국민의 안전을 보장하고 자유롭고 평등하게 행복을 누릴 수 있는 여건을 마련하는 것이 국가의 기본 역할이자 책무다. 우리나라는 2001년부터 '정보통신기반 보호법'에 근거해 주요 정보통신 기반시설에 대한 보호체계를 운영하며 국가의 안전과 국민 생활의 안정을 뒷받침하고 있다.
오랫동안 정보통신 기반시설 보호정책의 핵심은 '멈추지 않는 것'이었다. 서비스 중단이 사회적 혼란과 국민 불안으로 이어질 수 있어 폐쇄망 운영, 망 분리, 접근통제 등 '가용성(availability) 중심' 보호조치가 자리 잡았다.
하지만 최근 기술 발전과 함께 사이버 공격이 일상화되면서 기반시설 공격을 100% 차단하는 것이 불가능해졌다. 이에 제로트러스트 관점의 다단계 방어체계를 구축하고, 기반시설의 보안성을 공고히 하는 것이 중요해졌다. 또 사고가 발생하더라도 필수 기능이 지속 운영되고 피해를 최소화하며 우선순위에 따라 핵심 서비스를 원래의 상태로 되돌려 정상화할 수 있는 역량, 즉 복원력이 강조된다.
기반시설이 공격받았을 때 모든 서비스를 동시에 복원할 수는 없다. 주요 국가는 이미 기존 시스템, 자산 중심의 보호체계에서 벗어나 서비스·기능 단에서 기반시설을 재분류하고 위험성 평가를 통해 복원의 우선순위를 설정해 제한된 자원으로 핵심 기능을 유지할 수 있게 대응체계를 재정비했다.
미국은 55개 '국가핵심기능'(National Critical Functions)을 중심으로 위험을 관리한다. 개별 시설의 보호 수준을 넘어 국가가 반드시 유지해야 할 기능과 이를 뒷받침하는 시스템, 자산, 상호의존성까지 함께 고려했다. 사이버안보·인프라보호청(CISA) 산하 국가위험관리센터(NRMC)와 국가인프라시뮬레이션 및 분석센터(NISAC)는 기능 단위에서 교차 부문 위험과 연쇄 영향을 분석해 주요 기반시설의 보호 우선순위를 조정한다.
영국 국가사이버보안센터(NCSC)의 사이버평가프레임워크(CAF) 역시 평가의 출발점을 '핵심 기능'(essential functions)에 둔다. 어떤 기능이 우선 유지돼야 하는지, 복구 순서가 명확히 정해졌는지, 사업 연속성 및 재해복구 계획이 실제 작동하는지, 백업이 적정 시간 내 복원되는지까지 점검한다. 이는 유럽연합(EU)의 사이버보안지침(NIS2)에도 반영된다.
우리도 '가용성 중심' 대응에서 벗어나 '복원력 중심' 체계로 변화해야 한다. 복원력을 '설계의 출발점'으로 반영하고 국가 핵심 기능을 중심으로 기반시설 지정·평가·예산·훈련·감독을 유기적으로 연결해야 한다. 사고 이후 유지와 회복까지 포함하는 전 주기적 보호체계만이 어떠한 위협에도 흔들리지 않는 안전성을 확보할 수 있다.
