[디지털비즈온 이호선 기자] 러시아의 우크라이나 침공을 받아 크게 변하는 세계의 사이버 보안 수요를 감안하면서, 기술 발전과 글로벌 상호 연결성은 시스템 보안 위험을 기하급수적으로 가속화하고 있는 상황에서 새로운 사이버 위험이 등장함에 따라 통합된 글로벌 대응의 필요성도 점점 가속화 되고 있는 실정이다.

구글은 최근 사이버 보안 기업 맨디언트(Mandiant)를 54억 달러(한화 약6조 6245억원)로 인수할 계획을 지난 3월에 발표했다.

우크라이너 전쟁으로 러시아가 경제제재에 동참한 기업과 국가에 대해 보복성 사이버전쟁이 미국과 일본에 공격을 시작했다.

실제 러시아 해커 집단 '킬넷'은 일본 정부가 운영하는 일본의 행정정보 포털사이트 이-고브(e-Gov) 외에 도쿄 메트로, 오사카 메트로 등 인프라 기업이나 신용 카드 대기업 JCB카드의 사이트 등에 사이버 공격을 가해 일시 열람할 수 없는 상태로 마비시켰다.

한국도 마찬가지로 한국 기업만 노리는 랜섬웨어 피해 사례가 늘고 있다. 한국랜섬웨어침해대응센터와 안랩자료에 따르면 한국 기업을 타깃으로 한 '귀신'(GWISIN) 랜섬웨어 피해 사례가 7월부터 잇따라 확인됐다.

현재까지 피해가 확인된 기업은 모두 상장사다. 랜섬웨어 작명부터 협상에 이르기까지 한국 정서, 기업 현황을 알고 있는 정황이 곳곳에서 드러났다. 조직에 한국인이 포함됐을 가능성도 있다.

랜섬웨어 조직은 한국 기업의 재무 상황, 기업 이슈 등을 파악하고 협상에 활용했다. 한국 기업과 협상을 거듭하는 과정에서 해킹 방법 및 암호화 기법을 진화시켰고, 복구 요구 금액도 많았다.

◇‘2022년 미국 사이버보안 강화법’ 의무 규정

미 바이든 행정부에서는 중요 인프라와 영업비밀을국가 전체가 해당 인프라와 비밀을 보유한 기업에게위임한 공공재라 여기고, 수임인인 기업은 위임인에대해 합리적인 사이버보안 조치를 해야 할 법적의무를 지고 있다고 봤다.

미국은 우크라이나 사태와 관련한사이버위협이 증가하면서 이제 미국은 주요 인프라기업이 해킹을 당했을 때 당국에 보고하는 것을법적 강제력이 있는 의무로 규정하였다.

‘2022년 미국 사이버보안 강화법’은 2022년 3월2일 미 상원이 만장일치로 승인하였고, 15일 미 바이든 대통령이 서명하였다.

미국은 연방정보보안현대화법 사이버보안 실행계획을 수립하였고, 사이버보안인력평가법에서는 사이버보안 인력의 능력 개발과 교육훈련을 위한 종합전략과 5개년 실행계획을 확립하였다. 연방사이버인력순환프로그램법에서는 공공기관 사이버보안 인력을 확보하기 위해 2022년 제정되었다.

또한 바이든 행정부는 영업비밀을 보유하고 있는 국내 기업·대학·연구소에 적극적인 사이버보안 의무를 부과하고, 행정부는 이행상황을 모니터링 하는 방향으로 나아가고 있다. 그 결과 정부는 지능적이고 다양해진 사이버보안 위협에 대해 통합적가시성을 확보할 수 있다. 이로써 국가 전체 사이버환경이 안전해질 뿐 아니라 공격적인 사이버 대응, 즉 해킹 백(hacking back)도 가능할 수 있다.

◇영국, ‘국가 사이버 전략 2022’ 발표

영국은 2030년까지 사이버 강국을 위한 비전과 비전을 달성하기 위한 5대 실행 전략을 골자로 한 ‘국가 사이버 전략 2022’를 ‘21년 12월 발표하였다.

영국 정부는 거의 모든 영국 기업에서 사용하는 IT 서비스의 보안 표준을 강화하기 위해 새로운 법률이 필요하다고 밝혔다. 여기에는 사이버 보안 사고를 보고하는 방식을 개선하고, 더욱 유연하고 기술 변화의 속도에 대응할 수 있도록 법률을 개혁하는 것 역시 포함하고 있다.

영국의 사이버 전략 2022는 ’국가 사이버 보안 전략 2016-2021‘과 ’안보, 국방, 개발 및 외교 정책에 대한 통합 검토본‘을 근간으로 작성되었다. 정부 차원에서의 전폭적인 지원, 기존 사이버(안보) 전략과 안보·국방·외교 정책 검토 결과 반영하여 국가 지도부의 강력한 의지를 표명했다

영국 사이버 보안 위원회(UK Cyber Security Council) 역시도 사이버 보안 분야에서 일하는 사람들이 온라인상에서 기업을 보호할 수 있는 적절한 장비를 갖추고 있음을 증명할 수 있도록 기준을 높이고 일련의 합의된 자격과 인증을 만들 수 있는 권한이 필요하다고 밝혔다.

