기업 정보 유출 지난해도 증가세
자체 인지·신고까지 최장 700일
'경제안보' 부상에 국정원도 민간 관여
실질적 대응과 민주적 통제 병행 필요
자체 인지·신고까지 최장 700일
'경제안보' 부상에 국정원도 민간 관여
실질적 대응과 민주적 통제 병행 필요
|
국회 정보위원회(정보위)는 지난 7일 국정원 직무 범위에 '경제안보'를 포함하고 사이버안보 직무에는 '해킹 수법이나 피해 양상 등에 비춰 국제 및 국가 배후 해킹 조직의 활동으로 의심되는 경우'를 포함하는 국정원법 개정안을 통과시켰다. 개정안은 정부가 지난해 10월과 올해 1월 발표한 '범부처 정보보호 종합대책'의 실현 근거가 될 것으로 보인다. 이는 과학기술정보통신부(과기부)와 국가안보실, 국정원 등 관계부처가 합동으로 발표한 대책으로, 국정원 산하 국가사이버안보센터 등이 민간에 대한 유출 '가능성' 모니터링과 직권 조사가 가능한 것이 골자다.
이는 민간 차원에서 사전 대응에 한계가 있다는 배경에서 나왔다. 지난해 민간기업이 개인정보보호위원회(개인정보위)에 신고한 개인정보 유출은 319건으로, 전년(203건) 대비 57% 증가했다. 기업을 대상으로 한 사이버 해킹은 2021년 640건에서 2024년 1887건으로 3년간 3배 급증했다. 특히 대부분이 정보통신업, 제조업, 건설 등 분야로 국가 공급망을 포함한 경제안보와 직결된 분야다. 다만 이는 '빙산의 일각'일 가능성이 크다. 보안업체 SK쉴더스는 2021년부터 지난해까지 5년간 국내 중소·중견기업이 해커의 최초 침투 시점부터 인지하기까지 평균 106.1일, 최장 700일이 걸린 것으로 분석했다. 신고로 집계된 수치 외에 인지조차 못한 공격도 상당하다는 의미다. 이에 개인정보위는 지난 12일 발표한 '예방 중심 개인정보 관리체계 전환 계획'을 통해 민간 부문도 정부 차원에서 사전 점검하고, 정보보호 위반 행위에 대해 매출액의 최대 10%까지 징벌적 과징금을 부과하기로 했다. 기업의 보안 투자를 유도해 사전 대책으로 바꾸겠다는 취지다.
다만 이 역시 북한 배후 혹은 국제 해킹 조직의 공격을 근본적으로 사전 대응하기에는 어렵기 때문에 국정원의 해외 정보력 활용이 강조된다. 이에 국정원의 정보 수집·조사 권한에 대한 유권 해석과 민주적 통제 역시 중요해질 것으로 보인다. 김현중 국가안보전략연구원 연구위원은 '국정원법 개정과 경제 안보 시대 국가정보체계의 전환' 보고서에서 "최근 국제 정세에 따라 기존 국방·방첩 중심에서 '경제안보형 정보기관'으로 변모하는 것이 바람직하다"면서도 "역할과 활동 범위에 대한 법적 명확성, 선출된 권력에 의한 통제, 민관 협력체계 구축 등이 확보돼야 한다"고 짚었다.
