세계가 사이버안보 패권(Cybersecurity Hegemony)에 열을 올리고 있는 가운데 이재명 대통령이 이끄는 새 정부가 4일 탄생했다. 새 정부는 안전한 대한민국을 위한 사이버공약으로 5개 분야 17개 과제를 제시했다. 사이버 공격은 정부와 군사 뿐 아니라 에너지, 금융 등 국가 주요 기반시설을 마비시킬 수 있다. 인공지능(AI), 클라우드 등 신기술 발달로 초연결시대가 되면서 사이버공격은 더 빈발하고 공격 기법이 더 지능화됐다. 와중에 SK텔레콤(SKT) 해킹 사태가 터져 해킹에 대한 경종을 울렸다. AI가 세상을 삼키고 있는 지금, 새 정부의 사이버정책은 어때야 할까? 사이버 강국과 오랜 숙원인 글로벌 보안 기업을 탄생시킬 수 있을까? 이런 물음을 갖고 지디넷코리아는 새 정부의 사이버 및 보안 정책을 진단하는 산학연 전문가 좌담회를 4일 개최했다.
<좌담회 참석자·가나다순>
▲김창오(IITP 정보보안 PM)
▲박현주(시옷 대표/국가데이터정책위원회 보호·활용 분과위원장)
▲신용석(전 대통령실 사이버안보비서관)
▲이원태(국민대 특임교수/전 한국인터넷진흥원(KISA) 원장)
▲염흥열(CPO협의회장/순천향대 명예교수)
▲윤원석(라온시큐어 부사장/라온화이트햇센터장)
▲조영철(한국정보보호산업협회장/파이오링크 대표)
*사회 및 정리/방은주(지디넷코리아 부장)
=사회/먼저 자기 소개를 간단히 해달라
▲염흥열 CPO협의회장: 민관 CPO들 단체인 CPO협희회장을 맡고 있다. 오늘 좌담회에 최근 뽑힌 IITP 정보보호 PM(프로그램매니저)도 왔는데, 내가 1대 PM이었다. 개인정보위원회의 위원으로도 활동했다. 최근 순천향대학교를 정년 퇴임, 명예교수로 있다. 보안관련 세계표준활동도 오랫동안 해왔다.
▲이원태 교수: KISA 그만두고 아주대학교 사이버보안과 교수로 있다 올 6월부터 국민대 책임교수로 일하고 있다. KISA 원장으로 있으면서 각계각층의 보안 전문가들과 만났다.
▲김창오 PM: 민간기업에서 정보보안 업무를 한지 25년이 조금 넘었다. 현재 과학기술정보통신부 연구개발 민간전문가(PM)로 IITP(정보통신기획평가원)에서 정보보안 분야의 연구개발(R&D) 사업 기획 및 전략을 수립 등의 직무를 하고 있다. PM이 되기 전에는 야놀자, 카카오모빌리티 등 IT 플랫폼기업에서 CISO와 CPO로서의 역할을 수행했으며, 정보보호 국제표준기구(ITU-T SG17)에서 Working Party 의장으로도 활동하고 있다.
▲윤원석 부사장: 1990년대 후반 모 전자그룹에서 보안을 담당했다. 라온시큐어는 보안전문 기업이다. 우리나라에서 처음으로 화이트해커를 양성하기도 했다. 현재 해커센터도 맡고 있다.
▲조영철 KISIA회장: 30살에 창업을 했다. 원래 대학 전공이 네트워크다. 어쩌다 보안에 꽂혀 창업을 했고, 지금까지 왔다. 현재는 300여 보안기업들 모임인 KISIA 회장도 맡고 있다.
▲박현주 대표: 대학에서 컴퓨터를 전공했다. 보안을 한 지 26년정도 했다. 모 보안회사 연구소장으로 일했고, 2005년 자동차용 보안 스타트업인 시옷을 창업했다.
▲신용석 전 비서관: 작년 2월부터 용산에서 사이버안보 비서관으로 일했다. 그전에는 토스의 CPO였다. 토스 전에는 넥슨코리아와 한국MS에서도 일했다.
=사회: 새 정부가 마침내 지난 4일 출범했다. 새 정부가 여러 보안 및 사이버 공약을 제시했다. 이들 공약을 어떻게 평가하나? 또 새 정부가 시행했으면 하는 사이버 및 보안 정책을 말해달라
▲염흥열 CPO협의회장: 사이버 보안 분야가 굉장히 넓어졌다. 옛날에는 주로 정보통신 분야에 집중했다. 요즘은 아니다. 에너지, 금융, 전력, 의료 등 굉장히 폭이 커졌다. 그러다 보니 여러 영역에서 똑같은 사이버공격이 일어나고 있다. 이를 잘 막으려면 이스라엘의 미사일돔처럼 사이버돔을 구축할 필요가 있다고 본다. 사이버 정보 공유도 중요하다. SKT 해킹 사고도 마찬가지다. 정보 공유가 잘 됐더라면 하는 아쉬움이 있다. 사이버 분야 조정과 총체적인 거버넌스도 매우 중요하다. 특히 (사이버보안이) 국정 최고책임자인 대통령의 국정 과제가 돼야 한다.
▲이원태 교수: 이번 대통령 선거가 독특한 게 뭐냐면, 대통령 선거 기간 중 SKT 해킹 사건이라는 유례없는 큰 통신 인프라 사고가 있었다는 거다. 이재명 대통령의 사이버와 보안 공약을 보면 망(網)중심에서 데이터중심으로 보안체계를 전환하겠다는 게 있다. 이는 제로트러스트 시대의 필수 요소다. 기존 ‘성벽 쌓기’ 방식에서 ‘모든 것을 의심하고 검증하는’ 방식으로 패러다임 전환을 명시한 것은 매우 앞선 인식 이라고 본다.
