‘국가사이버안보전략’과 ‘2024 국가 사이버안보 기본계획’ 분석 및 정부 역할과 추진체계 논의
[보안뉴스 김경애 기자] 한국사이버안보학회(회장 서울대 김상배 교수)가 주최한 2024 연례학술대회에서 ‘사이버안보정책 발전방안: 정부의 역할과 거버넌스’를 주제로 지난 2월과 9월 각각 발표된 ‘국가사이버안보전략’ 및 ‘2024 국가 사이버안보 기본계획’을 분석하고, 성공적 이행을 위한 정부의 역할과 추진체계 등을 논의해 이목이 집중됐다.
[사진=한국사이버안보학회]
패널토론에는 △고려대 정보보호대학원 권헌영 교수를 좌장으로 △홍익대 법학과 황창근 교수 △성균관대 법학전문대학원 지성우 교수 △고려대 법학전문대학원 이희정 교수 △반기문재단 외교안보실 최성주 실장(전 폴란드 주재대사, 전 외교부 국제안보대사 등 역임) △인공지능산업융합사업단 오상진 단장(전 국가안보실 사이버팀장, 전 국방부 국방개혁실장 등 역임)이 패널로 참석했다. 다음은 논의된 주요 내용이다.
Q. 권헌영 교수: 2024년 9월 발표된 ‘2024 국가 사이버안보 기본계획’을 분석한다면?
황창근 교수 : 최근 사이버안보 위기 또는 위협은 민간·공공이나 국내·외를 구분하지 않고 발생하고 있기 때문에 통합적인 역량을 활용해 대처하겠다는 내용은 좋다. 다만 기본계획의 실제 이행 차원에서 그 법적 기반이 필요하고, 무엇보다 이 같은 전략이나 계획의 본질적 목표인 국가안보와 국민의 생명 및 재산의 보호와 같은 내용이 전면에서 더 부각될 수 있어야 한다.
지성우 교수 : 이전에 비해 눈에 띄는 점이 “공세적 사이버 활동의 강화” 언급이다. 그러나 그 내용이 기존의 방어적 활동과 비교했을 때 크게 다르지 않아 보인다. 이후에는 지금의 선언적인 차원을 넘어 보다 구체적인 내용을 다룰 수 있기를 기대한다. 또한 여러 기관 및 플랫폼이 네트워크로 연결되어 발생하는 문제들과 가짜뉴스를 비롯한 콘텐츠에 대해서도 대응 논의가 필요하다.
이희정 교수 : 사이버안보라고 하는 개념의 범주가 명확해져야 한다. 안보의 다층적 개념 중 정책 목표로 설정할 범위 혹은 정책 목표를 여러 개 설정하더라도 각각의 대응 수단 등의 검토가 필요하다. 사이버 시스템의 안전과 같이 가장 명확하게 모두가 합의할 수 있는 목표를 우선 논의하고, 나머지 영역은 세부적인 것들을 만들면서 함께 논의해 가는 차별화된 접근해야 한다.
최성주 실장 : 전 세계 복합안보위기의 중심에 사이버기술이 놓인 시점에 지난 2월과 9월 발표된 전략 및 기본계획은 체계적으로 구성되어 있다. 그 내용을 3대 키워드로 정리하면 ① 자강(自强) ② 협력 ③ 복원력(resilience)이다. 공세적 대응을 시행하는 데 현행 법률과 충돌하지 않도록 운영하는 것이 중요하다. 사이버안보기본법이 계속 표류하며 부재한 상황에서도 이러한 전략을 통해 구체적인 행동에 나선 게 의미가 있다.
오상진 단장 : “공세적” 단어가 눈에 띄는데 내용에 따라 Offensive나 Defense Forward의 개념으로 혼재되어 이해될 수 있다. 영문판에서 Offensive라고 표현한 것은 과감한 선택으로 보이나 용어 사용을 더 전략적으로 할 수 있어야 한다. 또한 국제협력 강화와 복원력이라는 차원에서는 이에 대한 좀 더 높은 이해가 바탕이 돼야 한다.
권헌영 교수 : 우리 사이버안보전략과 기본계획 이행을 위해서는 거버넌스, 여러 사이버안보 활동에 관한 법적 통제, 민관협력, 국제 관계, 국방 문제 등을 종합적으로 살펴봐야 한다.
▲(좌측부터) 홍익대 법학과 황창근 교수, 성균관대 법전원 지성우 교수, 고려대 법전원 이희정 교수, 반기문재단 외교안보실 최성주 실장, 인공지능산업융합사업단 오상진 단장
Q. 권헌영 교수 : 범국가적 차원에서 역량과 자원을 효과적으로 동원해 특정한 전략적 목표를 달성한다는 것이 기본계획의 본질인데 이때 국가적 관점에서 거버넌스를 어떻게 가져가는 것이 바람직한지?
황창근 교수 : 우리 사이버안보 정책에서 가장 핵심적인 것은 수행 체계를 어떻게 구성할 것인지에 관한 문제다. 현재 기본계획상 구조는 대통령을 중심으로 국가안보실, 국가정보원 등 각 부처로 나뉜 형태다. 타 행정각부와 같이 특별한 소관사무가 정해져 있지 않고 안보와 정보활동 등을 수행하는 기관인 국가정보원이 실질적 수행을 담당하는 것은 적절하게 보이나, 국가안보실에 대해 ‘컨트롤타워’ 명칭을 사용하는 것은 대통령이 직접 권한을 행사하거나 행정을 수행하는 것처럼 오해할 여지가 있다.
