민간 분야 사이버 침해사고 발생 시 피해 확산 방지와 사고 대응 등을 모색하기 위해 미래창조과학부 장관이 구성하는 `민관 합동조사단` 제도가 형식적으로 운영되고 있다는 지적이다. 인력풀만 마련하고서 지난 10년 동안 합동조사단은 한 차례도 현장에 투입되지 않은 것으로 나타났기 때문이다.
5일 관계 부처와 업계에 따르면 정부는 지난 2004년 1월 25일 발생한 인터넷 대란을 계기로 민관 합동조사단 제도를 마련했다. 사이버 침해사고 피해 확산 방지와 신속한 사고 대응, 그리고 복구 및 재발 방지를 위해 민관이 공동으로 조사단을 구성해 침해사고에 대한 원인 분석을 할 수 있도록 한 것이 골자다. 이는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의 4(침해사고 원인분석 등)와 동법 시행규칙 제59조(민관 합동조사단의 구성 등)에 근거를 두고 있으며 미래부 장관이 조사단을 구성하도록 돼 있다.
이에 따라 지난 2004년 민관 합동조사단에 참여할 수 있는 인력들이 선정됐다. 90명 내외의 전문가들로 풀(2년 임기)을 구성해 올해로 10년째를 맞고 있다. 그런데 지금까지 민관 합동조사단이 실제로 사고현장에 투입돼 조사활동에 나선 사례는 한 번도 없었다.
지난해 발생한 `3·20 사이버테러`와 `6·25 청와대 해킹` 사건 등은 범정부 차원에서 민·관·군 합동대응팀이 꾸려져 조사가 이뤄졌다. 하지만 이는 국가정보원, 국방부, 미래부 등 범정부 차원에서 별도로 소집된 것이다. 범정부 차원의 대응이 필요한 사건 외에 있어서 만큼은 민관 합동조사단이 활동을 해야 하지만 그동안 소집되거나 현장조사에 나선 적이 없다.
민관 합동조사단 소속 한 관계자는 “정기 세미나 또는 정보를 개별적으로 공유한 것 외에는 사건조사에 참여한 적이 없다”고 밝혔다. 전문성을 높이기 위해 조사 인력풀을 만들어 놓고도 정작 활용은 하지 않는 어색한 상황이 지난 10년 동안 연출돼온 것이다.
여기엔 민관 합동조사단 구성에 소극적인 접근과 현실적인 장벽이 복합적으로 작용한 것으로 보인다. 정보통신망법에 따르면 정보통신망에 중대한 침해사고 발생 시 정보보호에 전문성을 갖춘 민관 합동조사단을 구성할 수 있도록 돼 있다. 그런데 조사단 구성의 전제조건이 되는 `중대한 침해사고`에 대한 해석이 엇갈린다. 무엇이 중대한 침해사고냐는 것이다.
조사단 실무를 맡고 있는 한국인터넷진흥원(KISA) 관계자는 “중대한 침해가 1·25 인터넷 대란처럼 전체 인터넷이 마비되는 것을 뜻하는지 기준 자체가 모호하다”고 말했다. 때문에 조사단을 구성하는 일이 간단치 않아 현재에 이르게 됐다는 설명이다. 또 사고조사 시 민간인력의 참여로 인한 민감한 정보의 유출문제도 민관 합동조사단 구성에 고민거리가 되고 있다는 지적도 있다.
하지만 여러 사정을 이유로 차일피일 미룰수록 조사단의 존재 가치는 물론이고 제도의 실효성도 떨어진다. 유명무실해질 수밖에 없다는 얘기다.
미래부는 이 같은 문제 때문에 개선을 추진할 방침인 것으로 전해졌다. 미래부 관계자는 “민간 참여를 확대, 보장하는 방향으로 훈령을 마련 중에 있다”고 밝혔다.
윤건일기자 benyun@etnews.com
