이번 NETSEC-KR 2016에서 가장 관심을 끈 것은 28일 마지막 시간에 열린 패널토의였다. 이유는 최근 사회적 이슈가 되고 있는 ‘사이버테러방지법’이 주제였기 때문이다.
?좌부터 권석철, 이은우, 김승주, 최경진, 김소정, 김계근 토론자
이번 세미나의 대미를 장식한 ‘사이버테러방지법! 그것이 알고 싶다’ 패널토의는 김승주 고려대 교수의 사회로 진행됐으며 패널 토의자로는 권석철 큐브피아 대표, 김계근 SK인포섹 이사, 이은우 법무법인 지향 변호사, 최경진 가천대 교수, 김소정 국가보안연구소 정책연구실장 등이 참석했다.
김승주 교수는 패널토의 전에 전체 참관객들에게 서상기 의원이 지난 2월 22일 대표발의한 ‘국가 사이버테러 방지 등에 관한 법률안’을 배포하고 토의 내용과 질의응답이 법률안에 의거한 토의가 되기를 희망한다고 전제했다.
토의는 3가지 주제로 이어졌다. 우선 △현재 사이버테러방지법의 범주가 모호해서 문제발생할 수 있다는 점, 그리고 △정통망법과 중복되는 것 아닌가, 마지막으로 △국정원이 컨트롤타워를 해야 하나란 주제로 토의가 진행됐다.
모두발언 내용을 살펴보면 다음과 같다.
-김계근 SK인포섹 이사=보안업무 20년이다. 사고대응을 위해 일련의 조직적 대응이 필요하다. 긴급사안에 대해서 필요한 법이다.
-권석철 큐브피아 대표=업계입장에서는 사이버테러방지법이 필요하다. 하지만 법 내용이 모호한 부분이 있어 민간에 어떤 영향을 미칠지 우려되는 부분이 있다. 개선이 필요하다.
-김소정 국가보안연구소 정책연구실장=사이버테러방지법은 일부에서 우려하는 무분별한 정보수집과 국정원 권한남용으로 이어질 수 없는 법적 장치가 마련돼 있다. 권한과 책임이 법제화 되어 있어 걱정하지 않아도 된다. 사회에 꼭 필요한 법이 될 수 있도록 오늘과 같은 토론자리가 필요하다.
-이은우 법무법인 지향 변호사=사이버위협에 대응하는 것은 필요하지만 국가가 이를 조정하는 것, 특히 정보기관인 국정원이 개입되면서 오해가 불거지고 있다. 정보보안 산업에도 악영향을 줄 수 있다.
-최경진 가천대 교수=법은 다양한 이해 관계가 충돌하기 마련이다. 균형감이 필요하다.
이제 본격적인 패널토의가 시작됐다. 김승주 교수는 “현재 발의된 사이버테러방지법안이 국정원의 민간사찰로 악용될 수 있다는 우려가 있다. 법안의 모호함 때문이라고 한다. 어떤 부분이 모호한가”란 물음을 던졌다.(이하 토론자 기관명과 직책은 생략한다)
-이은우=사이버위협에 대응하는 것은 필요하고 공공과 민간의 협력이 중요하다. 하지만 이번 법안처럼 국가 주도는 공공과 민간의 상호 신뢰성 형성이 어렵다. 민간이 발전시켜 나가고 국가가 지원하는 식으로 이루어져야 한다. 또 기술을 강제해 정보보호 산업의 기술중립성도 훼손, 결국 산업에도 악영향을 미칠 수 있다. 관제센터의 자율성도 헤칠 수 있다. 현재 법안이 모호하기 때문에 오해를 불러 일으키고 감시를 위한 법 아니냐는 목소리가 커지고 있다.
-최경진=기술중립성을 훼손할 만한 법안은 아니다. 기술을 강제할 만한 내용도 찾지 못했다. 따라서 법안이 산업을 후퇴시킨다는 것은 이해할 수 없다. 사이버테러의 정의를 잘 규정해 모호함을 없애고 남용이 되지 않도록 하는 것이 중요하다.