또 디지털 민생 안전, 특히 AI 보이스피싱 대응과 스마트 안심번호 제도는 국민이 체감할 수 있는 실질적 정책으로 안전한 디지털 환경을 만들겠다는 정책 의지를 보여준다.
이재명 정부는 지역균형 발전도 중시할 것으로 보인다. 보안기업의 71%가 서울에 집중돼 있데, 지역 보안산업 육성을 제시한 것은 ‘보안 격차 해소’라는 중요한 관점을 반영한 것이라 평가한다. 그리고 SKT 해킹 이슈로 주목받는 정보보호 공시제도 강화를 표명한 것은 ‘시장 메커니즘을 통한 자발적 보안 투자 확대’를 유도하는 선진적 접근이라는 점에서 높게 평가 하고 싶다.
새 정부가 시행했으면 하는 사이버보안 정책은 무엇보다 우리나라 정보보호산업의 글로벌 경쟁력 확보라고 생각한다. 현재 16.8조원 규모의 정보보호산업을 30조원 정도로 두 배 확대하고, 매출 1조원 이상의 보안 유니콘 기업을 차기 정부 내에 꼭 탄생시켜 미국, 이스라엘에 이어 명실상부한 세계 3위 사이버보안 강국, 정보보호분야 글로벌 탑레이어 진입을 목표로 했으면 한다.
두 번째는 중소기업 사이버보안 생태계를 혁신하는 것이다. 최근 SKT 등 대형통신사 해킹사고에 관심이 쏠려있지만 오늘날 침해사고의 대부분은 보안 수준이 낮은 중소기업에서 발생한다. 달리 말하면 대기업-중소기업 간 보안 격차 해소를 통해 전체 산업 생태계 보안 수준을 향상시켜야 한다는 뜻이다. 그래서 이번 공약에도 중소기업 전용 구독형 보안서비스(SeCaaS) 국가 지원 프로그램 확대가 언급된 것이라고 생각한다.
세 번째로 한가지 더 언급한다면, AI 시대 국민생활 밀착형 보안체계를 강화하는 것이다. 앞으로 AI 악용 딥페이크, 보이스피싱 등이 급속히 고도화돼 일반 국민 피해가 급증할 것이기 때문이다. AI 투자 100조원 공약과 연계해 AI 보안기술 개발 및 AI보안 산업의 전략적 육성도 함께 추진해야 한다.
즉 AI강국 실현을 위한 국정과제 추진이 예상되는데, AI산업 활성화 만큼이나 AI보안산업의 전략적 육성을 통한 차세대 성장동력 확보가 중요하다. AI 강국 실현을 위해서는 AI 시스템의 신뢰성과 안전성이 필수 전제조건이기 때문이다. AI를 활용한 보안기술과 AI 시스템을 보호하는 보안 분야를 모두 아우르는 AI보안산업을 국가 핵심 전략산업으로 육성했으면 한다. 공공행정, 에너지, 의료, 운송, 금융 등 주요 분야별 AI 보안 시범사업을 추진하고, 월드베스트 LLM 프로젝트와 연계해 인공지능 보안 국가대표 정예팀을 발굴해야 한다.
▲김창오 PM: 사이버 보안은 기술 부문에 국한된 이슈가 아니라, 국가 경쟁력과 직결되는 핵심 요소이다. 새 정부가 출범한 지금, 대한민국은 디지털 대전환과 인공지능(AI) 기술 발전이라는 시대적 흐름 속에서 사이버 안보와 사이버 환경에서의 정보보호 경쟁력 확보를 위한 전략적 전환이 요구된다. 초연결 사회로의 진입은 새로운 기회인 동시에, 복합적이고 지능화된 위협에 대해 더욱 정교하고 선제적인 능동형 보안 패러다임으로의 전환을 선도하는 것이 필요하다.
새 정부가 들어서면서 실용 정책을 많이 기대하는 것 같다. 보안도 마찬가지로 지금까지의 형식적인 보안 정책과 보안 활동들에 대해 실행과 실용 중심으로 전환하는 것이 필요하다. SKT 사건도 사실 현장에서의 보안 활동이 제대로 이행되었다면 피해를 최소화 할 수 있었을 것이다. 보안은 단순히 기술 측면에서만 바라볼 것이 아니라 관리적 요소를 고려한 경영 활동으로 이행해야 한다.
공공과 민간의 하모니가 필요하다. 사이버 보안은 국가 경쟁력의 핵심 요소가 될 것이기에 실용성 있는 보안 활동이 필요하다. 지금까지는 공공과 민간의 조화와 공생 성장이 부족했다. 보안산업이 성장하고 글로벌 경쟁력을 가지기 위해서는 연구개발(R&D)에서도 공공과 민간이 협력해 같이 만들어가는 생태계 환경을 조성해야 한다. 특히, 수요 측면에서 정보보안 기술 공급자(정보보안 산업체)와 정보보안 기술의 소비자(기업과 국민) 요구를 조화롭게 반영해여 정보보호 산업 생태계를 완성하는 것이 필요하다.
