중국 추정 해커 공격 이어지자 강경책 선회… 5월 ‘적극적 사이버 방어법’ 제정 공포
일본 정부가 ‘사이버 안보 총력전’에 나섰다. 국가 단위로 노골화되는 거대 해킹세력의 위협이 개인은 물론 국가 시스템 전체를 흔들며 국민 생명을 직접적으로 위협하는 일까지 벌어지고 있기 때문이다. 일본이 정부와 민간 구분 없이 국가 전체 사이버 안보에 모든 역량을 쏟아붓자 국내에서도 해킹 피해를 본 기업및 기관 차원의 문제가 아니라, 국가적 안보 의제로 다뤄야 한다는 의견이 나온다.
일본 정부는 5월 ‘적극적 사이버 방어법(사이버 대처 능력 강화법)’을 제정해 공포했다. 같은 달 국회를 통과한 이번 법안은 해외 적(敵)의 사이버 공격 시도가 감지될 경우 경찰과 자위대가 선제적으로적의 서버를 무력화하고 교통과 에너지, 통신 등 핵심 인프라에 대한 사이버 보안 책임을 강화하는 등의 내용을 담았다. 시행은 2027년이다. 제2차 세계대전 패전 후 국방 영역에서 방어에 중심을 뒀던 일본정부가 사이버 안보만큼은 공세적으로 대처하겠다는 것이다.
일본, 국민 생명에 직접적 위협 가해지자 강경책 선회
이 같은 노선 전환에 일본 정부 대변인 하야시 요시마사 관방장관은“국가를 목표로 한 심각한 사이버 공격이 국가의 주요 안보 우려사항이 됐다”며 사이버 안보가 더 이상 미룰 수 없는 과제라는 점을 강조했다. 일본 정부가 사이버 안보에 공세적으로 대응키로 한 것은 사이버 공격 수준이 국민 생명을 위협할 만큼 노골적이며 규모 또한 커지고 있기 때문이다.
지난해 12월에는 일본항공(JAL) 수하물 처리 시스템이 공격을 받아 국내 및 국제선 항공편이 결항 또는 지연됐다. 앞서 2023년에는 나고야항 컨테이너터미널 하역이 사이버 공격 여파로 멈춘 바 있다. 또 2021년과 2023년에는 각각 도쿠시마현 공립병원, 오사카급성환자종합의료센터가 랜섬웨어 공격을 받아 전자 의료기록을 사용할 수 없게 되면서 국민 생명에 대한 직접적인 위협도 가해졌다.
일본 경찰청이 2019년부터 지난해까지 방위성, 외무성을 겨냥한 사이버 공격 배후에 중국이 존재하는 것으로 추정하면서 국가 단위 대규모 사이버 공격 우려가 사회 전반에 드리워졌다. 일본 정부는 2027년부터적극적 사이버 방어법을 시행하기 위해 내년까지 경찰과 자위대에 관련 조직을 신설하고, 내각에 사이버장관직을만들 계획이다. 사이버장관은 국가 사이버 안보 컨트롤 타워 위상을 갖는다.
다이라 마사아키 일본 디지털청장관은 최근 일본 지상파방송 니혼TV 인터뷰에서 “일본을 대표하는 기업도 단독으로는 스스로를 지키기 어렵다”며 현재 사이버 안보 상황을 진단했다. 일본 정부는 민간과의 협력이 적극적 사이버 방어법의 성패를 가를 것으로 보고 있다. 민간 기업이 사이버 공격 피해를 입고도 대외 이미지 손상, 정부 조사로 인한 경영 차질, 법적처벌 등을 우려해 신고하지 않을 수 있기 때문이다.
이에 일본 정부는 민간의 자발적 협력을 이끌어내는 데 정책 우선순위를 둘 계획이다. 다이라 장관은 “공격자의 배경과 의도를 모르면 방어가 어렵다. 기업들이(신고에) 큰 부담을 느낀다면 적극적 사이버 방어 체계가 제대로 작동하지 않을 것”이라며 적극적 사이버 방어법 실행에 민간 기업들이 과도한 부담을 느끼지 않도록 충분한 논의를 거칠 뜻을 밝혔다.
일본 정부는 사이버 안보에 정부, 기업뿐 아니라 국민 모두의 참여가 필요하다는 점도 계속 알릴 방침이다. 다이라 장관은 “(사이버 안보에 대비하지 않을 경우) 비행기는 날지 않을 것이고, 은행 네트워크 시스템은 오작동할 것이며, 암호자산(암호화폐 등 가상자산)은 탈취될 것”이라며 “사이버 안보는 한 사람, 한 사람의 노력으로도 상당히 개선될 수 있다”고 강조했다.
신고한 기업만 손해보는한국, 민관 협력 체계화해야
2010년대 사이버 안보를 위한 민관 협력 체계를 구축한 미국, 영국, 호주 등에 이어 최근 일본까지 국가 총력전에 나섰지만, 한국은 아직 이에 미치지 못한다는 평가를 받는다. 업계 전문가들은 피해 신고를 할 경우 따라올 사회적 비난과 과징금 등 금전 손실이 두려워 피해를 입고도 침묵하는 기업이 90%에 이를 것이라고 보고 있다.
하지만 국내에서도 노골적인 사이버 테러는 급증하고 있다. 국가정보원 등 정부기관이 발간한 ‘2025 국가정보보호백서’에 따르면 지난해 국가가 배후로 추정되는 해킹 조직에 의한 국내 해킹 피해 건수는 전년 대비 약 60% 증가했다. 정부 당국자는 “교통, 에너지, 상하수도 시설 등 국가 기반시설을 대상으로 한 사이버 테러 조짐이 증가하고 있어 선제 대응을 위한 대책이 필요하다”고 밝혔다.
전문가들은 이를 위해 일본의 적극적 사이버 안보법처럼 사이버 안보에 민간으로부터의 자발적 협력을 이끌어내는 것이 필요하다고 지적한다. 과학기술정보통신부 ‘2024 정보보호 실태조사’에 따르면 국내에서 해킹 피해를 겪은 중소기업 중 신고하지 않은 기업이 95.9%에 달했다. 중견기업 이상에서도 93.5%로 나타났다. SK텔레콤, 예스24, KS한국고용정보 등 올해 사회적 파장이 컸던 해킹은 빙산의 일각일 수 있다는 것이다.
임종인 고려대 정보보호대학원 석좌교수는 “현재 국내에서는 보안 사고가 터지면 국가 차원에서 해결해주는 것이 거의 없고 국민들은 기업이 잘못한 결과로 생각해 비난을 하기 때문에 정직하게 신고하는 기업만 손해를 보는 상황”이라고 지적했다. 임 교수는 이어 “이번 이스라엘-이란 무력 충돌에서 보듯이 국가적으로 중요 인물의 개인정보가 빠져나가면 엄청난 일이 벌어질 수 있다”며 “자진 신고를 하면 기업의 피해를 최소화할 수 있는 분위기가 조성돼야 하고, 하루 빨리 국가 사이버 안보 컨트롤 타워와 함께 민간과의 협력을 체계화할 수 있는 사이버 안보법도 만들어져야 한다”고 말했다.
이한경 기자 hklee9@donga.com
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
