[사이버 투시경] ① 북한 해커 날뛰는데 사이버안보 예산은 국방비 0.1%, Control Tower도 보이지 않아

▲ 2016년 1월7일 미 네바다주 라스베이거스에서 열린 국제가전제품박람회(CES) 인텔 부스에서 한 관람객이 인텔의 칩이 내장된 랩탑 컴퓨터를 이용하고 있다. 사이버 보안 전문가들은 기업들이 반도체 칩 결함으로 인한 피해로부터 완전히 보호받을 수 있는 유일한 방법은 컴퓨터 시스템을 완전히 교체하는 것뿐이라고 경고했다.

4차 산업혁명 시대의 국가 안보 경쟁력은 사이버 안보 분야에서 결정된다는 건 이제 정설이 됐다. 네트워크와 컴퓨터 단말로 촘촘하게 연결된 주요 시설의 시스템에 대한 사이버 공격 및 방어능력은 한 국가의 존폐와 직결된다. 전쟁이 벌어지면 더 급박해진다. 상당수 첨단 무기들은 마이크로 칩이 장착돼 전자적으로 관리되고 제어된다. 적국의 사이버 공격을 방어하지 못하면 수천억 원짜리 첨단 무기도 고철이 돼버린다. 그러나 한국의 사이버 안보 능력은 초보 단계라는 지적이 높고, 개선 조짐은 보이지 않는다. [사이버 투시경]은 ‘구멍 뚫린’ 대한민국의 사이버 안보 능력을 점검하고, 그 개선 방향을 제시한다. <편집자 주>

(안보팩트=김한경 방산/사이버 총괄 에디터 겸 연구소장)

북한 해커조직, 2016년 국방 망까지 뚫고 작전계획 등 유출해

향후 5년 국방중기계획상 재원 중 사이버 예산은 0.1%인 2500억 원

미국은 국방예산 삭감 기조 속 사이버 예산은 2배 이상 증액 추세

대한민국의 사이버안보가 흔들리고 있다. 이미 북한 해커조직으로 추정되는 세력에 의해 국방 망까지 뚫린 사실이 2016년 9월 뒤늦게 확인되었고, 작전계획 등 비밀자료들도 상당수 유출된 것으로 밝혀졌다.

2017년 5월 국방부는 수사 결과를 발표하면서 “군의 보안체계를 획기적으로 개선하여 유사 사례가 재발하지 않도록 하겠다“고 말했다.

하지만 ‘18-’22 국방중기계획상 재원 238조 2000억 원 중 사이버 예산은 0.1% 수준인 2,500억 원에 불과하다. 금년의 경우 1.18. 국방부가 발표한 국방 정보화 사업 예산은 총 4,519억 원으로 작년 대비 4.2%가 감소하였다. 이 가운데 정보보호 사업에 397억 원, 사이버 대응 사업에 95억여 원이 배정되었다. 과연 이 정도의 예산 규모로 군 보안체계의 획기적 개선이 가능할지 의구심이 생긴다.

반면 미 국방부는 타 분야 예산이 대폭 삭감되는 가운데에도 사이버 분야 예산은 급속히 증가하고 있다. 일례로 ‘InformationWeek’는 “2014년 미 사이버사령부 예산이 4억 4700만 달러로 전년도의 1억 9100만 달러보다 2배 이상 증가했다”고 보도하였다.

게다가 우리나라에는 사이버안보에 관심 갖는 국회의원이 별로 없지만 “미국은 의회에서도 사이버안보 이슈가 인기종목이어서 담당 위원회만 10여개 정도 된다”는 한 시사 주간지의 보도도 있었다.

작년 12월 송영무 국방장관은 ‘전군 주요지휘관 회의’에서 “북한 핵·미사일, 사이버공격 같은 비대칭 위협의 증대”를 지적하면서 “새로운 전쟁 양상에 부합하는 전쟁수행 개념을 기초로 강군을 건설해 나가야 한다”고 강조했다.

하지만 그 이후 사이버안보 분야에서 국방부가 변화하는 모습은 보이지 않는다. 무엇보다도 사이버안보의 Control Tower 역할이 미흡하며, 관련 조직의 임무와 기능 또한 명확하지 않다.

한국 정부, 사이버 안보 개념 정의조차 불분명한 초보 단계

사이버안보 정책은 국방정책 큰 그림과 무관한 개별 부서에서 관장

아직 국내에서는 사이버안보에 대한 정의조차 명확히 정립되어 있지 않다. 사이버보안 전문가인 고려대 김승주 교수는 “사이버안보란 사이버보안의 정의에 전략의 개념을 더한 것으로 국가 전체를 사이버 위협으로부터 보호하는 것”을 의미한다고 주장한다.

이와 같은 정의를 국방 분야로 한정하여 현재 모습을 살펴보면, 국방부의 사이버안보 정책은 국방정책을 전반적으로 다루는 정책실이 아니라 정보화기획관실(사이버정책과)에서 담당하고 있어 Control Tower의 역할을 제대로 하지 못하고 있다.

합참의 사이버 작전은 현행작전을 수행하는 부서에서 담당하지 않고 작전지원 부서(사이버지휘통신부)에서 담당한다. 사이버 작전을 작전보다 하위개념인 정보보호와 사이버 방호 관점에서 접근했기 때문으로 보인다.

게다가 사이버사령부는 사이버전 수행의 최상위 부대로서 당연히 사이버 공격과 방어에 대한 권한을 갖고 있어야 하나, 특히 방어와 관련하여 각 군의 사이버방호센터 등과 지휘 관계가 확립되어 있지 않아 권한이 없다.

이와 관련, 손영동 한양대 교수(전 국가보안기술연구소장)은 “국방부 내에 사이버안보 정책을 총괄하는 전문 조직(가칭 사이버안보기획국)을 신설하되, 이 조직은 리더와 직접 소통하면서 리더의 의지를 관철할수 있어야 한다”고 주문한다.

미군 사이버 조직에 정통한 전문가는 “새로운 조직을 신설하는 것은 어려우니, 현 조직 내에서 기술 정책은 정보화기획관실, 일반 정책은 정책실에서 다루는 방향으로 나가되, 상호 유기적인 소통이 이루어져야 한다”고 현실적인 주장을 제기하고 있다.

합동작전 전문가들은 “작전지원 부서인 군사지원본부에 소속된 사이버작전과를 현행작전 부서인 작전본부로 이동하는 것이 타당하다”고 말한다. "전쟁 양상은 이미 사이버전과 물리전이 혼합된 방식으로 다양하게 전개되고 있어 사이버를 배제한 군사작전은 생각할 수 없다"는 것이 중론이다.

사이버사령부 또한 “미국처럼 사이버 공격과 방어에 대한 권한을 확실히 갖고 임무수행 능력을 구비한 조직으로 거듭나야 하며, 선진국 군대의 사이버 조직들이 발전해온 과정을 면밀히 검토할 필요가 있다”는 지적이 많다.

따라서 국방정책, 합동작전, 사이버, 조직편성 분야의 전문가들이 한자리에 모여 현재의 국방 여건에서 가장 적합한 해답을 찾는 실질적인 노력이 그 어느 때보다도 중요한 시점이다.