지금은 AI를 빼고 논할 수 없는 시대가 됐다. AI 보안에 대해 정말 적극적으로 투자하고 강화해야 한다. 모든 것에는 적절한 때가 있다. AI의 발전은 사이버 보안 위협 뿐만 아니라 기회이기도 하다. 최근 AI를 활용한 자동화된 해킹, 소셜엔지니어링 고도화, 지능형 피싱 등 새로운 유형의 공격이 등장하고 있으며, 이에 대한 방어 전략 또한 AI 중심으로 재편해야 한다. AI가 창이 된다면 방패 역시 AI여야 한다. 따라서 “AI 기반 협력적 다층 방어 체계”를 구축해야 한다. AI 보안은 security for AI 뿐만 아니라 AI for security가 조화롭게 성장할 수 있도록 관심을 가져야 한다. AI 보안을 글로벌 패권의 경쟁력으로 키워갈 수 있도록 적극적으로 대처해야 한다. AI 보안 주도권을 누가 먼저 확보하느냐에 따라 사이버 공간 주도권이 결정될 것이다. 따라서, 단순한 연구 과제로, 연구 활동에서 끝나지 않고 글로벌 정보보호 산업에서 우리의 경쟁력으로 승화될 수 있게 집중해야 한다.
그리고 뒤에서 다시 이야기할 기회가 있을지 모르겠지만, 지금까지 우리는 보안인력 10만 양성을 많이 이야기해 왔다. 그러나 우리는 공격자(Red Team) 중심의 인력 양성에 편중돼 왔다. 비유를 하면, 스트라이크(공격수)만으로 축구 경기를 하자는 형국이다. 강한 팀이 되기 위해서는 훌륭한 미드필더와 골키퍼와 같은 수비수도 필요하다. 따라서, 방어자(Blue Team) 역할을 수행할 수 있는 보안 인재 양성을 포함하는 균형 있는 인재 육성이 필요하며, 이를 통해 우리는 더 조직적이고 체계적으로 성장할 수 있는 정보보안 활동의 잠재력을 확대할 수 있을 것이다.
▲윤원석 부사장: 높은 투표율과 민주적 헌법절차에 따라 새 정부가 출범했다. 새 정부는 국민주권 정부를 표방하고 있다. 사이버 분야에서도 국민의 사이버주권 강화에 많은 노력을 해주실 것을 부탁드린다. 새 정부 공약 중 정보보호공시 제도 강화는 바람직하다고 본다.
다만, 이런 정책이 각 부처의 시행과정에서 과거 정부의 보안전문가 10만명 양성처럼 표면적 실적에 급급해서는 안된다. 인력의 공급 측면 뿐 아니라 전문가 수요 측면을 확대 강화하고, 이러한 수요를 뒷받침할 예산을 확보해야 한다.
새 정부는 AI 세계3대 강국 진입을 목표로 100조원을 투자할 계획으로 국가 핵심인프라 및 개인정보보호를 위한 사이버보안 강화 공약을 제시했다. AI 보안을 포함한 역기능 방지에도 적극 힘써 줬으면 한다. 현행법상 AI 기본법과 정보통신망법에 어느 정도 역기능 방지 관련 법제도가 있지만, 딥페이크와 같은 AI 서비스의 오남용 뿐 아니라 AI 서비스 제공자에 대한 적절한 보안 대책과 AI 자체, 즉 위해AI에 대한 탐지 및 통제를 위한 기술 개발과 규제도 적극적으로 추진해야 한다.
▲조영철 KISIA 회장: 앞으로 5년 후에는 인터넷에 만들어진 콘텐츠 중 90%가 AI가 만든 거라고 한다. 그만큼 보안 중요성이 더 커질 것이다. '보안 없는 AI 강국은 없다'는 인식 아래, AI 투자 예산의 최소 10%를 정보보호 분야에 배정하도록 정책과 재정적 지원을 강화해야 한다.
또 안전하고 편리한 AI 서비스를 제공할 수 있게 예산편성 단계부터 보안 투자를 반영하는 제도적 장치도 마련해야 한다. 지금까지는 보안이 비용이라는 관점이 굉장히 강했는데, 이제 투자라는 관점으로 바뀌어야 한다. 예전 금융권에서 시행한 '557'제도 같은, IT투자의 몇 %는 보안에 투자하는, 기업과 기관의 보안 투자 가이드라인을 꼭 만들었으면 한다.
*557제도: 2011년 농협 전산망 마비 사고 이후 정부가 도입한 제도로 금융기관은 전체 인력의 5%를 IT 인력으로, 또 IT 인력의 5%를 보안 인력으로 확보하고, 전체 IT 예산의 7%를 보안 예산으로 사용하도록 한 것.
▲박현주 대표: 여섯번 째 말하다 보니 비슷한 부분이 있어 짧게 말하겠다. 대통령의 대선 공약을 보면 온오프라인으로 안전한 국가를 만들겠다고 했는데, 매우 의미가 있는 공약이다. 그런데 자세히 보면, 약간 부족한게 뭐냐면, 산업과 보안기업 육성 및 활성화 부분이다. 국내 보안기업이 800여곳 되는데, 이중 혁신기업을 통크게 지원해줬으면 좋겠다.
혁신기업이 기술을 개발해 시장에 진입하고 투자를 받아 글로벌로 가는 여정에서 갖가지 어려움을 겪는다. 이 과정을 지원하는 게 여러 부처에 흩어져 있다. 아쉬운 부분이다.
