국가정보원이 내년 4월 총선을 앞두고 북한 등 적대 국가들의 ‘사이버 공격과 공작 활동’이 본격적으로 전개될 거라 예고했다.
19일 연합뉴스 등 각종 언론보도를 종합하면 국정원 핵심관계자는 이날 경기도 성남시 분당구 국가사이버안보협력센터에서 기자 간담회를 열었다.
이 관계자는 “(2024년) 우리 총선 및 미국 대선 등을 앞두고 의식이나 행동 변화를 유도하는 사이버상 영향력 공작이 본격화할 가능성이 있다”면서 특히 김영철 전 북한 노동당 대남비서에 주목했다.
북한 사이버 공작의 핵심 역할을 했던 김영철은 북한 노동당 대남비서에서 실각했다가 최근 통일전선부 고문 직책으로 정치국 후보위원에 복귀한 것으로 알려졌다.
국정원 관계자는 “김영철은 (2009년 7월 7일 국내 주요 정부기관, 금융기관, 인터넷 포털 사이트를 향한 대규모 사이버 공격으로 서버가 마비됐던) 7.7 디도스(DDoS) 사태, 농협 전산망 파괴, 3.20·6.25 사이버 공격 등을 주도한 인물인데, 향후 대규모 사이버 도발로 사회 혼란을 유도할 가능성도 있다”고 말했다.
이 관계자는 아울러 ▶올해 상반기 북한의 공급망 소프트웨어 공격이 작년 같은 기간 대비 2배 이상 증가했고 ▶이메일 절취를 위한 해킹 수법이 정교화하고 있으며 ▶불특정 다수를 대상으로 한 해킹 ▶북한 정보기술(IT) 인력의 국내 기업 해외 지사 위장 취업 정황 등이 발각됐다고 밝혔다.
그는 또 국제 및 국가 배후 해킹 조직의 국가 기반 시설 및 전산망 대상 사이버 공격을 예상했다.
이어 의료·교통 등 국민 안전을 볼모로 한 랜섬웨어(시스템을 잠그거나 데이터를 암호화해 PC 등을 사용하지 못하게 한 뒤, 이를 풀어주는 대가로 금전을 요구하는 악성 프로그램) 공격도 지속해서 발생할 것으로 내다봤다.
국정원은 또 대화형 AI(인공지능) 플랫폼을 통해 해킹 접근성이 쉬워지고 다크웹 상 해킹 도구 거래도 보편화하고 있어 각종 해킹 범죄가 늘어날 것으로 예상했다.
이에 따라 국정원은 동맹국·민간 분야와 협력해 사이버 위협에 공세적으로 대응하는 한편, 유관 기관과 AI 보안 관제 확대 보급 및 선거 보안 강화 등 대응 체계를 강화할 방침이다.
대책으로 국정원은 ‘아무 것도 신뢰할 수 없다’는 전제 아래 보안 기술을 적용하는 ‘제로 트러스트 보안 정책’을 2025년까지 부처별 시범 적용한 뒤 2026년 이후에는 범정부 대상으로 확대 적용할 계획이다.
또 양자 기술을 활용한 국가 암호 기술 확보를 추진하기로 했다.
이처럼 국가정보원이 사이버 안보 관련한 업무를 하는 근거가 있다. 국가정보원법 하위 법령인 사이버 안보 업무 규정이다.
제1조(목적) 이 영은 「국가정보원법」 제4조제1항제1호마목, 같은 항 제4호 및 같은 조 제3항에 따라 국가정보원의 직무 중 사이버안보 관련 정보의 수집·작성·배포 및 사이버공격·위협에 대한 예방·대응 업무의 수행에 필요한 사항을 규정함을 목적으로 한다.
제2조(정의) 이 영에서 사용하는 용어의 뜻은 다음과 같다.
2. “사이버공격·위협”이란 해킹, 컴퓨터 바이러스, 서비스거부, 전자기파 등 전자적 수단에 의하여 정보통신기기, 정보통신망 또는 이와 관련된 정보시스템을 침입·교란·마비·파괴하거나 정보를 위조·변조·훼손·절취하는 행위 및 그와 관련된 위협을 말한다.
