큰사진보기 ▲사이버안보 관련 주요 법안 비교 ⓒ 유도진 관련사진보기

덧붙이는 글 | 저자는 극동대학교 해킹보안학과 교수입니다.

소설 삼국지에서 위나라 조조는 오나라 정벌을 앞두고 자신의 함대를 쇠사슬로 연결시켰다. 북방 육군이 물 위에서 멀미를 하니, 배를 붙여 갑판의 흔들림을 줄이자는 계산이었다. 그런데 오나라 주유가 화공으로 공격하자, 불씨가 한 척에서 옆 척으로, 연쇄로 옮겨 붙었다. 쇠사슬로 묶인 배들은 떨어져 달아날 수 없었고, 장점이 단점으로 바뀌는 순간이었다.물론 이 이야기는 소설에 기반하지만, 지금 우리의 초연결 사회는 이러한 모습과 닮아 있다. 모든 공공ㆍ금융ㆍ통신이 공통 인증과 클라우드, 공급망으로 조밀하게 묶여 있어 한 지점의 실패(Single Point of Failure, SPOF)가 곧 연쇄 장애로 번진다.비슷한 교훈은 또 있다. 2021년 요소수 대란은 특정 해외 공급처 제약이라는 단일 실패지점이 어떻게 물류를 곧바로 멈추게 만드는지 보여줬다. 또 같은 해 5월 미국의 콜로니얼 파이프라인은 하나의 시스템이 랜섬웨어 공격으로 가동을 멈췄고, 이어서 동부 연료의 약 45%를 담당하는 방대한 파이프라인의 작동이 멈추면서 주유 대란이 발생했다. 하나의 실패가 생활ㆍ물류 전체를 흔들었던 것이다.최근인 2025년 7월에는 마이크로소프트 SharePoint 제로데이(온프레미스 한정)가 악용되며 다수 기관이 침해되었고, 미 에너지부 산하 NNSA(국가핵안전국)까지 영향을 받았다. 한 점에 대한 공격이, 점에서 선으로, 국가핵안보 영역까지 전이된 것이다.이 밖에도 2022년 판교 데이터센터 화재로 생활 인프라 서비스가 수일간 흔들린 사건, 더 거슬러 올라가 2009년 7ㆍ7 DDoS와 2013년 3ㆍ20 전산 대란은 동시다발 마비의 선례다. 이제는 이러한 연환을 끊는 설계가 법안으로서 보장되어야 한다.그간 우리 국회와 정부가 손 놓고만 있었던 것은 아니다. 아래 표는 최근까지 발의된 주요 사이버안보(보안) 기본법안의 핵심 내용을 컨트롤타워 구축, 감시 권력에 대한 입법ㆍ사법부의 견제, 민간 협력, 대응ㆍ복구 역량(복원력)과 공급망ㆍAI 보안, 정보인권 보장 여부 등 다섯 가지 기준으로 정리 및 비교한 것이다.위 표에서 알 수 있듯이, 사이버안보 거버넌스의 설계철학은 두 흐름으로 크게 나뉜다. 하나는 국정원 중심 일원화 모델이고, 다른 하나는 민간 부처 중심 분권화 모델이다. 전자는 국정원에 사이버안보 컨트롤타워를 집중시켜 일사불란한 대응을 꾀한다. 이러한 안들은 국가안보 업무 경험이 풍부한 국정원의 역량을 최대한 활용한다는 장점이 있으나, 권한 남용과 감시 우려가 뒤따랐다. 김병기 의원안의 경우 정보기관인 국정원에 민간 사이버 영역까지 조사권을 부여하여 시민사회 반발이 있었다. 국정원 중심안들은 철학적으로 "사이버 공격 = 국가안보"라는 인식 아래, 안보 최우선과 선제 대응을 중시하지만, 민주적 통제와 정보인권 측면에서는 취약하다.반면 민간 중심 모델은 진보 진영이 선호한 접근이다. 이들은 대통령실(국가안보실)을 컨트롤타워로 하되, 실행은 과기부 등 민간 전문기관이 맡는 구조를 제시했다. 윤영찬 의원안은 과기부 산하에 공공 및 민간을 아우르는 사이버보안본부를 설치하도록 해, 민ㆍ관 협력 중심의 대응체계를 구축하고자 했다. 이러한 분권형 모델의 철학은 투명성과 협업에 중점이다. 사이버 위협 대응에 있어 정보 공유와 민간 전문역량 활용을 강조하고, 무엇보다 국정원의 국내정보 파트 축소와 정보인권 보호를 중시한다. 다만 사이버 공격이 현실 안보인 만큼, 과기부 중심안은 컨트롤타워의 실효성 및 위기 시 일원화 지휘 문제 관련 우려도 있다.결국 국정원 대 민간 중심이라는 구도는 정권 교체 때마다 반복되어 왔다. 전자가 안보 우선의 중앙집권적 모델이라면, 후자는 민주적 통제의 분권형 모델이다. 구조적으로 전자는 대통령-국정원으로 이어지는 수직계열화를, 후자는 대통령-국무총리/부처로 이어지는 수평협업을 그린다. 