국가사이버안보협력센터 모습 출처: 국가정보원
국가사이버안보협력센터 모습 출처: 국가정보원

지난 22일 국가정보원은 경기도 판교 제2테크노밸리 소재 국가사이버안보협력센터를 언론에 처음으로 공개했습니다.

이번 행사에는 연합뉴스, 조선일보, TV조선, 한겨레, 오마이뉴스, 문화일보, KBS, 한국경제, 전자신문, 디지털데일리, NK경제 등 30여개 언론사 기자들이 참가했습니다.

국가사이버안보협력센터는 국정원 국가사이버안보센터가 사이버 공격에 대한 민관 합동 대응을 위해 지난 11월 30일 개소했으며 국정원, 과학기술정보통신부, 국방부 등 유관기관과 안랩, 이스트시큐리티, S2W, 채이널리시스 등 IT 보안업체 인력들이 근무하고 있습니다.

국정원은 센터 소개와 함께 최근 사이버보안 동향에 대해 브리핑하고 질의응답을 하는 시간을 가졌습니다.

그런데 이 자리에서 사람들을 당황스럽게 하는 발언들이 나왔습니다. 국정원 직원들이 아니라 기자들의 입에서 말입니다.

일부 기자들은 보수적이라고 할 수 있는 국정원 관계자들 보다 더 보수적인 질문을 하거나 엉뚱한 질문을 했습니다. 

한 기자는 "왜 북한을 대상으로 사이버공격을 하지 않느냐? 북한에 사이버공격을 해야하는 것이 아니냐"며 국정원 직원들에게 북한을 사이버공격하라고 말했습니다.

이같은 질문에 오히려 국정원 관계자가 특정 국가나 기관을 사이버공격한다고 하는 것 자체가 문제가 될 수 있다고 언급을 안하겠다고 했습니다.

국정원 관계자의 말처럼 어떤 나라나 어떤 정부기관도 다른 나라, 기관을 해킹한다고 밝히는 경우는 없습니다. 만약 이렇게 할 경우 그 나라는 해킹 국가, 해킹 지원국가로 알려져 다른 나라들의 항의와 제재를 받을 수 있습니다.

때문에 북한 해킹을 비난하는 미국 정부 조차도 북한을 사이버공격한다는 이야기는 하지 않습니다. 러시아, 중국 정부도 비공식적으로 작전을 할 뿐 다른 나라를 사이버공격한다고 밝히지 않습니다.

그런데 기자는 한국 정부, 국정원이 북한을 사이버공격하라고 이야길 한 것입니다.

국정원은 브리핑에서 윤석열 대통령 휴대폰 해킹을 언급하지 않았습니다. 그런데 기자가 국정원 관계자들에게 북한이 윤석열 대통령의 휴대폰을 해킹하려고 노리지 않겠느냐고 갑자기 질문했습니다.

이럴 경우 국정원이 아니라고 할 수 있을까요? 국정원 관계자는 그럴 가능성이 있다고 언급했습니다. 기자가 유도심문을 한 것입니다.

이는 기자의 의도로 기사를 만들려는 것입니다.

만약 그러면 북한이 이재용 삼성전자 회장 노트북을 해킹하려고 하지 않겠느냐고 질문하고 그럴 수 있다고 하면 '북한 이재용 삼성전자 회장 노트북 노린다' 이런 기사가 나올지도 모르겠지요.

이밖에도 북한이 어디, 어디를 노리는 것이 아니냐, 북한이 대규모 해킹을 준비하는 것이 아니냐는 질문도 나왔습니다.

어떻게 보면 국정원 관계자들 보다 기자들이 더 보수적으로 말하고 질문한 것입니다. 

엉뚱한 질문도 나왔습니다. 한 기자는 북한 해커들에게 이란이나 다른 나라에서 해킹 기술, IT 기술을 전수해주는 것이 아니냐고 질의했습니다.

북한의 IT 기술력 아니 해킹 기술이 뛰어나기 어렵다, 북한 해커들이 능력이 부족하니 다른 나라 해커들이 도와주는 것이 아니냐는 뉘앙스로 들렸습니다.

