하지만 국가정보원에 테러위험인물에 대한 소셜네트워킹서비스(SNS)나 댓글 추적권을 부여한 테러방지법과 달리, 사이버테러방지법은 보안업체 등 민간에서 해킹 사고 발생 시 즉각 악성코드 정보를 공유토록 의무화해서 악성코드 확산을 방지하는 법이라는 평가다. 이름은 비슷하나, 성격은 전혀 다르다.
훈령으로 하던 국정원 역할, 법에 의무화한 것일 뿐
국정원은 대통령 훈령으로 해킹이나 악성코드 유포 같은 사이버테러에 대한 방지 의무를 해 왔다.
그런데 사이버테러방지법은 이를 훈령이 아닌 법으로 규정하는 것이다. 업무가 달라진다기보다 법에 국정원장 소속으로 ‘국가사이버안전센터’를 둬서 사이버테러에 대한 국정원 역할을 명확히 했다.
그렇다고 미래창조과학부, 한국인터넷진흥원, 금융위원회 등의 역할이 없어지거나 달라지는 것도 아니다.
정부 관계자는 “훈령으로 돼 있던 국정원의 사이버테러 방지 및 복구 의무를 법으로 끌어올린 것”이라면서 “하지만 이름때문에 오해가 많은데다, 총선 일정 등을 고려했을 때 19대 국회에서 통과되긴 쉽지 않을 것 같다”고 말했다.
북한 해킹당한 보안업체들 쉬쉬…법 통과 되면 즉각 취약점 공유 가능
사이버테러방지법이 국회를 통과하면 사이버테러 방지 및 위기관리 지원기관이나 책임기관이 민간으로 확대되는 효과가 있다.
즉 공무원 조직뿐 아니라 한국전자통신연구원(ETRI), 한국인터넷진흥원(KISA) 같은 준공무원 조직, 여기에 백신 등 보안업체, 보안 컨설팅 같은 정보보호 전문 서비스 기업 등이 테러 방지 지원 의무를 지게 된다.
보안관제업체와 사이버테러 책임기관에 미래부 장관, 금융위원장, 국정원장 등과 사이버위협정보를 공유하도록 의무화한 만큼, 사고 발생 시 지금처럼 ‘쉬쉬’하는 것은 불가능해진다.
북한 등으로부터 악성코드 공격을 받으면, 이에 대한 사실과 취약점 정보를 공유해야 하는 것이다.
고려대 김승주 교수(정보보호대학원)는 “최근 보안업체 4곳이 북한의 사이버 테러를 받았는데 실명조차 공개되지 않고 있다”면서 “하지만 법이 국회를 통과하면 쉬쉬할 수 없고 즉시 해당 정보를 공유해야 한다. 감청법이 아니라 ‘악성코드확산금지법’이라고 할 수 있다”고 말했다.
그는 “법 조문 어디에도 국민 대상의 감청이 가능하다는 내용이 없다”며 “굳이 우려하는 시나리오를 그린다면 국정원 국가사이버안전센터에 취약점을 신고하면 국정원이 테러를 방지하는 게 아니라 해킹코드 개발로 역이용하는 것인데, 해당 취약점 정보는 국정원장뿐 아니라 다른 중앙행정기관장도 받기 때문에 이런 일은 불가능하다”고 말했다.
▶ 관련기사 ◀
☞ 테러방지법 국회 통과, 국민의 통신환경 어떻게 변하나