NARS Brief 제107호
국회입법조사처 자문위원 초청 전문가 간담회
사이버위협 동향 및 정보보호 강화 방안안

- 일 시 : 2025년 9월 29일(월) 오후 4시
- 장 소 : 국회입법조사처 제1세미나실

- 발표:이원태 국민대학교 특임교수
- 참석:이관후 국회입법조사처장
         홍일표 국회입법조사처 사회문화조사실장
         황현희 국회입법조사처 과학방송통신팀장
         강은수 국회입법조사처 과학방송통신팀 조사관
         박소영 국회입법조사처 과학방송통신팀 조사관
         박정현 국회입법조사처 금융공정거래팀 조사관

개요
국회입법조사처는 「사이버위협 동향 및 정보보호 강화 방안」을 주제로 간담회를 개최하였다. 이번 간담회는 최근 KT, 롯데카드, 정부 부처 등을 대상으로 한 해킹 또는 해킹 의혹이 잇따라 발생하는 상황에서, 대규모 고객정보와 공공 데이터 보호 체계의 취약점과 한계를 점검하고, 정보보호를 강화하기 위한 입법 및 정책 과제를 논의하기 위하여 마련되었다. 발표를 맡은 이원태 국민대학교 특임교수는 AI 보급 확산 등으로 지능화·고도화되는 사이버위협에 대응하기 위해 정보보호 거버넌스 강화, 제로트러스트 아키텍처 도입, 정보보호 투자 활성화를 위한 유인책 마련, 소버린 시큐리티(Sovereign Security) 확보를 위한 정보보호산업 생태계 강화 등을 제안하였다.

□ 발제 요지
이원태 국민대학교 특임교수(前 한국인터넷진흥원 원장)는 최근 사이버 공격의 급증 원인과 위협 동향을 분석하고, 이에 대응하기 위한 기업과 정부 차원의 대응 방안을 발표하였다.
최근 사이버 공격이 급증한 원인은 높은 디지털 전환율에 비해 낮은 보안 투자, 미흡한 정보보호 거버넌스, 부실한 시스템 관리 등 구조적 취약점이 복합적으로 작용한 결과라고 분석했다. 또한, 사이버위협이 전면적으로 확산했음에도 정치권과 언론은 여전히 개별 사건에만 집중해 구조적 원인과 국가적 대응체계 논의를 소홀히 하고 있다고 지적했다.
구체적으로, 노후 시스템과 미패치 소프트웨어 등 누적된 기술부채, 사이버공격 생태계의 상업화·자동화, 민간에서 공공까지 확대된 공격 표면, 정보보호 최고책임자(CISO)의 권한 제약, 부족한 보안 투자와 전문 인력 등이 취약성을 심화시키고 있다고 보았다.
사이버위협 동향과 관련해서는, 서비스형 랜섬웨어(RaaS)의 확산으로 공격 빈도와 규모가 급증하고, SW 공급망 공격이 주요 위협으로 부상했으며, 생성형 AI를 악용한 공격도 증가하고 있다고 경고했다.
정보보호 강화를 위하여 기업 차원에서는 CISO 권한을 격상하여 정보보호 거버넌스를 강화하고, 기존 경계기반 보안모델의 한계를 극복하기 위해 제로트러스트 아키텍처를 도입하며, 실질적인 대응 훈련을 통해 사이버 복원력을 높여야 한다고 제언했다.
정부 대응 방안으로는 CEO의 보안 책임을 명확히 하고, 해킹 미신고에 대한 법적 책임을 강화하며, 정보보호 투자에 대한 인센티브를 제공하는 등 법·제도적 개선이 필요하다고 강조했다. 또한, 소버린 시큐리티(Sovereign Security) 확보를 위해 정보보호 예산을 확대하고, 정보보호산업을 수출기반 국가전략산업으로 육성하며, 정보보호 전주기 인력양성 체계를 구축해야 한다는 의견을 제시했다.
특히, 공공부문 보안을 강화하기 위해 민간 이상 수준의 예산과 인력을 투입하고, 소프트웨어 자재명세서(SBOM) 의무화를 통해 공급망 보안을 강화하며, 백업·복구 탄력성을 높여야 한다고 강조했다.

□ 토론쟁점
해킹이 의심되는 경우에도 정부에 조사 권한을 부여하거나 관련 자료 보존을 의무화하는 방안에 대해서는 기업의 정보자산 운영에 관한 자율권을 침해할 소지가 있다는 우려가 제기되었다. 즉, 단순한 의심 정황만으로 자료 폐기를 금지하거나 조사 참여를 강제하는 것은 과도한 시장 침해행위가 될 수 있고, 기업의 자율성과 책임 있는 보안 관리 노력을 위축시킬 수 있다는 점도 고려되어야 한다는 지적이다.
해킹사고가 발생할 때마다 초기대응 부실 논란이 반복되는 원인으로 기관 간 단절과 정보공유 체계의 미흡이 지적되었다. 현재 다양한 정보공유 플랫폼(금융 ISAC, 보건 ISAC, C-TAS, NCTI 등)이 존재하지만 상호 연계와 통합 대응은 부족한 상황으로, 기관별로 수집한 위협 정보를 공유·분석해 기업에 제공하는 체계가 필요하며, 나아가 AI를 활용해 위협을 신속 탐지·분석할 수 있는 AI 기반 통합 플랫폼 구축이 요구된다는 의견이 제시되었다

□ 향후 계획
국가정보자원관리원 화재 사고 직후 열린 이번 간담회에서는 국가 전산망의 안정성과 신뢰성 강화를 위한 논의도 진행되었다. 향후 AI 정부 전환을 추진하는 과정에서 사이버위협과 국가 전산망의 구조적 한계 및 취약점을 종합적으로 점검하고, 이를 개선하기 위한 구체적인 방안을 마련하기 위해 논의를 지속해 나갈 계획이다.

문 의 : 강은수 입법조사관 (과학방송통신팀)
02-6788-4712, eunsu@assembly.go.kr