“공무원 스마트폰 뚫리면 민간·공공 함께 뚫려… 총체적 관리체계 시급”

■ 구멍 뚫린 사이버안보 (下) 인터뷰 - 임종인 고려대 정보보호대학원 교수

1분기 한국에 대한 해킹 시도
中 3700건 1위… 北이 300건

韓, 행정·국방·민간 담당 분산
범전문가 협력시스템 못갖춰
랜섬웨어 피해 전 세계 3번째
靑에 특보 설치 등 대응 나서야

특별기획팀 = 허민 전임기자, 박준희·나주예 기자, 안수교 인턴기자

청와대 안보특별보좌관을 지낸 임종인 고려대 정보보호대학원 교수는 최근 국내에서 주요 사이버 공작 사건을 벌인 북한 배후 추정 해킹그룹뿐만 아니라 더 큰 위협인 중국의 사이버 역량까지 대비한 사이버안보 대응체계를 구축해야 한다고 강조했다. 지난 7월 30일 문화일보와의 인터뷰에서 임 교수는 “사이버 분야 중에서도 경제 분야가 중요하다”며 “이에 대한 중국의 위협은 정말 조심해야 한다”고 강조했다. 다음은 임 교수와의 일문일답.

―한국에 대한 주요 사이버 위협은 어떤 것들이 있는지.

“글로벌 보안회사 파이어아이(FireEye) 통계에 의하면, 올해 1분기에 우리나라에 대한 해킹 시도가 이뤄진 주요 지역 1위는 중국으로 3700건이나 된다. 2위 북한은 300건 정도이고 러시아가 3위로 170건이다. 전 세계 사이버 분야에 있어 ‘빅 5’가 미국, 중국, 러시아, 북한, 이스라엘인데 우리나라는 빅5 중 4개국에 둘러싸여 있는 것이다. 북한과 중국은 군사·외교·정치 분야 외에도 요즘은 랜섬웨어로 돈 버는 데 집중하고 있다. 그래서 우리는 북한보다 10배는 강한 중국의 사이버 위협에 대비해야 한다.”

―한국의 대응 역량이나 실태는 어느 정도 수준으로 보는가.

“우리나라는 (정부나 민간 부문이) 개별적으로는 실력이 있지만, 범전문적인 협력시스템이나 거버넌스(총체적 관리체계) 구축이 안 돼 있다. 개별적으로 보면 행정·공공기관, 국방, 민간 분야 담당이 분산돼 있다. 사이버 분야는 사실 전시나 평시도 없고, 민간 부문과 공공 부문의 구분이 애매하다. 예를 들면 공무원 개인도 공공과 민간 영역 모두에 포함되는데, 자신의 스마트폰이 뚫리면 그걸 고리로 해서 민간·공공 다 뚫리는 것이다. 이에 대한 대응을 전체적으로 협력·조율할 수 있는 거버넌스가 있어야 한다.”

―외국의 경우 어떤 방식으로 사이버 대응체계를 구축하고 있는지.

“일본의 경우 2014년 말 아베 신조(安倍晋三) 당시 총리가 ‘사이버안보기본법’을 통과시켰다. 2015년에는 관방장관 산하에 사이버사령부가 출범했고, 출발 당시 인원이 100명에 1인당 예산이 20억 원이었다. 일본은 그 예산 중 절반을 장비 구입에 쓰고 나머지 절반은 교육훈련에 쓴다. 미국의 최고 기술자들을 데려와서 직원에게 교육훈련을 시키거나 미국의 교육프로그램에 들어가는 것이다. 이후 일본의 사이버 전력이 급상승했다. 다만 한국은 정보기술(IT) 경험이 있어서 아직은 우위에 있다. 조 바이든 미국 행정부는 정부 기관과 민간 분야를 고루 경험한 40대 여성 국장을 백악관의 ‘사이버 차르(Cyber Tsar, 사이버안보 책임자)’로 데려왔다. 미국의 수많은 사이버 분야 정보기관을 그 사람이 총괄하는 것이다. 우리도 결국 차기 정부에서는 미국이 하는 것처럼 가야 할 것이다. 사이버안보의 거버넌스를 만들어야 하고, 반드시 전문성을 갖춰야 한다.”

―경제적 이익을 노리는 사이버 위협은 향후 어떤 양상일 것으로 전망되는가.

“지난해 유엔 (대북제재위원회 전문가패널) 보고서에도 북한이 해마다 해킹을 통해서 10억 달러 이상씩 번다는 내용이 나온다. 전 세계 은행·가상화폐거래소 해킹, 랜섬웨어 공격 등의 방식으로. 특히 한국은 랜섬웨어 피해국으로 피해 규모가 전 세계 톱 3에 들어간다. 기업들은 피해를 당해도 회사 평판 악화 등을 이유로 외부로 알리지 않는다. 업무가 급한 기관이나 법인들은 랜섬웨어에 감염되면 차라리 해킹 조직과 협상하기도 한다. 랜섬웨어는 데이터를 지우거나 뒤죽박죽 변형해 놓고 원본 데이터에 대한 ‘몸값’을 요구한다. 4차 산업혁명으로 전환되는 과정에서 랜섬웨어는 비지니스화돼 가고 있다.”

―향후 한국의 사이버 대응 방안은 어떻게 개선돼야 하는가.

“현 정부 들어 (청와대에) 사이버 특보가 없다. 사이버비서관도 없애고 정보융합비서관에 겸직시켰다. 사이버 분야에 있어서 정무적 판단은 정치하는 사람이 하는 것이지만, 정확한 위협에 대한 판단은 전문성이 있는 사람이 해야 한다. 상위 레벨에서 정확한 상황 인식을 하고 판단해야 하위 협력체계를 확립할 수 있는데, 청와대에 전문가가 없다. 청와대의 관련 행정관들은 각 부처나 기관에서 파견 온 사람들이다. 사이버에 대한 백서를 만들었다고 자화자찬했는데, 부처 이기주의 때문에 자기 부처 얘기만 한다. 담당자들이 이합집산 상태인 것이다. 이 분야의 전문성 제고와 거버넌스 확립, 그다음에 국제협력 구축이 중요하다, 이런 부분이 해결 안 되면 북한, 중국, 러시아에 당하고도 고립무원의 상태로 아무 얘기 못 하는 ‘호구’가 되는 것이다. 차기 정부에서는 제발 달라졌으면 좋겠다.”