'국정원 사상 첫 여성 차장 발탁'.

2020년 8월 4일, 한국 주요 언론에 이와 같은 기사가 일제히 실렸다. 당시 문재인 대통령이 김선희 국정원 정보교육원장을 국정원 3차장에 깜짝 발탁한 것이다. 국정원 3차장은 사이버안보와 과학을 총괄하는 자리다. 김 차장 발탁으로 당시 국정원 사이버 및 과학정보 업무는 1급 본부장 체제에서 3차장(차관급) 전담으로 격상됐다.

현재 가천대 초빙교수와 AI 스타트업 커넥셔너리의 정책자문총괄을 맡고 있는 그는 국정원 7급 공채 출신이다. 국정원 사이버 정책처장과 감사실장 등을 지냈다. 대구 남산여고와 경북대 독어독문학과를 졸업했다. 고려대 국제관계학 석사와 건국대 안보재난관리 박사를 수료했다.

최근 김 교수는 국방혁신기술보안협회가 주관한 ‘AI·사이버 융합 최고위과정’에 강사로 초빙받아 "사이버 위협이 인공지능(AI) 기술과 결합하며 고도화 및 전략화하고 있다. 하지만 한국의 대응 체계는 여전히 기술 중심, 피해기업 혼내기에 머물러 있어 정책적 전환이 시급하다"며 현 대한민국의 사이버정책에 경고음을 냈다. 이에 대한 구체적인 이야기가 듣고 싶어 지난 12일 그가 정책자문총괄을 맡고 있는 서울 역삼역 인근 커넥셔너리 사무실에서 만났다.

이날 인터뷰에서 김 교수는 "현장에 나오니 너무 다르다"며 "스타트업의 고충을 조금이나마 알 것 같다"고 말했다. 특히 그는 대통령을 비롯해 오피니언 리더와 우리 국민이 사이버공간을 바라보는 관점을 바꿔야 한다고 누차 강조했다. 사이버 공간은 "매일 전쟁을 치르는 전장"으로 단순히 기술로만 해결되는 곳이 아닌 "전략적 공간으로 봐야 한다"는 것이다.

사이버보안 침해 기준도 서둘러 만들어야 한다고 제안했다. 침해 기준이 있어야 외부 사이버 공격에 적절히 대응할 수 있다는 것이다. "국가가 당연히 해야 할 역할을 사이버공간에서 안 하고 있다"고 진단한 그는 "사이버 공간도 물리공간처럼 주권이 미치는 지역임을 우리 정부가 선언해야 한다"고 강조했다. 사이버공격을 받았을때 제대로 대응할 민관군 합동 대응팀 신설도 필요하다고 밝혔다. 아래는 김 교수와 일문일답

-AI 등장으로 사이버위협이 점점 진화하고 있다

"그렇다. 진화는 두 분야서 일어나고 있다. 기술과 전략이다. 기술 진화는 AI기술을 연계한 사이버 공격 심화와 고도화한 랜섬웨어 공격 심화, 지능형 IoT 기기 해킹이  대표적이다. 기존에는 단순히 정보만 탈취했다. 지금은 아니다. 전략적으로 진화했다. 기술 탈취는 물론 금전 탈취와 심리전, 군사작전 등 국제관계에서 전략적 이득 획득을 위한 수단으로 발전했다."

-사이버 위협을 바라보는 시각을 바꿔야 한다고 강조하는데

"이제 기술 대응만으로는 곤란하다. 그 이상이 필요하다. 건별 대응보다 고도의 전략을 내재한 국제질서 재편 및 디지털 주권 강화 차원에서 접근하는게 필요하다. 사이버안보는 기술만의 문제가 아니다. 국가차원의 정책과 전략을 수반해 국익을 추구하고, 국민의 생명과 활동을 보호하는 입체적이며 전방위적인 개념이다."

-미국 등 주요국의 사이버안보 동향은 어떤가

"미국은 AI와 우주 기반 전략기술과 안보 통합을 강조한다. 특히 미국은 사이버안보를 더 이상 보안의 하위 개념이 아니라 첨단 전략기술과 주권강화의 핵심 축 중 하나로 보고 있다. 영국 역시 사이버공간을 외교 및 동맹전략의 핵심 채널로 보고 있다. EU는 전(全)사회의 복원력 중심 거버넌스를 중시한다."

-사이버강국 사례로 에스토니아를 자주 언급하는데

"에스토니아는 북유럽과 동유럽 사이 발트해 연안에 있는 작은 국가다. 사이버 공간을 굉장히 전략적으로 잘 활용한다. 러시아에서 해킹 공격을 많이 받으면서 사이버 강대국이 됐다. 북대서양조약기구(NATO) 산하 국제 사이버 안보 연구·훈련 기관인 CCDCOE(The NATO Cooperative Cyber Defence Centre of Excellence)도 에스토니아에 있다. 2007년 에스토니아가 국가 차원의 대규모 사이버 공격을 받았는데 이를 계기로 설립했다. 에스토니아는 소국이지만 사이버 공간에서는 막강한 힘과 파워를 갖고 있다."