Q. 권헌영 교수 : 우리가 선제적으로 위협을 식별하고 공세적으로 앞서 대응할 때, 그리고 실질적 힘을 활용했을 때 그 활용한 당사자들의 행위가 법적으로 유효하게 인정받을 수 있는가 하는 문제가 남아 있다. 공세적 사이버 작전이 제대로 효력을 가지려면 어떠한 법적 근거와 절차가 있어야 하나?
지성우 교수 : 공세적 대응에 있어 정부는 우선 정책을 수립하고 실행하는 기능, 공공·민간·국방 상호 간 정보공유와 협력이 원활하게 이루어질 수 있는 기능을 해야 할 것이다. 사이버보안 인력양성도 필요한데, 일반 대중을 대상으로 하는 사이버 안전 교육도 훨씬 강화돼야 한다. 또한 네트워크 보안에서 나아가 네트워크를 통해 전달되는 콘텐츠, 특히 가짜뉴스 관련 이슈 등에 대한 대비가 충분하지 않은 상황인데, 이제 민간에서 발생하는 것이 민간에서의 피해로 끝나지 않아 종합적인 대비가 필요하다. 사이버안보기본법 제정 이전에 유관 법령을 개정하는 노력이 우선돼야 한다.
Q. 위협정보를 공유하고 대응하는 민관 협력이 강조될 때 법적 문제는 어떤 것이 있나?
이희정 교수 : 전문가뿐만 아니라 시스템을 이용하는 아주 평범한 사람들이 무심코 하는 행위에 의해서도 큰 유출 사고가 발생하는 것을 봤을 때 조직의 말단에 있는 사람들에게도 이러한 문제를 내면화하는 것이 사이버안보 거버넌스를 완성하는 데 필수 요소다. 사이버안보 거버넌스에 개인들이 다 참여할 수 있도록 하려면 발상의 전환 같은 아날로그적 요소의 활용도 고려해야 한다. 또한 정보공유 외에도 서로 시스템을 들여다보고 하는 일이 수반될 것 같은데, 이에 대한 근거가 당연히 마련돼야 하며 부수적으로 사후적 공개 등의 절차가 마련돼야 한다.
Q. 권헌영 교수 : 실질적 공세적 대응은 국제협력에 기반해 추진하고 있는데 글로벌 무대에서 한국이 핵심적인 플레이어가 되려면 어떤 점을 고려해야 하나?
최성주 실장 : 국제 안보 환경이 변화하면서 사이버 공간도 그에 영향을 받았다. 우리는 4대 핵심 가치, 즉 자유민주주의, 시장경제, 법치주의, 인권을 공유하는 나라들과 진영을 함께할 수밖에 없다. 국제협력을 너무 단일한 방향으로만 생각할 필요는 없고 내부적으로 미리 사전 협의도 촘촘히 하고 의제 발굴을 잘 해나가면서 끌고 가는 것이 중요하다. 다른 진영의 국가들과도 최소한의 대화를 유지해 나가야 한다. 또한 앞서 다른 분들의 말씀처럼 가짜뉴스에 대한 대비와 더불어 공세적 대응을 실제로 준비하기 위한 인력양성 제도를 잘 운영해야 한다.
Q. 기본계획을 수행할 때 국방 분야의 역할이나 혁신에 대해서는 어떻게 보는가?
오상진 단장 : 소프트웨어, 디바이스, 네트워크 등 특화된 영역에 집중하는 일반 기업과는 달리 국방은 모든 것을 국방부의 경계 안에 두는 특별한 조직이다. 수행하는 활동뿐 아니라 거버넌스, 인력 배치 등 체계에 대한 문제도 중요한데 현재 AI 트랜스포메이션을 준비함에 있어 디지털 전환과 IT 기반을 탄탄하게 갖춘 구조를 제대로 운영할 수 있는 조직을 구성하는 것은 결코 쉽지 않다. 국방 AI 센터뿐만 아니라 사이버안보 체계상의 주요 플레이어인 국가정보원, 국방부, 과학기술정보통신부, 경찰청 등 부처 조직상의 장단점이 조화롭게 작동될 수 있도록 해야 한다. 또한 최근 발표된 K-RMF는 국방부의 복잡성에 따라 각별하게 정리할 필요가 있기에 일신하는 차원에서 의미 있는 과정이었다고 생각한다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>