대응체계 통합 속 추진 가능성…ISMS 인증제 개편도 ‘급물살’
박춘식 교수 “제도 강화해 해킹 사고 줄여야”
[SRT(에스알 타임스) 문재호 기자] 이재명 대통령 당선으로 새 정부가 들어서면서 '국가사이버안보기본법(가칭)' 제정 여부에 관심이 모이고 있다. 각 부처에 산재해 있는 보안 대응체계의 일원화 차원에서 추진될 것으로 보이는 만큼 오는 10월 관련 제정안 공개가 점쳐진다. 어느 때보다 높아진 법 제정 가능성과 함께 실효성 논란이 불거지는 국내 정보보호인증제도(ISMS) 개편 여부도 눈길이 쏠린다.
10일 업계에 따르면 이 대통령은 대선 후보 시절 '사이버 위협으로부터 안전한 나라를 만들겠다'고 공약하며 ▲국가 핵심 인프라 및 사이버보안 강화 ▲범정부 차원 사이버보안 대응 체계 구축 ▲민관 협력 통한 사이버보안 기술 및 산업 경쟁력 강화 ▲지역 및 중소기업 등 사이버보안 사각지대 해소 ▲피싱, 스미싱 등 디지털 민생안전 대응 강화 등을 제시했다. 북한발 피싱·해킹 범죄가 이어지는 가운데 최근 SK텔레콤(이하 SKT) 유심 정보 유출사태로 사이버 보안에 대한 국민의 우려가 커지며, 범국가적 대응이 필요하다는 공감대도 형성된 상황이다.
그러나 현재 개인정보보호와 관련한 정부 기능은 주무 부처인 개인정보보호위원회 외에도 신용정보법과 위치정보법에 따라 각각 금융위원회, 방송통신위원회로 분산돼 있어, 위기 시 민관이 신속히 협력하기 어려운 구조적 한계를 안고 있다. 국내 사이버 공격 대응은 민간은 과학기술정보통신부, 국방과 관련된 분야는 국방부, 공공 부문은 국가정보원이 맡고 있다. 국가안보실이 사이버안보 지휘소 역할을 하고, 사안에 따라 국정원, 민간, 국방이 협력하는 체계도 구축돼 있다. 이에 더해 최근 KS한국고용정보에서도 해킹이 발생해 정권 공백 속 유기적으로 대응하지 못했다는 지적이 나오며 불안감을 키우고 있다.
이에 사이버 안보 위협 공유 및 관리 체계 운영과 일원화된 대응체계를 구축하는 법안인 국가사이버안보기본법의 필요성이 대두되고 있다.
국가사이버안보기본법 제정은 2004년 개원한 17대 국회로 거슬러 올라간다. 17대 국회에서 처음으로 발의된 '사이버위기 예방 및 대응에 관한 법률안'이 임기 만료로 자동 폐기됐고, 이후 18대부터 21대 국회까지 회기마다 관련 법안이 어김없이 제출됐으나 모두 입법에 실패했다. 이후 국정원이 공식적으로 법 제정을 추진, '2025년도 정부 입법계획'에 법안이 포함되면서 오는 10월에는 제정안이 나올 것으로 전망된다. 민주당과 국민의힘 모두 '범정부 차원' 사이버보안 대응체계의 필요성에는 공감한 상황에서 이번 22대 국회에서 관련 제정안이 결실을 볼 수 있을지 귀추가 주목된다.
정보보안업계 관계자는 “이재명 정부 사이버 보안 정책 기조는 기존 정권과 크게 차이가 나지 않을 것으로 보이는 만큼 AI 등 중점 강화 영역에 예산확대가 이뤄질 것으로 예상한다”며 “업계에서도 긍정적으로 보고 있다”고 말했다.
ISMS 제도의 실효성 논란을 걷어낼 수 있을 지도 관심을 끈다. 최근 SKT 해킹 사태를 계기로 ISMS 제도 실효성에 대한 논란이 불거졌다. 정부는 제도 전반의 개편을 검토하고 있으며, 업계도 개선 필요성에는 동의하고 있다. 다만 인증 제도를 만능처럼 인식하는 데는 경계가 필요하다는 지적도 나온다.
사고 당시 SKT는 ISMS 인증 2건과 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’ 1건을 보유하고 있던 것으로 알려진다. ISMS는 조직이 해킹, 내부 유출, 장애 등 정보보호 위협에 얼마나 효과적으로 대비하고 있는지를 평가하는 제도로, 총 80개 항목을 충족해야 한다. ISMS-P는 여기에 개인정보보호 관련 항목 21개를 추가한 확장형 인증이다.
강은수 국회입법조사처 입법조사관은 “SKT가 정부에서 부여한 ISMS-P 인증을 받았음에도 불구하고 해킹 사고가 발생했는데, 인증기준에는 ‘사고 예방 및 대응’ 항목이 포함돼 있다”며 “이는 이동통신사 해킹 사태에서 인증 기준상 요구되는 절차가 실제 현장에서는 제대로 작동하지 않은 것이며 큰 비용과 시간을 들여 유지한 인증 체계가 정작 해킹 방어와 초기 대응에 실패한 것”이라고 지적했다.
정보보안업계에서는 ISMS 규제를 무작정 강화하기보다 기업과 기관이 지속적으로 보안을 유지할 수 있는 체계를 갖추는 것이 중요하다고 강조한다. 해킹 기술이 계속 진화하는 만큼, 단순히 인증을 획득했다고 해서 안심해서는 안 되며, 상시 모니터링과 신속한 대응 능력 확보가 핵심이라는 것이다.
박춘식 아주대 사이버보안학과 교수는 “ISMS 제도 인증은 해당 회사의 보안 강도가 특정 수준에 이르렀음을 나타내는 제도이기에, 인증 이후에도 지속적인 투자를 통해 취약점을 보완해야 한다”고 말했다.
박 교수는 이어 “전사적으로 인증을 받도록 하거나 보안 점검 항목과 투입 인력을 늘려서 인증을 하고, 인증 심사 단위도 기존 3년에서 1년으로 줄이는 식으로 ISMS 인증 제도를 강화해야 우리나라 기관과 기업이 해킹 사고를 겪는 빈도가 줄어들 것”이라고 덧붙였다.