"사이버 전쟁은 이미 시작됐다." 이 문장은 더 이상 과장이 아니다. 랜섬웨어 공격, 정보 유출, 국가 기반시설 마비 등 사이버 위협은 더욱 치명적이고, 더 빈번하게 발생하고 있다. 기업은 해마다 보안 예산을 늘리고 있으며, 공공 부문도 예외가 아니다. 그러나 정작 무엇을, 어떻게 지켜야 하는지는 여전히 불투명하다.

우리는 지금 무엇을 지키고 있는가? 현장을 들여다보면, 대부분의 보안 예산은 기술적 방어에 집중되어 있다. 방화벽, 백신, 침입탐지 시스템, 보안관제 인력 등이다. 하지만 실제 사이버 공격의 90% 이상은 사람의 실수, 내부 통제 실패, 협력기관과의 취약 연결 지점 등 '비기술적' 영역에서 발생한다. 즉, 보안의 대상과 방식 모두 잘못 설정되어 있는 셈이다.

문제는 제도적 기반에도 있다. 국내 사이버 보안 관련 법은 과도하게 분산되어 있다. 기술 보호와 보안 개념이 혼재된 채로 첨단전략기술보호법, 산업기술보호법, 방위기술보호법, 대외무역법, 부정경쟁방지법 등으로 분법화돼 있어 일관된 대응이 어렵다.

박정인 교수.

미국의 사례는 시사하는 바가 크다. 2014년 소니픽처스 해킹 사건, 2015년 OPM(미국 인사관리처) 해킹 사건은 사이버 위협이 국가 안보를 직접적으로 위협할 수 있다는 점을 전 세계에 각인시켰다. 소니 해킹 사건은 북한 연계 해커 조직 'Lazarus Group'이 코미디 영화 《The Interview》 상영에 반발해 감행한 공격이었다. 대규모 정보 유출과 기업 명예 실추, 국가 외교 문제로까지 비화되었다.

OPM 해킹 사건은 그보다 더 치명적이었다. 2,200만 명의 민감 정보가 유출되었고, 정보기관 요원의 신원이 노출될 위기에 놓였다. 이 사건 이후 미국은 사이버 보안 개혁을 본격 추진하며, 사이버 보안 정보 공유법(CISA, 2015)을 제정했다. 핵심은 정부와 민간이 위협 정보를 실시간 공유하고, 이를 통해 사이버 보안의 대응 속도와 범위를 강화하는 것이다. 기업이 정보를 공유하면 법적 책임을 면제받는 '면책조항'도 마련됐다.

이후 미국은 DHS(국토안보부)를 사이버 보안의 중앙 컨트롤타워로 지정하고, AIS(자동 위협 정보 공유 시스템), ISAC(정보공유센터) 체계 등 민관협력 시스템을 구축했다. 연방기관은 FISMA 기준에 따라 보안 점검을 의무화하고, 주요 기반시설 보호, 위기 대응 훈련 등을 통해 전체 국가 차원의 보안 역량을 높였다.

해킹 이미지 [뉴스핌DB]

2022년에는 CIRCIA(사이버 인시던트 통지법)를 통해 사이버 사고 발생 시 72시간 이내, 랜섬웨어 지불 시 24시간 이내 신고를 의무화했다. 이는 단순한 신고 의무화가 아니라, 사이버 안보의 명확한 리더십과 조정권한을 정부에 부여하고, 기업과의 신뢰 기반 정보 공유 문화를 제도화한 사례다.

반면 우리나라는 과기정통부, 행안부, 국정원, 경찰청 등 사이버 보안 관할이 지나치게 분산돼 있다. 민간 기업은 사고 정보를 정부에 공유하기를 꺼려하고, 정부는 사고 이후 통계 정리에 급급하다. 이 같은 파편화는 비싼 보안비용에도 불구하고 효율적인 방어를 하지 못하는 근본 원인이다.

지금 우리에게 필요한 것은 사이버 보안 예산의 확대가 아니라, 보안 지휘체계의 일원화다. 국가정보원법을 CISA 법 체계처럼 개정해 국정원이 보안 컨트롤타워로서 민관 협력을 총괄하고, 법무부 산하에 FBI처럼 사이버 수사 전담기구를 설치해 형사사법 기반 대응 체계를 구축해야 한다.

사이버 보안은 단지 기술의 문제가 아니다. 신뢰 기반의 생태계, 정보 공유 문화, 명확한 책임 구조, 전략적 지휘체계가 갖춰질 때 비로소 국가 수준의 보안이 가능하다. 지금 한국의 사이버 보안은 '비용'은 크고, '지휘'는 없다. 이제는 체계를, 철학을, 리더십을 바꿀 때다.

옥타 로고가 보이는 휴대폰 화면 [사진=블룸버그]

※ 박정인 교수(법학박사)는 해인예술법연구소 소장, 숙명여대 문화행정학과 초빙교수, 단국대 IT 법학협동과정 연구교수에 이어 단국대 과학기술정책융합학과 연구교수로 있다. 대통령 국가지식재산위원회 본위원회 위원, 문체부 저작권보호심의위원회 심의위원, 문체부 여론집중도조사위원회 상임위원, 공직자윤리위원회 심의위원, 교육부 저작권검수위원, 경찰청 사이버범죄 강사 등 여러 국가위원을 역임했다. 특허법, 저작권법, 산업보안법, 과학기술법 등 지식재산과 산업 보안, 방위기술 전략 등의 이슈를 다뤄왔다. 그 밖에도 장애인연대, 청소년복지, 주거복지를 하는 사회복지사로 시민대상 역사문화해설과 문화재지킴이 등을 하는 시민운동가이기도 하다. 최근에는 스포츠법 책들을 차례로 저술했고, 발달장애인소프트볼협회 위원장을 맡아 장애인체육종목 개발에도 노력하고 있다.