그 자체는 사실이 아니었지만 전혀 일어날 수 없었던 일이라고는 할 수 없었기 때문이다. 북한은 이미 두 차례의 디도스 공격과 농협사건, 지난해 중앙일보사 해킹까지 굵직한 사건에 개입되어 있음이 확인됐다. 지금 이 순간에도 우리 정부와 기업 컴퓨터를 헤집고 다니면서 향후 공격을 위한 정보를 수집하고, 우리의 사이버 대응능력을 테스트하고 있다. 해외전문가들 또한 북한이 비대칭전의 일환으로 '사이버빨치산' 전술을 수행할 가능성이 높다고 전망하고 있으며 얼마 전 북한의 국가적 중대조치 위협에 사이버테러가 포함될 가능성도 언급되고 있다.
더 불편한 진실은 이번 사건이 단순한 해프닝이 아니라 실제 북한이 공격을 해온 것이었다면 과연 우리가 잘 대응했을까 하는 점이다. 우리가 진짜 부끄럽게 생각해야 하는 것은 바로 해프닝이 발생했다는 사실 자체가 아니라 실제 이러한 공격을 완벽히 대응할 만한 국가적인 준비가 충분히 갖춰지지 않았다는 점이다. 우리는 현재 사이버위협에 책임지고 대응하는 전담조직 없이 각 부처별로 역할이 나뉘어 있어 부처 간 불협화음이 발생하고 있고, 각 부처와 민간의 개별적 노력을 조율할 수 있는 법적권한이 있는 조정기관도 없는 상황이다. 사이버안보 책임과 권한을 부여하는 법도, 적의 사이버공격 발생 시 누가 어떻게 대응할지에 대한 정책과 교전규칙도 우리에게는 없다.
최근 몇 년간 국가주체에 의한 사이버공격과 같은 새로운 안보 위협이 등장하고 이에 각국이 강력한 사이버안보체계를 수립하는 등 전 세계 안보환경이 빠르게 변화하고 있다. 이미 많은 국가들이 사이버공간의 군사전략적 중요성을 인식하고 주요 전장의 하나로 활용하고 있다. 중국의 사이버첩보와 이란의 미국 금융기관에 대한 사이버공격에서 보듯 경제전의 양상까지 보이고 있다. 사이버안보는 이처럼 군사안보, 경제안보를 포함한 주요 국가안보 이슈로 인정받고 있다. 각국의 안보전략은 수동적 방어 중심의 사이버안보를 뛰어넘어 능동적 방어와 공격행위까지 포함하는 다각적 사이버안보 전략을 포괄하는 방향으로 진화하고 있다.
임종인 고려대 정보보호대학원장
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>