철학적으로도 전자는 국민의 개인정보 등에 대한 보장 약화등 손해를 입더라도 공격을 막겠다는 입장이고, 후자는 "열린 거버넌스"로 지속 가능한 안보체계를 만들겠다는 입장이다.가정컨대 그간 민주당과 현 정부의 성격을 종합해 보았을 때, 사이버안보 정책기조는 "민간 협력, 정보인권 존중, 과학기술 기반 통제 및 분권형 효율성"으로 간주해볼 수 있다. 이러한 원칙에 의해 앞서 비교한 법안들을 평가하면, 민간 부처 중심안들이 대체로 방향이 맞다. 윤영찬 의원안은 민ㆍ관 통합 대응과 국정원 배제를 통해 정보인권 침해 소지를 최소화하는 등 현 정부의 지향과 상당부분 합치한다.현 정부가 지향하는 과학기술 기반 통제는 국정원과 같은 정보기관이 아닌 개방형 전문기관이 사이버 안보를 이끌어야 함을 뜻한다. 따라서 향후 입법에서는 별도 사이버안보 전담기구(가칭 국가사이버안보청 또는 KISA의 역할 강화)를 신설하여 민간 전문가와 공공 부문이 함께 정책을 수립 및 집행하도록 조정할 필요가 있다. 또한 정보인권 존중 원칙을 법률에 분명히 담아, 사이버안보 활동이 헌법상의 자기결정권 등 기존 인권 보장 장치를 훼손하지 않도록 명시적인 조항을 두어야 한다. 예컨대 사이버 위협 모니터링을 하더라도 개인 통신자료 수집은 영장 등 적법절차를 거치도록 규정하는 등, 헌법적 권리와 안보가 균형을 이루도록 해야 할 것이다.또한 민간 협력 측면에서, 민간 풀의 적극적인 참여를 이끌어내는 인센티브 구조도 필요하다. 현 정부는 디지털 민생을 강조해온 만큼, 사이버 위협 대응에 있어서도 민간이 신뢰할 수 있는 파트너로 느끼도록 해야 한다. 이를 위해 법안에 정보공유 플랫폼 구축, 사이버 위기 공동 연습ㆍ훈련 등의 프로그램을 명문화하고, 세제 혜택 등 민간 부문의 자율보안 강화 지원 방안을 포함시킬 수 있다.나아가 분권형 효율성을 담보하려면, 컨트롤타워를 대통령실에 두더라도 분야별 전문기관의 역할 분담을 명확히 설정해야 한다. 국정원ㆍ과기부ㆍ군ㆍ경 등 각각의 권한과 한계를 정교하게 구분하면서도 평시에는 정보공유와 협력을, 유사시에는 국가안보실(사이버안보비서관실) 주도로 일원화 대응을 할 수 있게 하는 하이브리드 거버넌스를 구축해야 한다. 예를 들어, 평시엔 과기부 산하 센터가 민간 침해사고를 총괄하되 안보 관련 용의점이 확인되는 순간 국가안보실로 이관하여 군ㆍ정보 라인이 투입되는 체계이다. 이러한 모델은 분산된 평시 체제의 효율성과 유사시 집약 대응력을 동시에 노리는 것으로, 현 정부의 지향과 부합하는 절충안이 될 수 있다.마지막으로, AI 보안 강화도 새로운 요소로 추가되어야 한다. 현재 발의된 법안들은 AI 위협에 대한 직접 언급이 미미하지만, 차기 정부에서는 AI 활용 사이버공격 대응 전략을 법제화하는 노력이 요구된다. 구체적으로, 국가 차원의 AI 기반 위협 탐지 시스템 고도화, 딥페이크 식별, R&D 지원 등을 법안에 포함시켜 첨단기술 시대의 사이버안보를 준비해야 한다. 이 점에서 현 정부는 AI 강국 비전을 내세우고 있는 만큼, 사이버안보기본법에 AI 관련 조항을 선도적으로 반영해 미래 위협까지 아우르는 법령을 추진해야 한다.이렇듯 사이버안보 입법의 방향은 분명하다. 분산된 역할을 하나로 묶어낼 범국가적 거버넌스가 요구되며, AI 보안 강화와 더불어 사이버 감시 행정권력을 견제하기 위한 입법ㆍ사법부의 견제장치도 반드시 필요하다. 여기에 더해 안보와 각 개인정보 자기결정권은 동시에 지켜져야 할 가치임을 잊지 않아야 한다. 민주주의 국가의 사이버안보기본법은 국민의 신뢰 기반 위에서만 성공할 수 있다. 이러한 원칙 아래 이제 여야 구분 없이 머리를 맞댈 때이다. 사이버 공간에서 보이지 않는 투쟁에서 안전하기 위해서는 모든 것을 초월한 범국가적 대응이 필요하다. 이미도 근 20년간 수차례 좌절된 사이버안보기본법 제정을 미룬다면 그 피해는 고스란히 국민과 국가에게 돌아올 것임을 우리는 직시해야 한다.