-이은우=기반시설보호법과 정통망법을 통해 사이버테러 방지 관련 지침을 만들 수도 있다. 현재도 두 법의 시행령을 통해 상세하게 집행되고 있다. 이들 법도 국정원이 권한을 가지고 있다. 문제는 관련 법을 가지고 있으면서도 정부는 정보보호 업무와 상관없는 자들을 해당 부서에 배치하고 순환보직으로 돌리고 있다. 전문성이 없는 것이다. KISA(한국인터넷진흥원)도 47%가 비정규직이다. 이런 상황에서 제대로 운영이 될 수 있을까. 정부가 현재 있는 법도 제대로 운영 하지 않으면서 새로운 법만 만들면 뭐하나.
사이버테러 방지를 위해 새로운 법을 만들 것이 아니라 기존 법을 조정하면 되고 정부에서 현재 법이라도 잘 운영될 수 있도록 물적 제도적 지원을 하는 것이 우선되어야 한다.
-김승주(사회자)=토론 내용에서 관제업체들의 자율성을 헤칠 수 있고 기술중립성도 헤친다는 내용이 나오고 있다. 또 망법과 기반보호법과 중복된다는 내용도 있다. 어떻게 생각하는가.
-김계근=관제센터는 일반적으로 IDC에 설치된 보안장비에서 나오는 로그를 분석하고 이를 토대로 예방활동을 하는 것이다. 위협정보와 공격징후 등을 파악하는데 있어 이번 법이 저해하는 내용은 없다. 관제센터의 기술중립성에도 큰 영향을 주는 내용은 없다고 생각한다.
-권석철=문제는 민간기업이 데이터를 어디까지 제공해야 하고 어떻게 요청에 대응해야 할지 모호한 부분이 있다. 모든 정보를 다 내놔야 하는지 걱정이 되는 부분이 존재한다.
또 법안 9조4항에 보면 ‘누구든지 제1항 및 제2항에 따른 사고조사를 완료하기 전에 사이버테러와 관련된 자료를 임의로 삭제, 훼손, 변조해서는 안된다’고 명시하고 있다. 하지만 실제 침해사고 현장을 가보면 공격은 이미 오래 전부터 진행돼 시스템이 그대로 보존되고 있을 가능성이 낮다. 이런 경우 이 법을 적용하면 3년 이하의 징역과 3천만원의 벌금을 맞게 된다. 범죄자만 양산할 뿐이다. 어떤 데이터를 어디까지 가져가고 보느냐를 명확하게 정하고 민간과 협력해서 서로 룰을 정해놓고 움직여야 한다.
-김승주=기술중립성은 훼손하지 않는다는 입장과 하지만 정보공유를 어디까지 해야 하는지는 모호하다는 입장을 들었다.
다음 주제는 중복입법 문제에 대해 논의하는 시간을 갖겠다.
-김소정=정통망법과 기반시설보호법은 적용 대상이 구체적이다. 그래서 홀이 발생한다. 예를 들어 원자력발전소는 기반시설로 지정돼 법 적용을 받지만 원자력연구소는 제외된다. 하지만 요즘 공격은 상대적으로 취약한 하위 기관을 대상으로 공격을 진행해 원래 타깃에 접근하는 경우가 많다. 이처럼 원래 목적을 달성하기 위해 민간 부분까지 대응하려면 이 법이 필요하다. 그래서 기존 법과 중복되는 법이 아니다.
-이은우=부족한 부분에 대응하기 위해 왜 새로운 법이 필요한가. 실제로 부족한 부분은 정보보호에 대한 정부의 예산과 전문가 인력에 대한 투자다. 법이 아니다. 여기에 더 투자를 해야 한다. 그리고 부족한 부분이 있다면 보안산업의 기술발전으로 해결해야 한다. 기술이 발전해야 새로운 공격도 탐지하고 차단할 것이 아닌가. 법만 자꾸 만들면 뭐하나.
-최경진=망법은 일반적인 상황일 때 적용될 수 있다. 긴급 상황에서는 적용이 안된다. 국가안전보장은 국민들에게 중요한 사안이다. 그래서 국가 테러수준의 공격이 발생했을 때를 대비한 법 마련은 필요하다. 국정원이 모든 것을 다하려는 것 아니냐는 우려가 있다. 이런 우려가 현실화되지 않도록 장치를 마련하면 된다. 탐지 기준을 특정인 추적이나 일정 목적을 가지고 하면 문제다. 그런 권한남용이 되지 않도록 법의 체크밸런스를 잘 유지시키면 된다.
