[김국배기자] "(사이버안보) 콘트롤타워가 '누구냐'보다는 '감사권'이 있느냐가 중요합니다."
김승주 고려대학교 사이버국방학과 교수는 29일 서울 여의도 국회의원회관에서 열린 '한수원 해킹사고 진상파악과 재발방지대책 방향모색을 위한 전문가 초청간담회'에서 이같이 주장했다.
감사권이 없는 한 일선부처에 문제점을 지적해도 쉽게 고쳐지지 않는 만큼 '누가' 사이버보안을 책임지는 콘트롤타워가 되든 '집행력'이 중요하다는 의미다. 현재 국회에 계류돼 있는 국가사이버안보 법률안은 국가정보원이 콘트롤타워의 역할을 한다는 내용을 담고 있으나 이로 인해 통과가 불확실한 상황이다.
그는 미국의 'C&A(Certification & Accreditation)' 평가제도의 집행력을 벤치마킹 사례로 꼽았다. 그는 "미국은 각 기관이 연초 정책·기술·인력에 대한 대책을 세우고 (콘트롤타워가) 연말에 점검해 제대로 되지 않으면 예산을 삭감하기까지 한다"며 "예산권을 통해 집행권을 높이는 것"이라고 말했다.
그는 또 이번 한수원 사태를 놓고 "예방과 침해대응의 두 가지 측면에서 모두 낙제점"이라고 평가했다.
그는 "(정보유출과 직접적인 관계가 없더라도) 상당수 악성코드가 잠복하고 있다는 것 자체가 예방에 실패한 것"이며 "특정일을 지정해 공격을 예고한 상태임에도 정부는 '구조'보다 '원인분석'에 집중했다"고 지적했다. 국민을 안심시키는 것이 먼저였지만 우선순위가 틀렸다는 얘기다.
그는 무조건적인 국산 소프트웨어(SW) 장려 정책도 경계했다. "아래아한글의 경우만 해도 취약점이 집중적으로 연구되고 유포되는 현실"이라며 "보안에 대한 대책없이 (특정) SW를 장려하는 것은 문제가 있다"고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기