이 규정은 사이버 안보 업무를 ▲해킹 조직 등 사이버 안보 관련 정보의 수집·작성·배포 ▲중앙행정기관 등을 대상으로 하는 사이버 공격·위협에 대한 예방 및 대응으로 정하는 한편 ‘하면 안 되는’ 일도 규정하고 있다.
제3조(사이버안보 업무의 수행)
② 국가정보원은 사이버 정보 업무를 수행할 때 중앙행정기관등 외의 기관에 대해서는 개별 법령에 근거가 있거나 해당 기관의 명시적인 요청 또는 동의가 있는 경우를 제외하고는 해당 기관의 정보통신망에 대한 접근 시도나 사이버 안보 관련 정보의 수집 등의 행위를 하면 안 된다.
사이버 관련 업무 적용을 받는 공공기관도 구체적으로 적시하고 있다.
제7조(사이버공격예방·대응업무 대상 공공기관의 범위) “대통령령으로 정하는 공공기관”이란 다음 각 호의 기관을 말한다.
1. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
2. 「지방공기업법」에 따른 지방공사 및 지방공단
3. 특별법에 따라 설립된 특수법인 중 다음 각 목에 따른 법인
가. 「한국은행법」에 따른 한국은행
나. 「방송법」 제43조에 따른 한국방송공사
다. 「한국교육방송공사법」에 따른 한국교육방송공사
라. 「한국해운조합법」에 따른 한국해운조합
4. 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 국립·공립 학교
5. 「정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」 제8조제1항 및 「과학기술분야 정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」 제8조제1항에 따른 연구기관
사이버 안보의 컨트롤 타워가 국정원장이라는 점도 명확히 했다.
제8조(사이버안보 기본대책의 수립·시행 등) ① 국가정보원장은 국가안보실장 및 관계 중앙행정기관의 장과 협의하여 중앙행정기관등에 대한 사이버공격예방·대응업무를 효율적·체계적으로 수행하기 위하여 사이버안보 기본대책을 수립·시행해야 한다.
제9조(사이버공격·위협 예방 조치 등) ① 국가정보원장은 중앙행정기관등에 대한 사이버공격·위협을 예방하기 위하여 중앙행정기관등의 장이 시행하는 정보화사업(「지능정보화 기본법」 제11조제1항에 따른 지능정보화계획에 따른 사업을 포함한다)에 대하여 보안성 검토를 실시하고, 그 보안성 검토 결과의 이행 여부를 확인할 수 있다.
② 국가정보원장은 중앙행정기관등의 정보보호시스템, 암호장치, 암호모듈 및 보안기능이 있는 정보통신기기(이하 “정보보호시스템등”이라 한다)의 도입·운영에 관한 보안대책을 수립할 수 있다.
③ 국가정보원장은 중앙행정기관등이 도입·운영하는 정보보호시스템등이 제2항에 따른 보안대책에 적합한지 검증할 수 있다.
④ 국가정보원장은 정보보호시스템등을 직접 개발하여 중앙행정기관등에 보급할 수 있다.
⑤ 국가정보원장은 중앙행정기관등과 협의하여 해당 중앙행정기관등의 정보통신기기, 정보통신망 또는 이와 관련된 정보시스템의 취약요소를 발굴·개선하는 등 보안관리 컨설팅을 할 수 있다.
사이버 공격 관련한 경보는 국정원장이 내리지만, 민간 분야는 과기정통부 장관이, 국방 분야는 국방부 장관이 발령하는 조항도 눈에 띈다.
제15조(경보 발령) ① 국가정보원장은 중앙행정기관등에 대한 사이버공격·위협에 체계적으로 대응 및 대비하기 위하여 파급영향 및 피해규모 등을 고려하여 단계별로 경보를 발령할 수 있다. 이 경우 국가안보실장과 미리 협의해야 한다.
② 제1항에도 불구하고 민간분야에 대해서는 과학기술정보통신부장관이 경보를 발령하고, 국방분야에 대해서는 국방부장관이 경보를 발령한다.
