그동안 수많은 보안전문가들이 이 문제를 꾸준히 지적했음에도 불구하고 정확한 컨트롤타워 체계 정립은 여전히 풀어야 할 숙제다. 지난 7.7 DDoS 대란 당시 정부는 사이버보안 컨트롤타워를 운영하겠다고 발표한 바 있다. 사이버보안 컨트롤타워를 통해 이런 문제에 대한 조속한 해결방안과 조정을 통해 일사분란하게 처리할 수 있어야 한다는 것.  

이에 정부는 2009년 7월 7일 DDoS 공격을 받은 이후, 국가 위기상황에서는 국가정보원이 총괄하고 방송통신위원회, 행정안전부와 산하 한국인터넷진흥원(KISA), 경찰청 사이버대응센터 등이 실무를 맡기로 합의한 상태이다. 하지만 여기에도 여러 가지 문제가 있다는 지적이다.

즉, 대외 브리핑은 방통위가 맡기로 했지만 실제로는 국정원이 총괄하고 있다. 비상시에는 국정원이 총괄한다고 해도 평상시에는 사실상 컨트롤타워의 부재를 인정하지 않을 수 없다.

이에 대해 사이버 위협에 대한 대응을 국가 정보기관이 맡는다는 것이 바람직하지 않다는 견해도 있다. 기업의 입장에서 자사의 전산망을 정보기관에 공개한다는 것은 그리 좋은 일이 아니라고 판단할 수 있기 때문이다.

또 사이버 위협 대응능력에서도 여러 가지 문제점이 드러났다. 지난 3.4 DDoS 공격시 신속히 대처해 실질적인 장애가 없었다고 방통위 측은 발표했지만 전문가들은 공격의 강도가 약했기 때문에 문제가 없었고 정부의 대처 방법과 과정에서의 문제점은 있었다고 지적했다.

그리고 한국인터넷진흥원 보호나라 사이트는 트래픽 과다로 서버가 다운됐었고 국민은행의 경우, 평상시 DDoS 공격 등 사이버 위협에 철저한 대비를 한 탓에 별 문제 없이 지나갔다.

물론 이에 대한 가장 근본적인 문제는 보안 경각심의 부족이다. 정부는 예산 부족 을 들어 보안 소프트웨어를 원가 이하에 구매하고 기업도 보안 솔루션 도입은 우선 순위에서 밀린다. 또한 일반인들은 무료 백신 등 공짜 소프트웨어가 당연한 것이라고 생각하고 있다.

이러한 총체적 문제를 개선하기 위해 정부는 지난해 8월 국가안보를 위협하는 사이버 공격에 종합적이고 체계적으로 대응하기 위한 관계부처 합동의 ‘국가 사이버안보 마스터플랜’을 마련·시행한다고 밝혔다.

정부는 이 마스터플랜을 통해 사이버 공격 및 보안사고 발생 때마다 지적됐던 업무 혼선·중복 문제를 해결하기 위해 국정원의 컨트롤타워 기능과 부처별 역할을 체계적으로 정리했다.

즉 국정원이 평상시와 위기상황 발생시 총괄 기능을 수행하고, 방송통신위원회는 방송통신 등 민간 분야, 금융위는 금융분야, 국방부는 국방분야, 그리고 행정안전부는 전자정부 대민 서비스, 정부전산센터 등 행정 분야 등으로 각 부처별 소관사항을 분장토록 했다.

하지만 국정원은 어떤 분야에서 어떻게 컨트롤타워 기능을 수행하는지에 대해서는 국가 안보문제를 들어 공개하지 않아  법적으로 명확한 권한 부여와 제한이 없으면 전과 같은 혼선이 발생할 것으로 전문가들은 우려하고 있다.

이에 대해 방통위 관계자는 이 마스터플랜을 통해 그동안 사이버 기능이 부처별로 분산됐고 정부 대응체계 혼선이 많았다는 문제를 해결하고 민간 분야 보안 역량을 강화하는데 초점을 맞췄다고 설명했다.

이처럼 사이버 보안과 관련한 각 정부부처들의 기능을 효율적으로 통합하는 것은 결코 쉽지 않은 일이다. 하지만 견고하고 체계적인 공조를 강화하고 이를 통제하고 지휘하는 보안 컨트롤 타워의 정립은 반드시 필요하다.

아울러 이를 위해서는 각 기관별로 중복되고 산재되어 있는 사이버보안 관련 법체계를 잘 정비하고 개선할 필요가 있다. 국가의 정보보호를 책임질 보안 컨트롤타워를 통한 일관성 있는 정책 운용과 침해사고 정보의 공유도 절실한 시점이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>