맞고 온 아이만 혼내는 격… 사이버 안보, 기술 넘어 국가전략으로 전환해야맞고 온 아이만 혼내는 격… 사이버 안보, 기술 넘어 국가전략으로 전환해야

출처: 디지털데일리 — "맞고 온 아이만 혼내는 격… 사이버 안보, 기술 넘어 국가전략으로 전환해야" 채수웅 기자 · 2026.04.15

"애가 맞고 왔는데 무조건 왜 맞았냐고 혼내기만 하면 되겠습니까. 경위 파악하고 때린 사람 혼내야 되는 것 아닙니까?"

국가정보원 첫 여성 3차장을 지낸 김선희 가천대 초빙교수가 우리나라 보안 정책의 근본적인 체질개선을 촉구했습니다. 사이버 위협이 AI 기술과 결합하며 고도화·전략화되고 있지만 한국의 대응 체계는 여전히 기술 중심, 피해기업 혼내기에 머물러 있어 정책적 전환이 시급하다는 진단입니다.

안보정책의 세 축: 예방·회복력·억지력

김 전 차장은 4월 14일 'AI·사이버 융합 최고위과정' 강연에서 "현재 사이버 위협은 단순 정보 탈취를 넘어 랜섬웨어, 인공지능 기반 표적 공격, IoT 해킹 등으로 빠르게 진화하고 있다"며 "그러나 우리는 여전히 기술적 대응에만 집중하고 있어 전략적 대응이 부족하다"고 지적했습니다.

그는 안보정책의 세 축으로 예방·방어 / 회복력 / 맞대응(억지력) 을 꼽았습니다.

미국의 경우 오바마 대통령 시절부터 사이버 공격에 대한 입장을 명확히 선언해 왔고, 바이든 대통령은 한발 더 나아가 "심대한 사이버 공격에는 물리력도 동원할 수 있다"고 선언한 바 있습니다.

"바이든의 선언 이후 실제로 사이버 공격 빈도가 눈에 띄게 줄었습니다. 기술이 아니라 국가의 정책 선언이 억지력이 된 것입니다."

독일과 러시아 역시 사이버 공격을 자국 안보에 대한 직접적 위협으로 공식 간주하겠다는 법안을 추진 중이며, 일본은 능동적 방어 법안을 의회에서 통과시킨 바 있습니다. 모두 사이버를 기술 문제가 아닌 안보 문제로 보고 있는 셈입니다.

SK텔레콤 사례와 사고분석의 부재

김 전 차장은 SK텔레콤 사례를 들며 한국의 대응 패턴이 동일한 사고를 반복시키는 구조라고 지적했습니다.

"국가가 그 사고의 전모를 차분히 들여다보고 '누가, 왜, 무슨 목적으로 건드렸는지' 분석할 시간을 줬어야 했습니다. 하지만 언론에서 금융계좌가 털릴 수 있다는 보도를 쏟아내고 정부는 여론에 밀려 기술적 복구와 피해기업을 질책하는 데 급급했습니다."

사이버 사고가 발생해도 기술적 복구에만 집중하고 원인 분석과 전략적 대응, 국가 차원의 학습으로 이어지지 않다 보니 동일한 사고가 반복되는 악순환이 지속되고 있는 셈입니다.

거버넌스: 구조는 있지만 실행 기반이 없다

사이버 안보 거버넌스 자체도 문제로 지적되었습니다.

"국가안보실이 컨트롤타워 역할을 하고 분야별 책임기관이 있는 구조는 이미 만들어져 있습니다. 하지만 이를 실행할 법적 근거와 제도가 미비해 사실상 작동하지 않는 게 현실입니다."

해법: 투트랙 입법 + 상설 사고분석체계

김 전 차장은 해법으로 대내·대외 입법 투트랙 대응을 제시했습니다.

• 대내적으로 — 각 부처와 기관의 역할을 명확히 해 국가안보실 중심의 거버넌스가 실질적으로 작동하게 만들고, 책임 방기 기업을 처벌함과 동시에 피해 기업을 국가가 지원할 수 있는 국내법 정비.
• 대외적으로 — 사이버 위협의 기준을 명확히 정의하고, 수위를 넘은 공격에 국가 차원에서 어떻게 맞대응할 것인지 선언하는 입법.

또한 입법 추진과 함께 상설 사고분석체계가 반드시 필요하다고 강조했습니다.

"지금은 민간 사고는 과기부, 군은 군, 공공기관은 국정원이 각각 들여다보고 있습니다. 같은 사고를 같은 시각으로 함께 추적하고 분석한 적이 없다 보니 국가 차원의 학습이 전혀 안 되고 있습니다."

국제 규범 제정의 중심 국가로

"한국은 북한 등으로부터 가장 많은 사이버 공격을 방어하며 축적된 세계적 수준의 실전 데이터베이스를 보유하고 있습니다. 단순히 국제사회가 만든 규범에 참여하는 수준을 벗어나 우리의 방어 노하우와 기준을 지렛대 삼아 사이버 공간의 국제 규범 제정을 선도하는 중심 국가로 도약해야 합니다."

---

전문은 디지털데일리 원문에서 확인하실 수 있습니다.