할 수 있도록 하는 제도적 장치도 필요하다.

☞ '엔드포인트'란 사용자가 IT 서비스에 접속하기 위해 사용하는 장치로, PC·스마트폰·태블릿 등을 의미한다. EDR 시스템은 엔드포인트에서 악성코드나 해킹·침입 등 사고가 발생하는지 모니터링하고 사전에 정해진 보안 정책에 따라 네트워크 차단 등 즉각적 대처를 시행한다. 미 바이든 행정부는 2021년 '사이버 보안 집행명령'을 통해 정부 차원에서 EDR 시스템을 활성화하고 연방 정부 내에서 정보 공유를 추진하는 등 정부 네트워크에서 사이버 보안 사고 탐지를 개선하도록 했다.

<토론자 D> 사이버 안보는 '상시 전쟁' 개념으로 접근해야 한다. 과거와 다르게 지금은 '전쟁과 평화'를 연속되는 스펙트럼으로 본다. 실제 물리적 군사력이 동원되는 전쟁 이전 혹은 이후 단계에선 비물리적 수단이 동원되는 사이버전과 인지전이 이뤄진다. 국정원과 군 전력으로만 북한의 해킹 공격에 대응하는 건 한계가 있다. 관·군에 더해 '민병대'를 키워야 한다.

민간 전문가가 참전할 수 있게 하려면 '비즈니스 생태계'를 구축해야 한다. 예컨대 사이버사령부에서 근무하며 커리어를 쌓다가 민간 보안업체로 옮겨 연봉을 보장받을 수 있다면 장교·부사관 지원이 넘쳐날 것이다. 다시 민간 보안업체에서 일하다가도 국가기관에서 직책을 맡아 오갈 수 있고, 교수나 연구원으로도 활동할 수 있는 '커리어 패스'를 만드는 것이다.

가장 먼저 할 일은 군과 정부 기관에서 (제때 필요한 전문 인력을 뽑을 수 있도록) 공채 시스템을 없애는 것이다. 미국에는 해병대위로 이라크전에서 사이버전을 담당하다 전역 이후 민간 보안업체에서 일하고, 다시 국가안전보장국(NSA) 디렉터로 옮겨 간 친구가 있다. 우리나라는 군에서 전역하면 아무리 전문가여도 다시 조직에 들어가 종사할 제도가 없다.

법적인 측면에선 접근 방법을 달리하면 어떨까 싶다. 사이버 안보법이라는 틀 안에 패키지로 모든 내용을 넣으려고 하지 말고, 살라미 전술(salami)처럼 과제를 쪼개서 접근해보자. 현재 우리나라에 위협이 되는 행태를 나열하고, 그에 대응하는 규정을 행동 중심적으로 하나씩 축적하는 것이다. 사이버 안보법 제정은 '야당의 반대'라는 리스크를 안고 있다. 어느 쪽이든 야당이 될 수 있다. 서로의 이해관계를 인정하고, 할 수 있는 것을 먼저 하는 식으로 하나씩 대응해 나가는 게 합리적이지 않겠나.

장희준 기자 junh@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>