이데일리

경제 기업 정치 사회 부동산 증권 문화 연예 스포츠

COPYRIGHT EDAILY, ALL RIGHTS RESERVED.

[기고] 국정원 중심 사이버보안, 이제는 재설계할 때

by김현아 기자
2026.02.02 11:04:19

고려대 정보보호대학원 김승주 교수
사이버공간에서 과도하게 확장된 국정원 관할
미국·영국 분리..‘기밀 안보’와 ‘공공 사이버보안’ 이원화가 해법

[고려대학교 정보보호대학원 김승주 교수]「국가정보원법 제4조」에 따르면 국가정보원(이하 국정원)은 국외·북한·방첩·대테러·국제범죄조직 및 안보침해행위에 관한 정보를 수집·분석하고, 국가기밀 문서·시설·인원에 대한 보안업무를 수행하도록 규정돼 있다. 즉, 본래의 직무 범위는 국가안보와 국가기밀 보호에 명확히 한정돼 있다.

그러나 사이버공간에서는 이 경계가 사실상 무너진다. 국정원의 관할은 중앙행정기관을 넘어 국가인권위원회, 고위공직자범죄수사처, 각종 위원회, 지방자치단체, 그리고 대통령령으로 정한 공공기관 전반으로까지 확장돼 있다.

더 나아가 「사이버안보 업무규정」과 「전자정부법」에 따라 정부·공공부문에서 추진되는 정보화 사업, 클라우드 컴퓨팅 서비스, 각종 정보통신기기 도입에 대해서도 국정원이 보안성 검토를 하고, 그 이행 여부까지 점검할 수 있는 구조다.

이는 현실 공간에서 국정원의 직무가 ‘국가안보 및 국가기밀급 정보’에 한정된 것과 달리, 사이버공간에서는 ‘정부·공공영역 전반’을 포괄하도록 설계돼 있음을 의미한다.

김승주 고려대 정보보호대학원 교수
이와 같은 구조적 비대칭이야말로 국정원의 권한이 공공영역에서 과도하게 확대됐다는 우려를 낳는 핵심 요인이며, 동시에 산업계에 이중 규제를 안기는 근본 원인이기도 하다.

대표적인 사례가 과학기술정보통신부의 「클라우드 보안인증제(CSAP)」다. 민간 클라우드 사업자가 CSAP 인증을 받더라도 공공 시장에 진입하려면 다시 국정원의 보안성 검토를 거쳐야 한다. 이로 인해 업계에서는 중복 비용과 행정 부담이 과도하다는 지적이 끊이지 않았다.

미국은 전혀 다른 방식을 택하고 있다. 국방·외교·안보와 연관된 기밀(Classified) 정보는 국가안보국(NSA)이 담당하는 반면, 정부·공공영역의 일반적인(Unclassified) 정보에 대한 사이버 위협 대응 및 민·관 정보 공유는 사이버보안및인프라보안국(CISA)이 맡는다.

가장 강력한 감청·공격 역량을 가진 조직이 국가 전체의 사이버공간을 통제해서는 안 된다는 원칙 아래, NSA는 ‘깊고 좁게’, CISA는 ‘넓고 얕게’ 관할하는 이원화 구조를 유지하는 것이다.



물론 이러한 체계 속에서도 NSA는 CISA와의 핵심 정보 공유를 통해 국가 전체의 사이버 대응력을 뒷받침하고 있다. 영국 역시 정부 정보의 활용도를 높이기 위해 2014년부터 3년에 걸쳐 정보 분류 체계를 조정하며 국가안보 정보의 범위를 대폭 축소한 바 있다.

이제 우리나라의 사이버보안 거버넌스도 변화가 필요하다. 국정원과 같은 정보기관의 본질은 비밀을 수집하고, 제로데이 취약점을 은닉·활용하며, 침투·감청·공격 역량을 유지하는 데 있다.

반면 공공안전 차원의 사이버보안 기관은 취약점을 신속히 공개하고 패치하며, 투명한 사고 보고로 피해 확산을 막는 데 목표를 둔다. 취약점을 숨겨야 하는 조직이 동시에 취약점을 제거하는 역할까지 제대로 수행하기는 어렵다. 정부·공공 전 영역에 국정원이 무차별적으로 관여하는 현재의 구조가 재검토돼야 하는 이유다.

더욱이 2025년 정부 온나라시스템과 통신사 해킹 사건은, 우리 사회가 국가 후원 엘리트급 해커의 공격을 조기에 탐지하고 차단할 역량이 크게 부족하다는 사실을 여실히 드러냈다.

이제는 선택과 집중의 원칙이 필요하다. 민간이든 정부·공공영역이든, 국가기밀·외교·안보와 직결된 정보와 통신망, 클라우드 및 정보통신기기는 국정원이 전담하되, 개인정보·민감정보·일반 행정정보를 다루는 영역은 과학기술정보통신부와 개인정보보호위원회, 또는 별도의 전담 기관이 맡는 이원화 체계로 전환해야 한다.

그래야 한정된 인력과 예산을 보다 효율적으로 활용할 수 있고, 책임 소재가 명확해지며, 중복 평가를 해소하는 동시에 국정원 권한 확대에 따른 민간 사찰 논란도 불식시킬 수 있다.

2025년 11월 28일, 이재명 대통령은 취임 후 처음으로 국정원을 방문해 “국정원은 국가 경영에 정말로 중요한 조직이지만, 역량이 큰 만큼 악용되는 경우도 있어 서글프다. 국정원이 바로 서고 본연의 역할을 다할 때 국가가 얼마나 더 나아지는지 보여 달라”고 당부한바 있다.

국민이 더욱 신뢰하며 세계가 인정하는 사이버안보 기관으로 거듭나기 위해서도, 사이버공간에서 국정원의 ‘본연의 역할’을 이제 다시 정의해야 할 시점이다.

Copyright ⓒ 이데일리. All rights reserved.