▲신용석 전 비서관: 새 정부의 사이버보안 공약에 전적으로 동의한다. 두가지만 짚고 싶다. 먼저, 망중심에서 데이터 중심의 정보보호체계로 전환을 추진하는 것은 작년에 국정원, 금융위원회, 개인정보보호위원회가 추진한 망분리 규제 완화와 방향성을 같이 한다. 이는 10년 넘게 유지해 온 것을 전환하는 것으로, 매우 어렵고 힘든 과제다. 올해가 전환 작업이 성공한 원년이 되기를 바란다.
또 지역과 중소기업 등 사이버보안 사각지대 해소에 강조점을 두고 있는 점도 바람직하다고 보고, 성과가 기대된다. 한가지 더 말하면, 그동안 여야가 한 목소리로 촉구한 부다페스트협약 가입도 조속히 실현되면 좋겠다. 현재 법사위에서 형사소송법 개정안이 계류돼 있다. 법안이 통과되면 6개월 이내 가입이 가능할 것으로 보고 있다.
우리나라가 사이버강국으로 나아가는데 꼭 필요한 일이다. 마지막으로, 사이버안보 및 사이버보안 분야와 다른 분야와의 복합 넥서스(nexus)의 관점도 정책에 반영할 필요가 있다. 사이버안보와 경제안보의 연결이 매우 중요하며, AI와 퀀텀(양자), 우주 분야 등도 사이버보안 측면에서 함께 챙겨야 한다.
▲염흥열 CPO협의회장: 부다페스트 협약은 사이버 범죄에 대응하기 위한 국제 조약이다. 사이버 범죄 처벌 대상 정의, 사이버 범죄 정보 공유, 수사 공조 등 국제 협력 절차를 규정한 것으로, 2001년 유럽평의회에서 채택, 2004년 발효됐다. 60여국이 회원국이다. 미국하고 일본도 가입했다. 사이버 범죄에 대응하는 국제공조에 꼭 필요한 협약으로 우리나라도 속히 가입해야 한다.
=사회: 여러 좋은 제안들 감사하다. 우리나라의 사이버 및 보안 수준도 궁금하다. 어떻게 보고 있나. 인력, 기술력, 정책, 생태계 등에서 말해달라
▲조영철 KISIA 회장: 한마디로 표현하기 어렵다. 미국과 비교해 우리나라 제품이나 기술 수준이 어느 정도냐를 말하곤 하는데, 사실 의미가 없다. 어떤 건 10년 뒤진 것도 있고, 어떤 건 우리가 앞선 것도 있다. 그러기에 한마디로 표현하기는 힘들다. 운영이나 관제, SKT의 사고 대응력을 보면 이 부분은 우리가 수준이 꽤 높다고 본다.
일본이 최근 사이버 보안산업 전략 5개년 계획을 발표했다. 이걸 보고 놀랐다. 선진 사례로 미국과 이스라엘, 영국과 함께 우리나라를 들었다. 일본은 한국을 잘 따라하지 않는 나라다. 그런데 사이버와 보안 전략에서 한국을 벤치마킹하고 레퍼런스로 생각하고 있다는 것에 놀랐다.
매년 미국에서 열리는 세계적 보안 행사인 RSA도 마찬가지다. 아시아에서는 우리나라가 거의 유일하게 10년 연속 참여했다. 한국 전시 부스에 외국기업도 많이 방문한다. 아시아권 국가들은 한국이 사이버 보안에서 기술적으로 높고 정부의 육성 의지가 높은 것으로 알고 있다. 그런데 앞으로가 문제다. 5년후에도 동남아 국가들이 한국 부스를 찾을 지 모르겠다. 지금부터라도 위기의식을 가져야 한다.
▲윤원석 부사장: 보안컨설팅 대상 기업과 공공기관을 다녀보면 아쉬운 게 있다. 사이버보안이 여전히 정책적으로 우선순위에서 밀리고 있다. 인력적으로는 전문가 구하기가 어려우며, 예산은 늘 부족한게 현실인 듯하다. 그러다 보니 국가 차원의 사이버 보안 수준은 아직 법적 준거성 확보 수준에 머무르고 있지 않나 하는 생각이다.
관련해 두가지 정도 짚고 싶다. 첫째, SK텔레콤의 통신서비스와 같은 주요정보통신기반시설은 양적 질적으로 꾸준히 중가 및 확대돼 왔다. 국민 생활에 중대한 영향을 주는 정보서비스들을 주요정보통신기반보호법에 따라 지정하고 관리하는 것은 중요하다. 최근 기업들은 경쟁력 확보 차원에서 클라우드, AI, 웹3 등 신기술을 적극 도입하고 있다. 하지만 새로운 기술에는 항상 새로운 취약점이 존재하기에 '제로데이'라고 부르는 우리가 알지 못하는 새로운 취약점들이 따라온다.
이에 대한 대응은 여전히 부족한 것같다. 따라서, 신기술 적용 서비스들에 대한 기반시설 지정 범위 확대 등 점검과 관리 범위를 확대하고 보안 적용을 위한 예산을 확보해야 한다.
둘째, 보안 수준 강화를 위해서는 진단과 점검 등 예방이 중요한데, 중요 서비스에 대해 실제 해킹 가능성이 있는지 충분히 검증하지 못하고 있다는 우려가 있다. 정보통신 기반시설 뿐 아니라 국민 생활에 영향을 주는 중요한 정보서비스에 대해서는 일상적인 해킹 가능성 점검을 통해 보안 수준을 유지해 줘야 한다. 그런데 이를 실행할 모의침투 전문가도 부족하고, 예산도 부족해 충분히 진행되지 못하는 상황이다. 이에 대한 개선이 필요하다.
