기업 정보 유출 지난해도 증가세
자체 인지·신고까지 최장 700일
국정원, 국가 배후·국제 조직발 의심은 민간도 조사
민주적 통제 병행 필요 분석도
자체 인지·신고까지 최장 700일
국정원, 국가 배후·국제 조직발 의심은 민간도 조사
민주적 통제 병행 필요 분석도
|
국회 정보위원회(정보위)는 지난 7일 국정원 직무 범위에 '경제안보'를 포함하고 사이버안보 직무에는 '해킹 수법이나 피해 양상 등에 비춰 국제 및 국가 배후 해킹 조직의 활동으로 의심되는 경우'를 포함하는 국정원법 개정안을 통과시켰다. 개정안은 정부가 지난해 10월과 올해 1월 발표한 '범부처 정보보호 종합대책'의 실현 근거가 될 것으로 보인다. 이는 과학기술정보통신부(과기부)와 국가안보실, 국정원 등 관계부처가 합동으로 발표한 대책으로, 국정원 산하 국가사이버안보센터 등이 민간에 대한 유출 '가능성' 모니터링과 직권 조사가 가능한 것이 골자다. 기존에는 북한 배후 혹은 국제 해킹 조직의 소행 '의심' 단계인 경우 그 대상이 민간이면 국정원이 관여할 수 없었지만, 해당 대책과 개정안을 토대로 민관 통합 대응력을 높이겠다는 것이다.
이는 민간 차원에서 사전 대응에 한계가 있다는 배경에서 나왔다. 지난해 민간기업이 개인정보보호위원회(개인정보위)에 신고한 개인정보 유출은 319건으로, 전년(203건) 대비 57% 증가했다. 기업을 대상으로 한 사이버 해킹은 2021년 640건에서 2024년 1887건으로 3년간 3배 급증했다. 특히 대부분이 정보통신업, 제조업, 건설 등 분야로 국가 공급망을 포함한 경제안보와 직결된 분야다. 다만 이는 '빙산의 일각'일 가능성이 크다. 보안업체 SK쉴더스는 2021년부터 지난해까지 5년간 국내 중소·중견기업이 해커의 최초 침투 시점부터 인지하기까지 평균 106.1일, 최장 700일이 걸린 것으로 분석했다. 신고로 집계된 수치 외에 인지조차 못한 공격도 상당하다는 의미다. 이에 개인정보위는 지난 12일 발표한 '예방 중심 개인정보 관리체계 전환 계획'을 통해 민간 부문도 정부 차원에서 사전 점검하고, 정보보호 위반 행위에 대해 매출액의 최대 10%까지 징벌적 과징금을 부과하기로 했다. 기업의 보안 투자를 유도해 사전 대책으로 바꾸겠다는 취지다.
다만 이 역시 북한 배후 혹은 국제 해킹 조직의 공격을 근본적으로 사전 감지, 대응하기에는 어렵기 때문에 국정원의 해외 정보력 활용이 강조된다. 이에 국정원의 정보 수집·조사 권한에 대한 유권 해석과 민주적 통제 역시 중요해질 것으로 보인다. 김현중 국가안보전략연구원 연구위원은 '국정원법 개정과 경제 안보 시대 국가정보체계의 전환' 보고서에서 "최근 국제 정세에 따라 기존 국방·방첩 중심에서 '경제안보형 정보기관'으로 변모하는 것이 바람직하다"면서도 "역할과 활동 범위에 대한 법적 명확성, 선출된 권력에 의한 통제, 민관 협력체계 구축 등이 확보돼야 한다"고 짚었다.
국정원 내부 소식에 정통한 관계자는 "그간 북한 배후 혹은 국제 해킹 조직의 공격으로 의심돼도 확정적으로 규명되지 않으면 국정원은 조사에서 배제됐다"며 "민간에 개입한다는 것은 아니고, 외부 공격 세력 동향에 대해 정상적인 조사권을 갖게 한다는 의미로 해석된다"고 설명했다.