그런데 북한 해커들의 실력이 뛰어나다는 것은 널리 알려진 사실입니다. 한국, 미국 정부도 인정하고 있습니다. 오히려 북한이 중동 지역에 IT 기술을 전수한다는 이야기가 있습니다.

만약 북한의 IT, 해킹 기술력이 미흡하고 해커들의 역량도 부족하다면 그동안 한국, 미국 정부가 이야기 한 북한 사이버위협은 과장된 것이겠지요.

결국 이란 등이 북한 해커들을 도와주느냐는 질문에 국정원 관계자들이 북한의 우수한 IT 인재들을 대변(?)해주는 촌극이 벌어졌습니다.

국정원 관계자들은 북한에서 영재를 선발해서 IT 집중 교육을 시켜서 뛰어난 인재를 만든다고 설명했습니다. 또 북한에서 IT 직종이 인기가 많기 때문에 우수한 인재들이 몰리고 해외 프로그램 경연에서 북한 학생들이 우수한 성적을 거두고 있다고 소개했습니다.

즉 북한이 다른 나라의 도움이 아니라 오랜 기간 자체적으로 IT 인재들, 해커들을 양성했다고 설명한 것입니다.

최소한 해킹, 북한 등을 취재하는 기자라면 이런 내용을 알고 있어야 하는 것이 아닐까 생각됩니다.

기자들의 질문에 국정원 관계자들의 표정이 미묘했습니다. 생각하지도 못한 질문들에 당황한 것이 아니었는지 모르겠습니다.

국가사이버안보협력센터의 모니터링, 취약점 분석 업무를 관람하면서도 기자의 질문이 나왔습니다.

국정원 센터에서 민간 기업, 언론사 등에 대해서도 모니터링하고 취약점 분석을 지금 하고 있느냐는 것이었습니다. 이에 국정원 관계자는 아니라고 없다고 답변했습니다.

그러자 기자는 왜 안하느냐며 언론사들도 국정원도 그렇게 하면 좋겠다고 하더군요.

일단 사이버보안 관련 업무 중 국가, 공공기관, 중요 인프라 등 부문은 국정원이 담당하고 민간 분야는 과학기술정보통신부와 한국인터넷진흥원(KISA)이 담당하고 있습니다. 국정원이 민간 부문을 한다면 자신들의 업무 범위를 넘어서는 것이겠지요.

그런데 그보다 더 민감한 문제가 있습니다. 시스템 취약점을 분석하고 공격을 모니터링한다는 것은 시스템 정보, 소스코드 등을 다 들여다 볼 수 있다는 뜻입니다. 

국정원이 민간 기업이나 언론사를 그렇게 한다면 민간 부문 사찰 의혹을 받을 수 있겠지요.

때문에 국정원 관계자는 향후 필요하고 해당 기업에서 원한다면 검토할 수 있지만 지금 안하고 있다고 단호하게 말했습니다. 대신 민간을 포함한 다양한 분야의 기관들(KISA 등)과 협력해서 위험 정보를 공유하고 대응하고 있다고 했습니다.

만약 국정원이 언론사 기사 작성 및 관리 시스템, 홈페이지, 이메일 시스템을 모니터링하고 취약점을 분석한다고 가정해 봅시다. 언론사에서 준비하는 기사계획, 공개 전 기사, 각종 정보보고 내용, 기자들의 이메일 내용 등에 접근할 수 있습니다.

해당 언론사 대표와 편집국장, 부장, 기자들이 이것을 용인할 수 있을까요? 그 질문을 한 기자는 자신의 회사부터 국정원이 모니터링, 취약점 분석을 해줬으면 좋겠다고 했습니다.

이번 행사에서 젊은 기자들의 패기(?)를 느꼈습니다.

기자들이 모르는 것을 질문하는 것은 당연한 일입니다. 또 다양한 입장과 의견을 자유롭게 이야기할 수도 있습니다. 

그러나 기자의 질문에도 전제 조건이 있습니다. 기본적인 상식에 기초해야 하고 관련 내용을 명확히 알고 질문해야 합니다. 

 

저작권자 © NK경제 무단전재 및 재배포 금지