-우리나라가 에스토니아에서 본받아야 할 게 있다면

"적략적인 부분이다. 에스토니아는 사이버 공간을 전략적 안보로 보고 있다. 우리나라는 그렇지 않다. 청와대와 국정원 같은 정부기관은 물론 공공과 민간도 사이버공간을 전략적 안보로 보지 않고 있다. 사이버안보 관련 기술은 우리가 매우 우수하다."

-사이버공간을 주권이 미치는 공간으로 보자는 건가

"그렇다. 사이버공간도 우리 국민이 살고 있는 곳이다. 우리 주권이 미치는 공간이라고 정부가 대내외에 선언해야 한다."

-미국 등 주요국의 사이버안보 동향은 어떤가

"미국은 이미 오바마 대통령때 사이버공간에 대해 주권 선언을 했다. 사이버 공간을 침해하면, 물리적 공간 침해와 같게 보고 대응한다는 것이다. 이 기조가 바이든 행정부때 더 강화됐다. 현재 미국은 양자기술 행정명령을 준비중으로 안다. 독일도 사이버와 우주 보안에 410억 달러를 투자하겠다는 계획을 밝힌 바 있다.

일본은 작년 5월 ACD(Active Cyber Defense,능동적 사이버 방어) 법안을 의회에서 통과시켰다. ACD의 가장 큰 특징은 '선제적 대응' 개념이다. 기존의 수동적 방어는 공격이 들어오면 이를 차단하거나 피해를 복구하는 방식이다. ACD는 다르다. 공격 징후 단계부터 위협을 탐지하고, 필요하면 공격 서버를 추적해 사전에 무력화하는 개념한다. 사후 대응에서 공격 억제 및 사전 탐지로 사이버보안 패러다임을 전환한 것이다. 정부가 (침해에) 어떻게 하겠다는 선언만으로도 공격자들에게 위축감을 준다."

-국가가 사이버공간에서 제 역할을 하지 않고 있다고?

"국가가 당연히 해야할 역할을 사이버공간에서 안 하고 있다고 본다. 사이버 공간도 안보 공간이다. 이런 공간에 대해 국가가 그동안 한 번도 제대로된 주권 선언을 한 적이 없다."

-사이버 공간 침해 기준도 만들어야 한다고 주장하는데

"예전 현직에 있을때 외국과 회의를 하면 가장 많이 받는 질문 중 하나가 이거였다. "그렇게 침해를 많이 받는데, (너희 나라는) 침해 기준이 뭐냐?"는 거였다. 국가 차원에서 어느 정도의 사이버 침해를 국가 안보에 대한 도전으로 간주할 지, 이에 대한 합의가 아직 이뤄지지 않았다. 그러니 능동적, 공세적 대응이 불가능하다. 물론 사이버침해에 대한 국제 합의도 없다. 그러니, 우리나라만의 사이버 침해 기준을 서둘러 만들자는 거다. 사이버 사고가 나면 늘 우리끼리만 난리를 치고 있다는 느낌이다. 정작 사고를 일으킨 외부 사람은 벌하지 못하면서. 아이가 밖에서 맞고 왔는데 왜 맞았냐고 혼내기만 하는 꼴이다. 경위 파악하고 때린 사람을 혼내야 한다."

-사이버 침해를 조사하는 상설 기구가 필요하다고?

"선진국들이 이미 고도화한 해킹 사고를 이제는 못 막는다고 선언했다. 100% 막지 못하니, 어떻게 빨리 복구할 것이냐에 더 집중하자는 것이다. 우리는 외부에서 침해한 보안 사고도 기업 탓으로 돌리고 잘잘못을 따진다. 이는 우리 기업만 죽이는 꼴이다. 침해 사고가 나면 해당기업 이 충분히 조사하고 분석할 수 있는 시간을 먼저 줘야 한다. 국가가 침해 사고에 상시 대처할 수 있는 조직인 '한국형 상설조사단(K-CIRB,Cybersecurity Incident Review Board)'이 필요하다. CIRB를 잘 운영하는 나라가 호주다. CIRB의 가장 중요한 임무는 침해 사고가 났을 때 이를 제대로 분석, 국가의 학습 능력 향상으로 이어지게 하는 거다. 현재 민관군 합동 조사팀이 있는데 이런 면은 아직 부족하다고 본다."

-사이버청을 만들자는 이야기도 있다

"사이버청은 의미가 없다고 생각한다. 사이버청을 왜 만드나? 현재 사이버안보 거버넌스가 이미 있다. 사이버는 전 국민이 달라들어야 하는 굉장히 독특한 안보 공간이다. 다른 안보 영역이랑 굉장히 다르다. 국방, 외교는 군과 외교부가 대표성을 띠고 끌고가면 된다. 사이버 공간은 매일 전쟁을 치르는 전장이다. 국민 모두가 사이버 공간을 지키는 안보 수호자라고 생각을 해야 한다. 내 PC를 깨끗하게 쓰고 백신 깔라고 할 때 백신 제대로 깔고 그래야 한다. 조직이 없어 못 움직이는 게 아니다."