-권석철=현재 망법이나 기반보호법을 보면 침해사고, 사이버테러 등이 발생하면 미래부와 국정원이 컨트롤 타워 역할을 하고 있다. 여기에 다시 법 하나가 추가되면 법 적용을 받는 민간기업은 어려움이 발생할 수 있다. 기본적으로 망법과 기반보호법, 사이버테러방지법 3개가 많이 비슷하다. 정보공유가 핵심이라면 기존에 있는 법을 수정해서 활용하는 것이 좋지 않을까.
-김소정=기존 법으로 정보공유가 제대로 됐나를 생각해보자. 제대로 안됐다. 그래서 법제정이 필요하다. 이 법을 통해 각급 기관장이 보안 수준향상을 위해 노력하고 다른 기관은 어떤 공격을 받고 어떻게 대응하고 있는지 서로 정보를 공유해 보안수준을 향상시킬 수 있도록 하기 위함이다. 긍정적 효과가 기대된다.
-김승주=두 가지 의견으로 갈린다. 하나는 기존 망법과 기반보호법은 홀이 존재한다. 사이버테러방지법은 그 부분을 커버할 수 있다. 특히 국가 사이버 위기 발생시 별도의 법이 필요하다는 의견과 또 하나는 기존 정통망법과 기반기설보호법을 수정하는 것이 더 효과적이다. 특히 기존 법이라도 제대로 운영될 수 있도록 정부의 지원이 우선되어야 한다는 의견도 나왔다.
다음은 국정원이 사이버테러방지 컨트롤타워 역할을 하는 것에 대한 토론을 해 볼까 한다.
-김소정=국정원이 현재도 국가 사이버보안의 중요한 축으로 역할을 해 오고 있다. 정보공유도 마찬가지다. 공공과 민간에서 나오는 정보공유의 중심역할을 담당할 자격을 갖추고 있다. 왜 안된다고만 하나.
-김계근=현재 법으로는 민간에서 정보공유는 기대하기 힘들다. 사이버테러방지법이 원래 목적대로 잘 이행된다면 정보공유가 원활하게 이루어질 것이다.
-권석철=민간은 현재도 일정부분 기관과 정보공유를 하고 있지만 상하관계에서의 공유가 되고 있다. 여기에 사이버테러방지법이 만들어지면 이제 민간 보안기업들은 법에 의해 강제적으로 정보를 내 놔야 한다. 민간기업들에게도 정보는 중요한 자산이다. 이를 강제적으로 내놓으라고 하는 것이다. 이런 형태보다는 민간과 정부가 대등한 관계에서 정보를 교류할 수 있는 장치가 필요하다. 국정원 보다는 다른 기관이 해보면 어떨까 제안한다. 국민들이 납득할 수 있는 기관이 하면 좋을 것 같다.
이제 패널토의는 끝나고 플로어 질문 시간이 돌아왔다.
-플로어 질문=사이버테러방지법은 국정원이 사찰을 위해 만드는 법이라는 불신이 있다. 어떻게 생각하는가.
-권석철=법 조항을 보면, 모든 것이 테러로 규정돼 있다. 그래서 테러의 정의를 잘못 규정하면 법에 모든 것이 적용될 수 있다. 하나의 사이버 공격을 ‘테러’라고 규정하는 단계가 중요하다. 테러로 규정하는 것은 국정원이 아닌 법원이나 다른 검증기관에서 해야 한다. 그래야 권력 오남용을 막을 수 있다고 생각한다.
이후 플로어 질문이 있긴 했지만 법과 관련된 내용이 아니라 생략하기로 하겠다.
사이버테러방지법, 법의 취지는 동감하지만 왜 국정원이 컨트롤 타워를 맡아야 하는지, 기존법을 활용할 수 있는데 왜 굳이 새로운 법이 필요한지, 정보공유는 어떻게 해야 하는지 각기 전문가들의 목소리를 들어보는 의미있는 시간이었다. 법에는 많은 이해관계가 얽히고 설켜있기 마련이다. 사이버테러방지법이 만들어 짐으로써 발생할 수 있는 이해관계가 찬-반 의견을 갈라 놓는 중요한 요인일지도 모르겠다. 지난 총선에서 여-야 국회의원 구성에 변화가 생기면서 사이버테러방지법이 어떤 결말을 맺게 될지는 좀더 두고 볼 일이다.
★정보보안 대표 미디어 데일리시큐!★
데일리시큐 길민권 기자 mkgil@dailysecu.com
