北 해킹 확산과 사이버안보법 표류[포럼]

이경호 고려대 정보보호대학원 교수

경찰청 국가수사본부 안보수사국은 북한 대표 해킹 조직 3곳이 국내 방산 기술 탈취를 위해 최소 1년6개월 동안 전방위적 해킹 공격을 한 사실이 확인됐다고 지난 23일 발표했다. 방산 업체 10여 곳이 해킹 피해를 봤고 이들 대부분은 해킹 사실을 인지하지 못했다. 이번 공격에 북한의 해킹 조직이 총동원됐고, 하나의 목적을 두고 비슷한 시기에 전방위적 공격이 이뤄졌다고 한다.

우리나라에 대한 유의미한 중요 사이버 공격은 매일 수십 건씩 발견되고 관리된다. 이 가운데 대부분은 상당한 비용과 시간을 들인 국가가 후원하는 해킹 집단에 의한 것으로 추정된다. 민간 분야에서 발생하는 해킹 공격의 대상은 당장 금전적으로 이익이 되는 대상을 향한 경우가 많지만, 공공 영역에서 탈취하고자 하는 정보는 국가안보와 관련이 있는 경우가 대부분이다. 특히 교통 및 도시 기반시설과 방위산업체 등은 항상 사이버 공격에 직면해 있다.

북한의 ‘국경’을 넘나드는 사이버 공격은 기술과 규모 면에서 세계적인 수준이며, 대상 국가도 우리나라를 포함해 미국·일본·중국·러시아·베트남과 중동·남미·아프리카에 이르기까지 광범위하다. 정권의 생존을 위하며 사이버 능력은 군사적 측면뿐 아니라, 정치적·경제적 위협을 구사하는 데도 유용하고 효과적인 수단이다. 미국 하버드대 벨퍼센터가 제공하는 ‘사이버국력지수(NCPI)’를 통해 파악된 북한의 사이버 역량은 2022년 기준 세계 14위이며 사이버 역량의 상당 부분이 사이버 공격 활동과 불법적인 금융 활동에 집중돼 있다. 우리나라에 비하면 종합점수에서는 뒤지지만, 금융 분야에 대한 공격력은 압도적 우위를 보인다. 방어력에 비중이 큰 우리에 비해 글로벌 최고 수준의 사이버 공격력을 갖춘 것으로 평가된다.

2022년 2월 4일 국회 법안심사소위에 상정된 사이버안보기본법안은 야당이 국가정보원에 사이버 안보 주도권을 줄 수 없다는 이유로 법안 심의를 거부하면서 제21대 국회 임기 종료와 함께 자동 폐기될 상황이다.

이 법안은 민간 전문가가 참여하는 국가사이버안보위원회를 구성하고, 위기 시 국가 역량을 결집해 신속한 사고조사와 위협 정보 공유 등을 수행하는 통합 대응 조직을 별도로 설치·운영하는 등 국가 사이버 안보 체계를 정립하는 것을 목적으로 한다. 그동안의 걸림돌이었던 개인정보 보호 이슈를 해결하기 위해 위원회에 개인정보보호위원장이 참여하고 국회 정보위 산하에 상설 소위를 두어 정부의 활동을 감시하도록 했고, 사이버 위협 정보 공유를 할 때 면책조항을 두어 각 기관의 사이버 위협 정보 공유에 대한 부담과 제약을 없앴다.

조 바이든 미국 행정부는 2023년 국가안보를 위협하는 인공지능(AI) 기술을 규제하는 행정명령을 발동하면서 자국의 AI 역량이 패권 경쟁국으로부터 훼손되는 것을 막고자 했다. 이는 팽창하는 거대 AI 서비스에 대한 적대적인 해킹 공격에 큰 효과가 있을 것으로 기대된다. 우리나라에 타산지석 조치이다. 사이버안보기본법은 흩어져 있는 우리의 역량을 최대한 끌어모아 똑같은 방향으로 정책을 이끌어 국가 재정의 낭비 요소 없이 사이버 공간을 보호하고자 하는 기반이며 사이버 영역에서 우리가 나아갈 길의 첫 번째 단추일 것이다.