▲김창오 PM: 우리나라의 사이버 및 보안 수준은 일부 분야에서는 세계적 수준에 근접했지만 정책 실행력, 인재 기반, 민간 생태계 다양성 등 측면에서는 여전히 도약이 필요한 과도기적인 위치에 있다고 평가할 수 있다. 사이버 보안 분야는 우리나라가 리더 그룹에 속해 있다고 볼 수 있으나, 정보보안 활동의 실행 부분이나 코어 기술, 그리고 민간 생태계의 다양성 측면에서는 여전히 우리가 노력이 많이 필요하다.
민간 부문 지원 정책은 상대적으로 부족하다는 목소리가 많으며, AI·양자·클라우드 기반 보안 전략은 아직 성장의 단계인 만큼, 지금이라도 적극적인 연구개발(R&D)에 대한 투자를 통해 미래 보안에 대한 대응력을 갖출 수 있는 기회를 놓치지 않아야 한다.
또 우리가 잘하고 있는 것에 대해서는 더 잘할 수 있게 적극적으로 투자하는 게 필요하다. AI 기반 위협 탐지, 자동화 대응 시스템(EDR/XDR)등 최신 보안 기술은 상용화와고도화에 더 박차가 필요하다. 우리는 스스로 더 잘할 수 있는 목표를 가지고 접근해야 한다. 현장에서 보면 공격자들은 지속적으로 발전하며 공격의 수위를 높이고 있다.
SKT 사건을 보면 3년 동안 공격이 이루어졌음에도 인지를 하지 못했다. 이는 정보보안 활동의 현주소를 보여주고 있으며, 우리가 어떤 부분을 놓치고 있는지를 보여주는 중요한 사례다. 사람이 할 수 있는 일과 사람이 하기 어려운 일이 있다. 단순 반복적인 일은 AI 기술로 대체를 해 나가고 있다. 보안 영역도 마찬가지다. 사람이 잘할 수 있는 부분과 기계 힘(AI)을 빌어 더 잘할 수 있는 일을 적절히 분배함으로써 AI 보안을 통한 글로벌 리더십을 확보해야 한다.
우리나라 정보보안 산업의 한 가지 문제점이라고 하면, 수요자에 대한 생태계가 완성돼 있지 않다는 점이다. 학계와 연구소의 연구 활동은 활발히 이뤄지고 있지만 수요처까지 잘 이어지지 않고 있다. 학계, 연구소, 공급자, 그리고 실질적인 소비자까지의 생태계 환경이 완성되어질 때, 우리는 정보보안 산업에서도 글로벌 리더십을 가져갈 수 있을 것이다. 사이버 보안 기술의 표준화·글로벌 수출 연결성 부족을 개선하기 위해 미래 보안을 선도할 핵심 기술에 대한 투자와 개방형 협력이 더 필요하다.
▲염흥열 CPO협의회장: 예전 당국이 조사한 바에 따르면 미국이 100점이였을때 우리나라는 차세대 보안에서 89점이였다. 미국과 기술격차는 0.9년 정도였다. 그런데, 이 평가는 주관적이다. 미국과 우리나라간 격차가 어느 정도인지 말하기 어려운 면이 있다.
▲신용석 전 비서관: 최근 ITU가 시행한 국제 사이버보안 지수에서 우리나라는 100점 만점에 100점을 받았다. 다른 몇 나라와 함께 톱레벨 국가에 속했다. ITU는 5개 분아(필러)로 평가를 한다. 사이버 보안은 지속적인 개선이 중요하다. 그런 점에서 부족한 부분을 지속적으로 세심하게 살피고 해결해야 한다.
다른 한편으로는 외국은 우리의 사이버 보안에 대해 높이 평가하고 있다. 지난 해 사이버 안보 분야 국제협력을 하면서 이를 많이 느꼈다. 한-미, 한-미-일, 한-영, 한-NATO를 비롯해 많은 나라와의 협력 관계가 발전했다.
한가지 더 말하고 싶은 게 있다. 사이버보안 '10만 인재' 양성이다. 이제 '10만 인재 양성'이라는 명칭을 그만 썼으면 한다. 사이버보안 인력이 이미 10만명을 넘었다. 우리나라에도 우수한 보안 인력들이 많다. 데프콘 CTF에서 3년 연속 우승했고, 전세계 군인들이 참여하는 사이버넷에서도 3년 연속 우리가 우승했다. 우리나라의 화이트 해커 실력은 세계 최고 수준이라고 본다. 인력 등 생태계 구축에 도움이 되려면 보안 투자부터 대폭 늘려야 한다
지디넷코리아가 주최한 새 정부의 사이버 및 보안정책 전문가 좌담회가 4일 열렸다.
▲이원태 교수: 우리나라 정보보호 기술 수준은 주요 선진국(미국 100%) 대비 85% 수준으로 세계 3~5위권이다. 특히 지난 2024년 ITU 글로벌 사이버보안 지수 평가에서 ‘최상위’ 등급을 받았는데 이는 우리나라의 사이버보안 역량을 세계가 인정하고 있음을 보여준 중요한 지표다.
하지만 정책 측면에서는 부처간 역할과 책임의 경계가 명확하지 않은 등 협조체계 한계점이나 문제점이 늘 상존하고 있다. 보안을 강화하되 산업성장을 저해하지 않는 규제와 혁신의 균형을 위한 정책설계가 여전히 과제다. 이에, 현재의 ‘규제 중심’에서 ‘지원과 육성 중심’으로 패러다임을 전환하고, 부처 간 칸막이를 없애는 실질적인 통합 거버넌스 구축이 시급하다. 또 글로벌 표준과 호환되는 정책 체계를 만들어 국내 기업들이 해외 진출에도 경쟁력을 갖출 수 있게 해야 한다.