◇독일, 사이버안보전략 2021

독일 정보통신산업협회(BITKOM)에 따르면, 2019년 사이버 공격 중 랜섬웨어에 따른 피해액만 독일에서 125억달러에 달한다. 개인정보보호법(GDPR) 위반 기준으로 2020년 부과된 벌금은 1억 8,000만 달러로 전년 대비 약 40% 증가했다.

2021년 독일 정보통신산업협회(BITKOM)의 설문조사에서 독일 인터넷 사용자의 39%는 아날로그 범죄보다 인터넷 범죄를 더 두려워하고, 58%는 사이버 공격을 막을 수 없다고 생각한다고 답변했다. 이에 사이버보안 산업의 중요성이 커지고 있다.

독일 사이버 안보전략 자료에 의하면, 2016년에 수립한 사이버 안보전략에 경제·학계·시민사회의 디지털화의 발전을 반영해 “독일을 위한 사이버안보전략 2021(Cybersicherheitsstrategie fürDeutschland 2021)”을 의결함으로써 향후 5년간 독일의 사이버 보안정책 기본방향을 설정하였다.

주요 내용은, 디지털 환경에서 안전하고 독립적인 행동, 국가와 경제 분야의 공동임무와, 효율적이고 지속가능한 국가 사이버 보안아키텍처, 유럽 및 국제 사이버 보안정책에서 독일의 적극적 역할을 포함하고 있다.

◇일본, 사이버보안전략본부 신설

과기부 kistep 자료에 의하면 일본은 2020년 동경올림픽 개최를 앞두고 사이버보안의 중요성이 강조되어, 이에 대응하기 위한 노력의 일환으로 2014년 11월 6일에 ‘사이버보안기본법(サイバーセキュリティ基本法)’을 제정하였다.

2015년 1월 9일 부터 전면 시행된 동법은 사이버보안에 관한 시책을 책정하고 실시하는 책무가 국가에 있다는 점을 명확하게 하고, 관련 기관의 권한을 명확화고 있다는 것이 큰 특징 중의 하나다.

또한 일본 사이버보안전략본부는 중요 인프라의 보호에 관한 새로운 민관 행동 계획인 ‘사이버 보안에 관한 행동계획’도 2022년 6월에 발표했다.

통신이나 전략, 철도 등 주요 인프라 사업자의 보호 대책에 관한 새로운 행동계획이며, 부적절한 대책으로 손해가 발생한 경우 기업 경영자의 책임 명확화 사이버 보안에 관한 행동계획은 현재까지 네 차례 작성되었으며, 5년 만에 개정된 금번 5차 계획은 정보통신, 금융, 항송, 전력, 의료 등 14개 분야를 주요 인프라로 규정하고 민관이 연계하여 추진하고 있다.

하지만 지난 3월, 일본 도요타자동차가 거래처의 사이버 공격 피해 때문에 1일 일본 내 모든 공장 가동을 중단했다. 도요타자동차는 이날 아이치현 도요타시에 있는 협력 업체 ‘고지마 프레스 공업’의 시스템 장애 영향으로 일본 내 모든 공장 가동을 중단했다.

일본 국책 사이버 보안 연구소에 따르면 기업을 포함한 기관에 대한 사이버 공격 사례는 2020년 5,001억 건으로 2019년에 3,220억 건에 비해 약 1.5배 증가하였으며, 사이버 공격은 매해 증가 추세에 있다고 지적했다.

일본 중소기업 경영자 및 종사원들은 사이버 공격 방지를 위한 특별한 대처를 하지 않는 상황이며, 사이버 공격 발생 관련 구체적인 대응 방안을 모르는 경우도 있다고 글로벌 이슈 리포트 ‘일본 사이버보험 시장 동향’ 강윤지 연구원은 보고서에서 언급했다.

◇한국 사이버보안 법률체계 분산 되어있고, 강화를위한 법안은 국회에서 계류중...

한국의 기반시설도 랜섬웨어 공격으로부터 안전하지 않다.대형 인프라 시설은 전체 링크 가운데한 부분만 사이버보안에 취약해도 백도어 액세스를 생성하여 전체 공급망을 위험에 빠뜨릴 수 있다.

실제로 지난7월 한국 기업만 노리는 랜섬웨어 피해 사례가 늘고 있다. 한국랜섬웨어침해대응센터와 안랩자료에 따르면 한국 기업을 타깃으로 한 '귀신'(GWISIN) 랜섬웨어 피해 사례가 잇따라 확인됐다. 한 국가가 보유한 경제적·정치적· 군사적 자산이 탈취된다는 의미이기 때문이다

우리나라의 사이버보안 법률체계는 공공부문은 ‘국가사이버안전관리규정’, 민간부문은 ‘정보통신망법’, 주요기반시설은 ‘정보통신기반보호법’ 으로 분산되어 있다.

