과기정통부·KISA에 수사권 부여 추진, ‘사이버특사경’ 도입법 핵심 정리

정책·제도

과기정통부·KISA에 수사권 부여 추진… ‘사이버특사경’ 도입법 핵심 정리

대형 사이버 침해사고가 반복되는 상황에서, 침해사고 초동 단계부터 증거 확보와 범죄 차단까지 연결하기 위한 ‘사이버특별사법경찰(사이버특사경)’ 도입 논의가 본격화됐다.

무슨 내용인가

더불어민주당 조인철 의원이 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)에 특별사법경찰 권한을 부여하는 취지의 법안을 대표 발의했다. 핵심은 침해사고 대응·원인분석을 맡는 전문 인력이, 일정 요건 아래 특사경으로 지명되어 사건 초기에 필요한 조치를 신속하게 수행할 수 있도록 제도적 기반을 마련하는 것이다.

왜 ‘수사권’이 핵심인가
사이버 사건은 로그·패킷 등 디지털 증거의 휘발성이 높아 초동이 승부처다.
그러나 현행 체계가 “탐지-권고-복구”에 머물면, 공격자 추적·2차 피해 차단은 속도를 내기 어렵다는 지적이 많았다.

신고 의존형 구조의 한계

현행 민간 침해사고 대응은 기본적으로 피해기업의 신고와 기술지원 동의에 크게 기대는 구조다. 기업이 신고를 늦추거나 협조를 거부하면, 현장 조사 자체가 지연되거나 진행되지 못할 수 있다.

기사에서 인용된 KISA 통계에 따르면 민간 분야 침해사고 신고는 최근 수년간 큰 폭으로 증가했지만, 신고 대비 기술지원(현장 분석·지원)으로 이어지는 비율은 제한적이라는 문제의식이 제기됐다.

개정안의 핵심: ‘조사-수사-차단’ 원스톱

개정안은 과기정통부 소속 공무원과 KISA 직원 중 침해사고 대응·원인분석 등을 수행하는 인원을 지방검찰청 검사장이 특별사법경찰로 지명할 수 있도록 하는 내용을 담는다. 특사경이 도입되면 침해사고 발생 직후부터 수사 연계가 쉬워져, 탐지 → 조사 → 수사 → 차단으로 이어지는 전주기 대응체계를 목표로 한다.

전주기 대응체계가 의미하는 것
① 초동 단계: 현장 접근, 로그·서버 등 증거 보전
② 원인 분석: 악성코드·침투경로·권한탈취 여부 확인
③ 수사 연계: 관련 범죄 단서 추적, 추가 피해 차단 조치
④ 사후 조치: 재발 방지 권고 및 보완 관리

수사 범위는 어디까지인가

보도 내용 기준으로, 특사경의 수사 범위는 정보통신망법 및 전기통신사업법 위반 중 사이버 범죄 성격이 분명한 항목으로 한정된다. 예로 해킹, DDoS, 백도어 설치, 악성코드 유포, 피싱·스미싱, 발신번호 변작, 자료보전 명령 위반 등이 거론된다.

포인트
범위를 넓히는 방식이 아니라, “현장 대응에 필요한 최소 범위”를 특정해 실효성을 확보하려는 설계로 읽힌다.
다만 실제 법안 심사 과정에서 범위·요건·절차가 어떻게 정리되는지가 관건이다.

왜 지금 ‘사이버특사경’인가

최근 통신·플랫폼·유통 등 다양한 영역에서 유심 정보 유출, 소액결제 사고, 랜섬웨어 공격 등 굵직한 침해사고 이슈가 이어지면서 “행정 중심 대응”의 한계를 체감하는 목소리가 커졌다. 사이버특사경은 초동에서 증거를 놓치지 않고, 필요 시 즉시 범죄 차단까지 연결하겠다는 접근이다.

조인철 의원은 해킹을 민생·안보와 직결된 사안으로 보고, 전문기관 역량에 수사권을 결합한 국가 차원의 총력 대응이 시급하다는 취지를 강조했다.

비교 사례: 금융감독원 특사경

금융 분야에서는 자본시장 불공정거래 대응을 위해 금융감독원 직원에게 특별사법경찰 권한을 부여해 운영해 온 사례가 있다. 이번 논의는 “전문성이 필요한 영역에서 특사경 모델을 적용”한다는 점에서, 선행 제도의 운영 경험이 참고 지점으로 언급된다.

쟁점과 체크포인트

• 권한의 경계: 기술 분석과 수사 행위의 구분, 영장·압수수색 등 강제수사의 절차 설계
• 남용 방지: 지명 요건, 교육·감독 체계, 수사 통제 장치의 구체화
• 민간 협력 모델: 기업의 대응 부담을 줄이면서도 신고·정보 공유를 활성화할 유인 구조
• 초동의 속도: 자료보전·증거 확보가 실제로 ‘즉시’ 가능해지는지(법·현장 프로세스 정합성)
• 관할·중복 문제: 경찰·검찰·타 기관과의 사건 이첩/공조 기준

실제 사용 시 가장 중요한 것은 “빨리 한다”가 아니라 “정확하고 합법적으로 빠르게 한다”다.
실무 기준으로 보면, 사건 초기 24~72시간의 증거 보전과 커뮤니케이션 체계가 결과를 갈라놓는 경우가 많다.

기업·기관이 준비할 현실적 대응

제도 도입 여부와 별개로, 침해사고 대응의 기본기는 결국 현장에 남는다. 특히 로그 보관, 접근통제, 권한관리, 백업 전략 같은 기본 통제가 갖춰져 있어야 “조사-수사-차단”이 의미 있게 연결된다.

• 로그·증거 보전 체계: 저장 기간, 무결성, 접근권한 관리(감사 추적 포함)
• 사고 대응 Runbook: 신고·대응·대외 커뮤니케이션 절차를 문서화
• 랜섬웨어 대비: 오프라인/불변(immutable) 백업, 복구 리허설, 권한 분리
• 피싱·스미싱 방지: 계정 보호(MFA), 임직원 훈련, 결제/정산 프로세스 점검

정리

사이버특사경 도입 논의는 “신고 의존형 대응”에서 벗어나, 침해사고 초동 단계부터 증거 확보와 범죄 차단까지 끊김 없이 연결하겠다는 문제의식에서 출발한다. 향후 국회 심사 과정에서 권한 범위, 절차적 통제, 기관 간 공조 구조가 어떻게 설계되는지에 따라 제도의 성패가 결정될 가능성이 크다.