인력의 경우, 과기정통부와 KISA(한국인터넷진흥원), KISIA(한국정보보호산업협회), KITRI(한국정보기술연구원) 등이 2023년~2026년 5년간 4만 예비인력 양성과 6만 재직자 역량 강화를 목표로 하는 사이버보안 10만 인재양성 추진계획을 시행하고 있다. 하지만 현실적에서는 여전히 인력 부족이 심각한 상황이다. 특히 사고대응, 포렌식 등 실전대응 전문가와 AI 보안 등 신기술 보안 전문가, 사이버보안 정책 설계 및 거버넌스 전문가들이 부족하다.
수도권 집중으로 지방 중소기업들이 정보보호 전문가를 구하기 매우 어려운 상황이기도 하다. 종합적으로, 현재 우리나라는 사이버보안 분야에서 ‘선진국 진입 단계’에 있다고 평가한다. ITU 최상위 등급이라는 성과를 기반으로, 이제는 실질적인 보안 역량 강화와 지속가능한 생태계 구축에 집중해야 할 시점이다.
▲김창오 PM: 학계, 연구소들이 기업 등 수요처와 잘 연계되지 못하고 있다. 이게 우리가 풀어야 할 숙제다. AI 기술은 불행하게도 자본이 많은 곳에서는 더 유리하게 활용할 수 있지만, 중소기업과 같이 예산과 자원이 부족한 곳에서는 사용이 어렵다. 부익부빈익빈 현상의 불균형이 일어난다. 우리는 이를 해결하기 위한 고민을 많이 해야 하며, 기술 사각지대에 놓일 수 있는 중소기업을 지원할 수 있는 방안이 필요하다. 이의 일환으로, 중소기업들이 성장의 경쟁을 위한 기초 체력을 갖출 수 있도록 국가 연구개발(R&D) 예산 증대와 지원이 필요하다.
▲조영철 KISIA 회장: 우리나라의 경쟁력을 따져보면, 기업만의 문제가 아니다. 흔히 산학연이라고 하는, 학계와 연구소의 경쟁력도 따져봐야 한다. 글로벌한 해커도 나와야 하고 글로벌한 교수와 연구원도 나와야 한다.
▲염흥열 CPO협의회장: 동의한다. 학교서 연구하는 건 원천 기술이고, 이들 원천 기술이 기업에 잘 흘러들어가야 한다. 우리나라를 보면 학계에서 열심히 연구하는 교수들이 많다. 구글 스칼러를 쳐보면 한국 연구권들도 꽤 나온다.
▲박현주 시옷 대표: 결국 기술이 산업으로 잘 연결되게 하는게 중요한 것 같다. 사실 앞으로도 걱정이다. 우리 사례만 봐도 그렇다. 내가 모빌리티 사업을 하고 있는데, 혁신기술인데, 실증을 할 곳이 없다. 이런 인프라가 없으니 톱레벨 국가와 비교해 기술 격차가 발생한다. 기술을 갖고 사업화를 하고, 또 인증과 시험테스트를 거쳐 고객사를 확보한 후 해외로 나가는 선순환 구조가 만들어져야 한다. 아직 이 부분이 아쉽다. 새 정부가 이 부분을 잘 챙겼으면 한다.
▲염흥열 CPO협의회장: 한가지 말하고 싶은 게 있다. 글로벌 표준화다. 표준화가 굉장히 중요하다. 중요한 표준은 두 가지 목적이 있다. 하나는 제품이나 서비스의 상호 운영성을 보장해 주는 거다. 서로 연동할 수 있는 장점이 있다.
두 번째는 핵심 기술이 있으면 표준 특허를 획득, 지재권을 확보해야 한다. 글로벌 기술 경쟁에서 우위를 확보하는 방법이다. 세계표준기구인 ITU에도 우리나라를 포함해 중소기업들이 참여하고 있다. 중동 등 해외 시장 바이어들이 묻는게 있다. 글로벌 표준과 잘 부합되는 지다. 이 세 가지 측면에 보면 다른 나라 기업들도 글로벌적으로 시작한 지 얼마 안됐다. 우리나라에도 충분히 기회가 있다고 본다.
▲김창오 PM: ITU-T SG17에도 국내 중소기업들이 참여하고 있다. 중소기업들의 기술을 국제 표준으로 만들고 표준을 기반으로 사업을 확장해 나가고 있다. 그라나, 옆에서 보면서 안타까운 건, 참여하고 있는 중소기업들이 리소스가 표준을 개발하고 사업을 확장하기에 충분하지 않다는 거다. 그러다 보니 기업들이 가지고 있는 역량을 충분히 발휘하기 힘들다. 이 부분을 메워주기 위한 재원이 뒷 받침 되면 좋겠지만 아쉽게도 그렇지 못하다.
ICT 보안 분야 우리나라 국가 R&D 예산이 작년에 처음으로 1천억을 넘었다. 이를 기반으로 약 100여개의 과제를 지원하고 있다. 그러나, 이는 미래 ICT 환경과 AI 시대의 글로벌 경쟁을 확보하기 위해 준비하고 있는 현장에는 매우 부족한 재원으로, 기업의 성장에 현실적인 밑거름이 될 수 있는 수준의 재원 마련이 될 수 있도록 국가 R&D 예산 확대가 절실하다.