이에 따라 사이버공격 등에 관한 정보가 보고되면, 국가정보원장이 국가안보실장과 협의하여 경보 등을 발령하고 관련 정책을 추진한다. 사이버보안 인력 양성 촉진과 지원은 ‘사이버안보업무규정’ 과 ‘국가사이버안보전략’ 등에서 정하고 있는데, 법률형식이 아니어서 공공분야에만 적용된다는 한계가 있다고 관계자들은 지적하고 있다.

국회 도서관 자료에 의하면 현재 사이버보안 강화를 위한 법안들(의안번호 2101220, 2113145, 2113670)이 국회에서 계류중인 것으로 나타났다.

◇2020년 06월 30일, 조태용의원등 27인 발의

“우리나라의 국가적 대응 활동은 공공․민간 부문이 제각각 분리, 독립 대응하고 있어 광범위한 사이버공격에 효율적인 대처가 불가한 실정임. 또한, 사이버공격 예방 및 대응을 위한 법률의 부재로 공격 징후를 실시간 탐지․차단하거나 신속한 사고 대응에 한계가 있다” 면서 “정부와 민간이 함께 협력하여 지속적으로 발생하는 사이버공격에 대해 사전탐지, 조기차단 등 능동적이고 효율적으로 대처하고, 사이버공간상 위기 발생시 국가의 역량을 결집하여 신속히 대응 할 수 있는 국가시스템을 구축”하는 법안을 조태용의원등 27인이 2020년 06월 30일 발의했다.

발의 내용은 ‘국가사이버안보정책조정회의’ 신설과 ‘국가사이버안보센터’ 신설을 주요 골자를 담았다.

◇2021년 11월 04일, 김병기의원등 13인 발의

김병기의원등 13인 발의된 내용은 가. 사이버안보를 위한 중요 사항을 심의하기 위하여 국가정보원장 소속으로 사이버안보위원회를 둠(안 제5조 및 제6조).

나. 사이버안보 위협행위로부터 소관사무 영역을 안전하게 보호하여야 할 기관·단체들을 책임기관으로 규정하고, 각 책임기관은 전담조직을 설치하고 국가정보원장이 수립하는 사이버안보 기본계획에 따라 소관 분야별 시행계획을 수립·시행하도록 함(안 제8조).

카. 사이버안보 관련 업무를 전문적이고 효율적으로 수행하기 위하여 현재 '과학기술분야 정부출연연구기관 등의 설립·운영 및 육성에 관한 법률' 제8조에 따른 한국전자통신연구원 부설로 설립되어 있는 국가보안기술연구소를 ‘사이버안보전략기술원’으로 승격함 (안 제28조부터 제32조와 부칙 제2조부터 제5조까지)을 주요내용으로 담겨있다.

◇2021년 12월 02일, 윤영찬의원등 12인 발의

윤영찬의원등 12인 발의된 내용은 가. 사이버보안에 관한 중요한 사항을 심의ㆍ의결하기 위하여 대통령을 위원장으로 하는 국가 사이버보안 전략위원회를 두고(안 제5조), 공공·민간을 포괄하는 국가 차원의 사이버보안에 관한 업무를 효율적으로 수행하기 위하여 과학기술정보통신부 소속으로 사이버보안본부를 둠(안 제6조).

나. 과학기술정보통신부장관은 사이버보안에 관한 전략 및 기본방향을 정하는 사이버보안 기본계획을 수립·시행하고 중앙행정기관의 장은 기본계획에 따른 시행계획을 수립ㆍ시행함(안 제7조). 을 주요내용으로 담겨있다.

◇시사점

우리나라의 사이버보안 대응체계와 관련 제도는 이러한 디지털 환경변화에 부합하지 못하고 있는 실정이라 관계자들은 내다보고 있다.

우리나라 사이버보안 제도는 사고 발생 후 필요에 따라 분야별로 도입됨에 따라 국가적인 사이버보안 체계가 없다시피 한 실정이며, 디지털 전환이 가속되면서 스마트공장 등 제도의 사각지대도 점차 커질 것으로 예상되고 있는 상황이라 주의했다.

우리나라 사이버 대응체계는 공공부문은 국가정보원, 민간부문은 과학기술정보통신부에서 담당하고 있으나, 이는 사이버 침해사고가 공공과 민간을 구분하지 않고 발생하는 현실을 반영하지 못하고 있는 상황이라 여기면서, 민간부문의 사이버침해 대응과 보안 산업 및 인력양성을 주도하고 있는 과학기술정보통신부에 사이버보안본부를 설치하여 공공과 민간의 사이버 침해대응을 체계적으로 할 수 있다고, 전문가들은 조언했다.