-사이버보안에 대한 컨트롤타워가 잘 작동하고 있다고 보나

"직접 보지 않아 모르겠다. 아직도 거버넌스 얘기가 밖에서 나오는 걸 보면 제대로 작동이 안돼 그런것 아닌가. 우리나라는 대통령실과 국가안보실이 컨트롤타워 역할을 명목상 수행하고 있다. 하지만 실행 근거가 없다. 실질적 역할을 수행하기엔 한계가 있다. 집행 기능도 분산돼 있다. 사고 발생시 각 영역에서 분담 처리한다. 통합적 지위와 조정이 부재하다. 대형 사고 발생시 컨트롤타워 지휘력이 명확히 작동하지 못한다는 점이 이미 반복적으로 드러났다. 현재의 거버넌스 체계가 제 기능을 할 수 있게 기반을 구축해야 한다. 실행력 있는 입법 전략이 필요하다.

-대응을 국내와 대외 투트랙으로 해야 한다고?

"그렇다. 국내와 대외로 구분, 투트랙 대응을 해야 한다. 우리나라의 사이버안보 입법은 신기술과 신산업의 급격한 확산과 국가 기반 시설 위협 고조, 개인정보보호 요구 등 복합적 배경속에서 추진하고 있다. 먼저, 거버넌스 실효성 확보와 신기술 확산에 따른 국내법을 재정비해야 한다. 안보실의 컨트롤타워 기능과 각 분야별 소관 부처의 역할 및 책임 기능을 명확히해 사이버안보 거버넌스 실효성을 확보해야 한다.

또 대외적 요인이 아닌, 기술 공백 및 보안상 허점으로 인한 국내사고 발생에 대한 제재 방안을 명시해야 한다. 자동차, 의료, 방산 등 산업별 특화 보안 필요성과 신산업 규제 등 환경 변화를 반영한 기존 법 정비도 필요하다. 여기에 개인정보 대규모 유출 사건과 랜섬웨어, 딥페이크 등 신종 위협에 대한 법저 대응도 반영해야 한다. 특히 일본처럼 국가 차원의 능동적, 공세적 대응을 위한 국가사이버안보법 제정이 필요하다."

-국가차원의 사고 대응 체계 및 복원력 전략이 미비하다는 지적도 있다

"그래서 K-CRB가 필요하다. 사이버 복원력은 단순히 복구가 아니다. 이를 넘어선다. 백업만의 문제가 아니다. 국가가 사고에 대한 지속적 학습을 통해 현재의 정책을 개선하고 대응을 강화하는 계기로 연결해야 한다. 장기적으로는 외부 공격 의지를 감소시켜 위협에 대한 억지 기반을 조성해야 한다. 우리나라는 복원력을 운영 정상화의 기술 개념으로만 이해한다. 사고 발생시 각 기관이 맡은 분야에서 별도로 대응, 국가차원의 학습체계로 연결하지 못하고 있다. 방어와 복구는 있지만 국가차원의 대응이라 할만한 억지력은 약한 구조다. 이에, 몇 가지 제언을 한다면 K-CIRB를 신설하고, 사이버복원력을 법제화하며, 민간 참여 제도와 및 인센티브강화와 '사후 분석+환류' 체계를 제도화, 지속가능한 예산과 거버넌스를 제도화 해야 한다."

-국제 사이버 동맹 및 협력은 어떤가

"우리나라는 IT선진국이며 기술선도국이다. 하지만 국가차원의 정책 부재로 국제무대에서 주변인으로 대접받고 있다. 우리 목소리를 내기에 현재 역부족인 상황이다. 대한민국의 국제협력 전략을 외교 차원을 넘어 사이버안보와 첨단기술, 산업정책, 외교안보를 고려해 수립하는 전략으로 발전시켜야 한다. 이는 대한민국이 국제사회에서 규범 수용자(follower)에서 규범 제정자(rule maker)로 전환할 수 있는 기회를 제공할 것이다. 정작 한국이 해킹을 당했는데도, 미국과 유럽이 공동 대응책을 알려달라고 하지만 알려줄 수 없는 황이다. 침해에 대한 지침이 없기 때문이다. 이런 상황이 반복되면서 해외 국가들이 공동 대응책을 만들면서 한국을 아예 빼고 만든다."

관련기사

-현재 AI스타트업 정책자문총괄을 하고 있다. 어떤 회사인가?

"현장을 겪어보니 현직에서 생각하던 것과 천양지차다. AI스타트업에서 많이 배우고 있다. 내가 정책자문총괄을 하고 있는 스타트업은 '커넥셔너리'라는 회사로 2025년 설립한 AI 스타트업이다. '리서치 전용 AI'를 개발해 공급하고 있다. 일반 생성형 AI의 문제로 지적되는 환각(Hallucination)을 줄이고, 수치 및 근거 기반 분석과 의사결정을 지원해주는 솔루션이다. 특히 연구기관, 정책기관, 기업 전략 부서 등에서 사용하면 유용하다."