▲신용석 전 비서관: SKT 사태도 발생했는데 액수가 낮아지는 건 문제가 있다고 본다. 산학연언 모두가 잘 지켜봐야 한다.
=사회: 이번엔 거버넌스와 법제도 문제를 점검해보자. 사이버와 보안 분야 거버
넌스를 어떻게 가져가야 할까? 또 사이버 환경이 급변하면서 이에 대응하는 법제도 마련도 시급하다. 국가사이버안보기본법 제정이 화두이기도 하다
▲이원태 교수: 늘 지적되는 얘기지만 사이버보안 거버넌스의 가장 큰 문제는 ‘컨트롤타워 부재’다. 마치 ‘여러 명의 지휘관이 있는 군대’와 같다고 할까, 국정원과 과기정통부, KISA, 각 부처가 따로따로 움직이고 있다는 지적인데, 만약 대형 사이버 공격이 발생했을 때, 어느 기관이 주도적으로 대응해야 하는 지, 혼란이 있을 경우 골든타임을 놓칠 수 있다.
그러면 사이버보안 거버넌스는 어떻게 설계하고 운영해야 할까? 기존 윤석열 정부는 한계가 분명했다. 형식상으론 국가안보실이 컨트롤타워였지만, 실질적으론 국정원이 사이버보안 정책 전반을 주도했다. 이러한 정부주도, 정보기관 주도의 대응체계는 민간의 창의성과 혁신 동력을 억제한다. 과도한 규제로 인한 산업 위축 우려도 있고, 정치적 중립성 결여 문제, 신속한 기술변화 대응 한계 등의 문제를 드러냈다. 특히 사이버보안(안보) 기본법 제정이 계속 어려웠던 것도 국정원 권한 집중 우려 때문이었다.
이제는 접근 방식을 바꿔야 한다. 사이버보안 거버넌스는 민간 주도로 패러다임을 바꿔야 한다. 정치적으로 독립적인 사이버보안청을 만들되, 민간이 실질적으로 주도하는 구조로 운영해야 한다고 생각한다. 그래서 사이버보안 기본법 제정 방향에는 국정원이 아닌 사이버보안청 중심 체계가 돼야 하고, 민간 주도 운영 원칙을 법에 명시했야 한다.
미국, 일본 등 선진국들도 민간 전문성을 적극 활용하고 있다. 우리만 정보기관 중심으로 가면 뒤처질 수밖에 없다. 사이버보안 관련 의사결정기구에서 민간 전문가가 과반수를 차지하고, 개방형 직위제 확대를 통해 보안기업, 학계 출신이 주요 부서 이끌도록 해야 한다. 정부기관이지만 민간이 운영하는 혁신적 모델, 즉 정부는 지원하고, 민간은 혁신한다는 원칙이 관철되는 새로운 사이버보안 거버넌스 모델이라고 할 수 있다.
그래야 정권 교체와 무관한 지속가능한 거버넌스를 담보할 수 있다. 이왕이면 사이버보안 기본법에 민간 보안기업 역량 강화 지원의 근거까지 마련하면 더욱 좋을 것이다. 지금까지의 ‘규제와 통제’에서 ‘지원과 협력’으로 패러다임을 전환하는 것이 이재명 정부 사이버보안 거버넌스의 가장 중요한 과제가 되길 바란다. 사이버보안을 단순한 보안 문제가 아닌 미래 국가 경쟁력의 핵심으로 보고, 민간 주도의 혁신 생태계를 만드는 것, 그것이 바로 AI 시대 대한민국이 사이버 강국으로 도약하는 길이라고 믿는다.
▲신용석 전 비서관: 민간의 참여가 중요하다는 것에 동의한다. 민간 전문가로 구성한 초당적 자문기구를 만들어 중장기적인 국가 사이버 안보 전략을 수립해야 한다. 다만, 정부 부처들과의 협업 관계에 있어서, 민간이 다수를 점하는 그런 협의제 구조가 과연 어떻게 역할을 할 것인가에 대해서는 고민이 필요하다.
한가지 이야기 하고 싶은 것은, 이원태 교수님이 말씀하신 국정원 부분은 약간 뉘앙스 차이가 있다. 국정원이 실질적으로 컨트롤타워 역할을 한다고 했는데, 사실 실질적인 컨트롤타워는 국가안보실이 맞다. 단지 국정원은 가장 많은 인력을 보유하고 있고, 또 오랜 경험치가 쌓여 있어 그 역할이 크다. 하지만 국가안보실의 통제를 받는 관계로, 이런 관계 설정이 작년에 완성됐다. 이 거버넌스를 계속 유지할 지, 아니면 방향을 전환할 지는 두고봐야 한다.
또 사이버 보안이라는 말이 있는데, 사이버 안보라는 말보다 훨씬 큰 의미를 갖는 것 같다. 둘 다 시큐리티인데, 사이버 안보로 번역하는 바람에 우리나라의 국가 사이버 안보 전략에 다른 나라의 사이버 보안 전략이 다루는 게 많이 빠져 있다. 사이버안보와 사이버보안의 유기적 연결을 어떻게 가져갈 지 고민이 필요하다.
그리고, 국가사이버안보기본법에 무엇을 담을 것인지 따져보는 것도 중요하다. 사이버안보 가버넌스 측면에서 같은 방향으로 갈지, 다른 방향으로 갈지를 먼저 생각해야 한다. 대통령 중심제에서 국가안보실이 컨트롤 타워 역할을 하는 것이 자연스럽다고 생각한다. 국정원의 역할도 중요하다. 우려를 불식시키기 위해 독립적인 감시기능을 두는 것을 국회가 고려할 필요가 있다. 사이버보안이 다루고 있는 보다 넓은 범위의 주요 사안에 대해서도 개선이 필요하다. '범정부 차원 사이버 보안 대응체계 구축' 공약을 구체적으로 검토하면서 해결할 필요가 있다.
