<이미지를 클릭하시면 크게 보실 수 있습니다>

통신사와 카드사에 이어 전자상거래 기업까지 올해 유난히 해킹 및 이로 인한 대규모 개인정보 유출 피해가 잇따르고 있다. 개인정보보호위원회에 따르면 2021년부터 올해 11월까지 5개 연도 누적 개인정보 유출 건수는 총 1억 5593만 건이다. 올해 10월 기준 대한민국 총인구 수가 5114만여 명인 것을 감안하면 국민 1명당 3건 이상의 개인정보 유출 사고를 겪은 셈이다.

가히 한국인의 개인정보는 이미 공개된 개인정보이고 누구나 쓸 수 있는 공공재라는 비아냥에 대한 반론이 마땅치 않다. 정부는 10월 22일 정보 보호 종합 대책을 발표했다. 여기에는 △정보보호·개인정보보호 관리체계(ISMS-P) 등 실효성에 의문이 제기된 보안 인증 제도의 현장 심사 중심으로의 전환 △모의 해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 △해킹 정황을 확보한 경우 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있는 권한 부여 △개인정보 반복 유출 등에 대해서는 과태료·과징금 상향 △정보 보호 공시 의무 기업의 상장사 전체 확대 △공공 분야 정보기술(IT) 시스템·제품에 대해 소프트웨어 구성요소(SBOM) 제출 제도화 △연 500명 수준의 화이트해커 육성 등이 포함됐다. 제대로 대책이 실행되면 상당한 효과가 기대된다.

다만 아쉬운 것은 사이버 침해 사고 대응과 관련된 정부 조직의 문제다. 현재는 주로 과학기술정보통신부가 해킹 사고, 개인정보보호위원회가 개인정보 유출에 대응하고 있다. 그 외 공공은 국가정보원과 행정안전부, 금융은 금융위원회에서 사이버 침해에 대응한다. 컨트롤타워는 대통령실의 국가안보실이며, 국정원을 중심으로 민관군 합동 사이버 침해 대응 조직인 국가사이버위기관리단도 2023년 5월부터 운영되고 있다.

문제는 과기부는 이번 정부에서 부총리급으로 승격하고 인공지능(AI) 3대 강국 실현을 선도하는 부서로 거듭났다. 그럼에도 연일 터지는 해킹 사고 대응으로 본업에 집중하지 못하고 있다는 점이다. 또 국가안보실은 대통령실의 참모 조직으로 실행력이 부족하고 국가사이버위기관리단은 협력 체계 형식에 불과하다. 한국의 사이버 보안 거버넌스는 공공과 민간의 분리, 통합적 전문 기관의 부재, 컨트롤타워의 형식화라는 문제를 안고 있다.

이에 반해 미국은 국토안보부 산하 사이버 보안 및 기반시설 안보국(CISA·Cybersecurity and Infrastructure Security Agency), 영국은 3대 정보기관 중 하나인 정부통신본부(GCHQ) 산하 국가사이버보안센터(NCSC·National Cyber Security Centre), 독일은 내무부 산하 연방정보보안청(BSI·Bundesamt fur Sicherheit in der Informationstechnik)이 사이버 보안 총괄 역할을 한다. 모두 국가 안보 차원에서 사이버 보안을 보고 있으며, 공공과 민간을 포괄하는 통합적 전문 기관이라는 공통점이 있다.

한국도 가칭 사이버보안청(Cyber Security Agency)을 설립해 공공·민간·국방 등 전 국가 영역에 대한 통합 사이버 관제 시스템 운영 및 위협 수준에 따른 경보 발령, 사이버 위협 정보 공유, 사이버 침해 조사 및 제재, 사이버 보안 기술·인력 양성과 정책 개발 등의 업무를 수행할 필요가 있다. 사이버 보안 분야 최고의 전문가들이 사이버 침해를 예방하고 사고에 대응하는 통합적·전문적인 조직이 절실하다.

여론독자부 opinion2@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]