윤오준 법무법인 율촌 고문
기술 방어에 법·외교적 수단 병행해야
국가 조사권 강화하되 민간 감시 금지
자율적 보안관리 위한 기업 지원 요구
과잉 처벌 우려… 책임 차등 부과를
기술 방어에 법·외교적 수단 병행해야
국가 조사권 강화하되 민간 감시 금지
자율적 보안관리 위한 기업 지원 요구
과잉 처벌 우려… 책임 차등 부과를
 |
| 윤오준 법무법인 율촌 상임고문이 아시아투데이와 인터뷰를 하고 있다. /정재훈 기자 |
올 한 해 대한민국의 사이버 안보는 '사상누각'에 비유된다. 정부와 기업의 보안망은 튼튼하지 못했고 속수무책으로 사이버 공격에 노출됐다. 피해는 고스란히 국민들이 감당해야 했다. 행정 시스템은 물론 사용하는 이동통신사와 온라인 마켓까지 개인 정보 유출 피해를 입지 않은 이가 드물 정도다.전 국가적 해킹 사태에 국가정보원(국정원)의 중요성이 커지고 있다. 정책 수립부터 위협 탐지·예방·사고 조사까지 국가 사이버 안보 분야에서 국정원이 맡은 비중은 상당하다. 국가기관 보호에 한정된 국정원의 안보 역량을 민간으로 확대해야 한다는 주장도 제기된다. 사이버 안보 업무를 전담하는 국정원 3차장이 국내 최고 전문가라 불리는 이유다.
윤오준 법무법인 율촌 상임고문은 지난해 2월부터 올해 6월까지 국정원 3차장을 지낸 자타공인 '사이버통'이다. 30여 년간 국정원에서 근무하며 사이버 관련 요직들은 물론 국가안보실 사이버안보비서관 등을 거쳤다. 윤 고문은 지난 13일 아시아투데이와의 단독 인터뷰에서 "기술적 방어뿐 아니라 법적·외교적 수단도 병행해야 한다"며 "민간에 대한 국가의 조사 권한을 확대하는 동시에 과도한 감시를 방지하는 균형성을 확보하는 게 중요하다"고 강조했다.
-사이버 안보 강화를 위해 국정원 등 국가가 엄격한 '조사 권한'을 가져야 한다는 의견이 있는 반면 과도한 '민간 감시'가 우려된다는 주장도 제기된다.
"민간에 대한 국가의 조사 권한은 필요하다. 최근 해킹 사태가 국가배후 조직이나 국제 사이버 범죄조직과 연계됐을 수도 있다는 우려와 정황이 제기되며 일부 부처 차원의 대응으로는 한계가 있다는 지적이 나온 바 있다. 전문성을 갖고 있는 국정원을 적극적으로 활용할 필요가 있다는 주장이다. 그러나 비례성과 투명성을 전제해야 한다. 국정원에 권한을 부여하면 법적 근거를 명확히 하고 민간 감시 금지 조항을 명시해야 한다. 또 국회나 감사원 등 외부 감시체계를 강화해야 한다. 무엇보다 민간과 지속적인 신뢰관계를 강화하기 위해 지속 가능한 협력 모델을 구축해야 한다. 민간 모든 영역을 대상으로 사이버 위협정보 공유 플랫폼을 통해 상호 투명성을 확보하는 방안이 있다."
-사이버 공격을 사전에 차단하는 '억제(Cyber Deterrence)'는 어렵나.
"아무리 치안을 강화해도 범죄가 발생하듯 공격 억제에도 한계가 있을 수밖에 없다. 그러나 일정 효과는 기대할 수 있다. 미국은 강력한 금융 제재, 국제 공조 수사 등을 통해 사이버 공격자의 비용 상승을 유도하고 있다. 우리 역시 기술적 방어에서 나아가 법적·외교적 수단을 병행해야 한다. 동시에 맞춤형 AI 기술을 적극 활용하고 공격을 전제로 한 복원력, 이른바 '사이버 리질리언스(Cyber Resilience·사이버 위협에 대비하고, 피해를 입어도 신속히 복구하는 능력)'를 강화할 필요가 있다."
-사이버 안보 컨트롤타워의 필요성이 제기된다. 가장 효율적인 구조는 무엇이라고 보나.
"단일기관 중심보다는 범부처 협업 체계가 바람직하다. 2015년 국가안보실에 신설된 사이버안보비서관이 실질적인 컨트롤타워 역할을 수행하고 있지만, 이를 뒷받침할 법과 제도가 미비해 제대로 인정받지 못하고 있는 실정이다. 전담 청 신설 주장도 제기되나 현실적으로 통합이 쉽지 않고, 제대로 된 역할을 수행할지도 미지수다. 국가안보실을 중심으로 국정원·과학기술정보통신부·경찰청·국방부·외교부 등이 각자 부여된 역할을 수행하는 통합 대응체계가 이상적이다."
-반복되는 사이버 사고에 대한 기업의 법적 책임이 강화되는 추세다. 정부 규제와 기업 자율 관리 사이의 균형을 어떻게 잡아야 하나.
"모든 사고에는 책임이 따른다. 책임을 지우기 위해서는 사전 규제로 의무를 부과하거나 자율적 보안관리를 하도록 권한을 위임하는 등의 기준이 필요하다. 의무를 강화하면 자율성이 떨어지고, 의무를 완화하면 자율성이 강화된다. 그러나 사고가 발생하면 의무와 자율이 혼재돼 그 경계를 설정하기 쉽지 않다. 기술의 발전과 시대 변화에 부응하기 위해서는 기업의 성격에 맞는 자발적인 보안관리 노력이 중요하다. 기업 스스로 중요성을 인식해야 한다는 의미다. 따라서 국가 핵심기능 유지에 필요한 인프라 관리 기업의 책임은 강화하고, 중소기업은 자발적인 보안을 위한 지원 중심으로 접근해야 한다. 정보보호최고책임자(CISO)의 권한을 강화하고 보안 공시 의무화를 확대하는 방안으로 자율성과 책임을 모두 확보할 수 있다."
-해킹이나 정보 유출이 발생하면 손해배상과 징벌적 책임으로 이어지는 현행 법체계가 실제 위협에 대한 적절한 대안인가.
"문제 해결에 있어 처벌이 능사는 아니다. 현행 우리나라 법 체계는 해킹사고 에 대해서 다소 너그럽고 관대한 것이 사실이다. 사건의 경중에 따라 엄중한 법적 책임을 부과할 필요가 있다. 그러나 억제 효과는 제한적이며, 과잉 처벌 우려도 존재한다. 사고 유형별로 책임을 차등 부과하고 보안 노력을 인정하는 제도가 필요하다. 특히 사전에 정보 공유를 위해 노력하고 사고 처리 과정에서 보인 조치에 대한 일정부분의 면책도 도입할 필요가 있다. 보안 인증 기업에 대한 책임 경감 제도가 균형을 맞추는 방안이 될 수 있다."
