기업엔 '보안 책임자' 두라면서 정부는 '뒷짐'

외통부 대외비문서·공무원 이메일 해킹 당해
국정원·방통위·행안부 사고 터지면 '제각각'
컨트롤타워 없어 대응 늦고 시간만 허비

"말도 마세요. 큰 사고가 터지면 국가정보원 방송통신위원회 검찰 경찰 등에 불려다니느라 정신이 없어요. 그 사람들이 분석할 시간 다 잡아먹어요. "

최근 외교통상부의 대외비문서와 공무원들의 이메일 계정이 중국 측에 해킹당했다는 보도를 접한 민간보안업체 관계자는 정부의 보안체계를 이렇게 비판했다. 공공부문의 보안책임이 여러 부처에 분산돼 있다 보니 사전에 국가 전체를 아우르는 마스터플랜 수립이 어렵고 문제가 터져도 신속하게 대응하기 어렵다는 것이다. 민간기업에는 최고보안책임자(CSO)를 두라고 권하는 정부가 정작 자신의 영역에는 무관심과 졸속대응으로 일관하고 있다는 지적이다. ◆사분오열된 국가보안시스템

현재 사이버 테러에 대한 대비는 영역에 따라 국가정보원과 행정안전부 방송통신위원회 금융위원회 등으로 업무가 나눠져 있다. 국정원은 청와대 등 국가 주요 조직,방통위와 한국인터넷진흥원(KISA)은 민간영역,행안부는 정부기관과 지방자치단체,금융위원회는 금융회사를 각각 담당한다. 2009년 7 · 7 분산서비스 거부(DDoS) 공격 이후 관계부처 간 합의를 통해 비상시엔 국정원이 지휘권을 갖도록 했다.

하지만 일상적인 상황에선 보안 영역을 총괄할 수 있는 컨트롤 타워가 없다. 지난 3월4일 일어났던 3 · 4 디도스 공격 때도 방통위는 실질적인 장애가 없었다고 발표했지만 KISA의 보호나라 사이트가 과도한 트래픽으로 다운되는 등 허점이 드러났다. 공공부문의 해킹이 일어나도 권한과 책임영역이 분명치 않아 유야무야되는 경우도 비일비재하다. 여기에다 기업이나 금융사 입장에선 보안전담 조직이 아닌 정보기관에 전산망을 공개하는 데 부담을 느끼는 경우가 적지 않다는 지적이다. 임종인 고려대 정보보호대학원 교수는 "국내 스마트폰 사용자가 1000만명을 넘는 등 모바일 환경이 빠르게 변하고 있는데도 정부 차원의 입체적인 보안대책을 찾아보기 어렵다"고 꼬집었다.


◆선진국은 대부분 전담부서 설치

미국은 백악관에 사이버 보안 책임자를 두고 정부기관의 보안 업무를 총괄한다. 2001년 9 · 11 테러 이후 국토안보부를 신설해 물리적 보안뿐만 아니라 사이버 안보와 관련된 분야도 담당토록 하고 있다. 사이버 테러나 대규모 침해사고가 일어나면 백악관이 국토안보부 국방부 국가안전보장회의 등을 지휘하는 역할을 담당한다.일본은 정부 차원에서 '정보보안대책 통합지침'을 수립하고 매년 개정해 각 부처에 보급하고 있다. 내각 관방장관 산하에 국가정보보안센터를 둬 보안 담당 업무를 총괄하고 있다. 영국은 국가사이버안전센터를 만들었고 러시아도 연방보안국에 사이버 전쟁 전담 부서를 설치했다. 보안업계 관계자는 "보안의 중요성이 갈수록 높아지고 있지만 지금과 같은 구조에선 선제적 대응이 어렵다"며 "사이버 보안을 총괄하는 별도 정부 조직을 만들고 청와대에도 담당 비서관을 둬야 한다"고 강조했다.

이승우 기자 leeswoo@hankyung.com