최근 통신 3사 해킹, 쿠팡의 개인정보 3370만건 유출, 북한 연루 의심 가상자산 탈취 사건이 이어지면서 한국 사회가 '사이버 전시(戰時)' 상태에 빠졌다. 온라인 쇼핑, 배달, 간편결제, 행정 플랫폼 등 국민 생활 기반이 디지털로 작동하는 현실에서 사이버 침해는 더 이상 기술적 사고가 아니라 국가안보의 핵심 변수다.
문제가 반복되는 원인은 단순한 '보안 의식 부족'만이 아니다. 초연결 사회의 구조적 취약성, 국제적 위협 가중, 그리고 제도적 대응체계 미흡이 맞물리며 위험을 증폭시키고 있다. 스마트폰 보급률 99%, 연간 온라인 쇼핑 거래액 240조원이라는 수치는 우리 사회의 디지털 기반 의존도를 단적으로 보여준다. 어느 한 곳의 취약점이 곧바로 국가 단위 피해로 번질 수 있는 구조다.
외부 위협 또한 거세다. 글로벌 사이버보안 기업 체크포인트에 따르면 북한 해킹 조직 라자루스·킴수키 등에 의한 한국 기관 공격이 주당 1049건에 달하고, 다국적 대북제재 모니터링팀은 북한이 지난해 1월부터 올해 9월까지 4조원 규모의 가상자산을 탈취한 것으로 집계했다. 국정원이 “북한의 사이버 공격은 이미 일상화됐다”고 평가한 이유다.
주변국의 위협도 무시할 수 없다. 중국 국가정보법(2017년 제정)은 모든 인민에게 국가의 정보활동 협조를 의무화하고 있어, 글로벌 공급망 보안 측면에서 주요 위험 요소로 지목된다. 쿠팡 사태 이후 정보기술(IT) 업계에서 특정 국적 개발자 비중을 둘러싼 논란이 불거진 것도 이러한 제도적 환경 때문이다.
최근 몇 년 사이 새로운 유형의 위협도 급부상하고 있다. 제로데이 취약점을 사고파는 글로벌 생태계가 확대되면서, 고난도 공격이 늘고 있다. 인공지능(AI) 기반 자동화, 음성·영상 위조 기술 등을 활용한 신종 사기 및 공격이 기존 보안 체계를 무력화시키고 있다. 내부자 실수나 고의적 유출, 외주·하청 중심 개발 구조에서 비롯된 접근 권한 관리 문제 역시 반복적으로 위험에 노출되는 배경이다.
그러나 국가적 대응 체제는 이를 따라가지 못하고 있다. 현재 공공 부문은 국가정보원, 민간은 과기정통부·한국인터넷진흥원, 군사 분야는 국방부가 각각 맡는 구조로 사실상 '3원 체계'다. 공격은 영역 구분이 없음에도, 방어는 '칸막이 구조'를 벗어나지 못하는 셈이다. 국회 국정감사에서 “통합 지휘 체계 부재” “업무영역 간 대응 공백”이 반복적으로 지적되는 이유다.
그럼에도 법·제도 개편은 좀처럼 진전을 보이지 못하고 있다. 사이버안보 관련 법안이 17대 국회에서부터 계속 발의됐지만, 기관 간 권한 다툼과 사생활 침해 우려 등이 얽히며 본회의 문턱을 넘지 못했다. 그사이 공격의 규모는 커졌고, 디지털 플랫폼은 이미 국가 인프라의 중심이 되었다.
지금 필요한 건 국가 전체의 디지털 방어 시스템을 재설계하는 전면적 개편이다. 미국의 사이버안보·인프라안전국(CISA)이나 영국의 국가사이버보안센터(NCSC)처럼 실질적인 통합 컨트롤타워를 구축하고, 대량 개인정보 취급 기업에는 유럽연합(EU)의 일반정보보호규정(GDPR)에 준하는 강력한 책임·제재 체계를 적용해야 한다.
이를 뒷받침하려면 가칭 '사이버안보법' 제정이 시급하다. 여기에 특정 국가 인력 편중 문제 해소 및 국제 기준의 공급망 보안 정비, 가상자산 산업에 대한 금융권 수준의 보안 규범 도입, AI·딥페이크 대응 프레임워크 구축 등 선제적 해결 과제도 동시에 추진돼야 할 것이다.
채성준 서경대 군사학과 교수·안보전략연구소장·전 국가안보전략연구원 연구위원 yeomul@hanmail.net