최근 SK텔레콤과 예스24의 대규모 해킹 사태는 한국 사회 전반에 큰 충격을 안겼다. 이전처럼 단순히 보안이 뚫린 것이 아닌 진화한 사이버공격으로 해석된다. 우리 정부는 국가정보원 국가사이버안전센터에서 민간·공공 영역의 사이버 보안을 담당하고 있지만, 실효성있는 관련법 없이 사건만 터지고 있는 상황이다. 새 정부에서 사이버 위협에 대응하기 위한 컨트롤타워를 강화해야 한다는 지적이 나오는 이유다. 최근 심각해진 정보유출 사태를 진단하고 재발방지책 등 대응 방안을 2회에 걸쳐 짚어본다. [편집자주] 

최근 SK텔레콤 개인정보 해킹과 예스24 랜섬웨어 감염 사태는 기업의 보안 사고가 근본적으로 기업만이 아닌 국가적 사이버 보안 체계의 문제라는 사실을 확인시킨 계기가 됐다. 이 문제의식은 개인정보 보호와 사이버 보안 체계의 재설정 논의로 이어지고 있다.

개인정보보호법학회는 최근 '개인정보 거버넌스의 미래, 보호와 혁신의 동행'을 주제로 세미나를 열었다. 국내 개인정보 보호 정책을 총괄하는 국무총리실 산하 개인정보보호위원회 역할을 어떻게 재설계할지를 논의하는 자리였다.

이 자리에서 이진수 서울대 행정대학원 교수는 "개인정보 등 데이터 관련된 (정부)기능을 어떻게 배열할지 사회적 논의가 필요하다"며 "최소 분산된 개인정보 보호 기능만큼은 통합할 필요가 있다"고 말했다. 이어 "개인정보 침해·유출 신고 등 행정수요에 충분히 대응할 수 있도록 개인정보위의 조직 규모를 갖추는 것이 필요하다"고 덧붙였다.

현재 국내 사이버 보안 체계는 여러 갈래로 나뉘어 있다. 우선 대통령 직속기관인 국가안보실이 전체 컨트롤타워 역할을 하면서 국방부 산하 사이버사령부가 군사 분야를, 국정원 사이버위기대책본부가 군사 분야를 제외한 공공 영역을 책임지고 있다.

민간은 기업 스스로 보안을 책임지는데, 과기부 산하 한국인터넷진흥원(KISA) 사이버침해대응본부에서 관련 업무를 돕고 있다. 총리실 산하 개인정보위는 해킹으로부터의 방어나 조사 등 직접적인 업무가 아닌 정책과 법률 중심의 지원 업무를 맡고 있다.

미국도 금융·보건 등 다양한 기관에서 사이버 보안 문제를 각자 다루고 있는데 주요 기관은 크게 3곳 정도로 추려진다. 국토안보부 산하 사이버보안 및 인프라 보안국(CISA)과 연방무역위원회(FTC), 그리고 각 주(州)정부다.

한국과 마찬가지로 기능이 여러 갈래로 나뉘어 있는데, 주마다 법이 다른 미국 특성에 따라 개인정보 보호 규정의 단일화가 어렵다.

반면 기능적으로는 CISA와 FTC 딱 두 갈래로 나뉘어 있다고 볼 수 있다. CISA는 미국 모든 정부 기관을 비롯해 50개 주정부의 사이버 보안과 인프라 보호를 담당한다. FTC는 대부분의 상업 활동에서 일어나는 사이버 보안 문제부터 피해자 지원, 정책 개발 등을 맡고 있다. 조직 규모는 각 1300명 정도다.

영국의 경우 각 기관의 전문성과 독립성 확보를 위해 개인정보 보호와 사이버 보안을 다른 범주에 놓고 관리한다. 개인정보는 유럽연합(EU)에서 1995년 시행한 일반정보보호 규정(GDPR)에 따라 정보위원회(ICO)에서, 사이버 보안은 정보통신부 산하 국가사이버보안센터(NSCS)에서 맡고 있다. ICO·NSCS는 각 1000명 이상, 예산은 각 9000만파운드(1700억원)·26억파운드(4조8000억원) 수준으로 알려졌다.

반면 한국은 군사 분야에 특화된 사이버사령부와 인력 규모 파악이 안 되는 국정원 사이버위기대책본부 논외로 둔다면 민간·공공 분야 사이버 보안 인력이 300명 수준이다. 개인정보위 170명, KISA가 128명이다.

업계 관계자는 "해외 주요국의 개인정보 보호, 사이버 보안 기관들과 비교하면 국내 기관의 규모, 역할은 제한적이다"며 "관련 피해의 근본적 대책을 마련하려면 관련 기관의 근본적인 역할 재설정이 필요하다"고 말했다.

박성대 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스