▲윤원석 부사장: 사이버보안 전문가로 약 30년간 업계에 몸담아 오는 동안 사이버보안, 사이버안보, 그리고, 인텔리전스 등의 개념을 혼재해 사용하는 경우가 많아 거버넌스에 대한 깊이 있는 논의에 다소 혼선을 야기하는 면이 있었다고 생각한다. 물론 보안과 안보는 서로 뗄레야 뗄수 없다.
911테러 이후 사이버안보를 최우선 순위에 두고 적극 추진해 온 미국의 경우에도 이 두가지는 Cyber Security와 Cyber defence(National Cyber security)로 구분했다. Cyber security 분야는 보안과 개인정보보호 중심으로 민간 자율로 하되 책임성을 부과하는 방식으로 하고, Cyber defence 분야는 국가 핵심인프라, 군사와 첩보, 외국의 공격 등의 분야 중심으로 연방정부(NSA, 국방부, FBI 등)가 주도하고 있다.
따라서, 우리나라도 미국 사례처럼 거버넌스 차원에서 책임성 있는 실행을 위해 민간과 공공, 보안과 안보, 각각의 영역과 실행의 주체를 명확히 구분하고 상호 협력하도록 해야 한다. 민간의 사이버보안은 국가안보에 중요한 영향을 주는 분야가 아니라면 민간 자율에 따라 책임성 있게 실행하는 게 좋을 것 같다. 우리나라 안보와 직결되는 사이버안보 분야는 국정원, 국방부 및 관련기관이 주도적으로 하되, 민간의 협조와 지원이 필요한 부분은 투명성을 확보할 수 있게 제도적 장치를 반영, 국가사이버안보 기본법과 같은 법제도에 따라 시행하면 좋을 듯 하다.
=사회: 산업발전도 짚어보자. 일반 소프트웨어도 그렇지만, 보안 분야도 글로벌 기업과 글로벌 보안SW 탄생이 대한민국의 오랜 숙제다. 평면 비교가 그렇지만, 우리나라와 많이 비견되는 이스라엘은 글로벌 보안기업을 많이 배출했다. 어떻게 하면 우리나라에서도 글로벌 보안기업이 나올 수 있을까?
▲윤원석 부사장: 우리나라가 가진 장점과 강점에 집중하면 충분히 가능성이 있다고 본다. 글로벌 초연결시대에 우리나라는 세계 최초로 모바일 운전면허증과 모바일 주민증과 같은 모바일 신분증을 성공적으로 국가 인프라화했다.
이러한 우리나라의 강점이 있는 분야를 적극 육성하고 해외에 보급하면 자연스레 글로벌 보안기업, 유니콘 기업이 탄생할 거라고 생각한다. 모바일신분증의 경우만 해도 실물 신분증과 동등한 법적 효력을 가진 신분증이므로 제도 개선을 통해 온라인 본인확인수단으로 적극 활용될 수 있도록 하고, 또 민간 서비스 전반에 활용할 수 있게 해 편리하고 안전한 새로운 신분증 기술이 전세계에 보급된다면, 이를 공급하는 국내 기업들이 미국의 옥타와 같은 글로벌 보안기업으로 성장할 수 있을 것으로 생각한다.
▲신용석 전 비서관: 매우 어려운 과제다. 정부가 어떻게 지원해야 할 지에 대해서는 정보보호산업협회 목소리에 계속 귀기울이고 의견을 수렴하는 것이 중요하다.
▲조영철 KISIA 회장: 내수가 작다는 국내 시장 한계 때문에 우리 보안기업들이 다 목숨 걸고 고민을 하고 있다. 국내 보안기업이 글로벌로 나가려면 일단 내수 시장이 현재보다 두 배 정도는 커져야 한다고 본다. 우리나라는 시장 크기가 좀 애매하다. 일본이나 중국은 내수 시장이 규모가 된다. 이스라엘은 우리처럼 내수 시장이 작지만 특수한 관계인 미국이 있다. 내수 시장 확대를 위해 공시제도와 투자활성화를 지적했는데, 국내 보안 기업의 덩치도 더 커져야 한다. 이를 위해서는 M&A 펀드 규모 확대와 M&A를 촉진하는 사회 문화 조성 등이 요청된다.
▲이원태 교수: 우숫개 소리로 국내 사이버 보안산업과 업계에 3가지가 없다고 한다. 유니콘 기업(1조원 이상 비상장사)과 글로벌 수출기업, 혁신적 스타트업이다. 이 세 가지가 없는, 이른바 3무(3無)론이 한때 유행했다. 우리나라 사이버보안 기업의 현실을 정확히 보여준 말이라고 생각한다.
지난 수년간 정부가 "사이버보안 유니콘 기업 육성"을 외쳐왔고, 지난 2023년 9월 과기정통부가 '정보보호산업의 글로벌 경쟁력 확보 전략'을 발표, 오는 2027년까지 정보보호산업 세계 5위 진입을 목표로 1300억원 규모의 사이버보안 펀드 조성 계획도 발표했다. 하지만 늘 이스라일의 성공사례와 비교되면서 아직까지도 우리는 보안 유니콘 기업이 하나도 없다는 현실이 지속되고 있다.
왜 이렇게 됐을까? 사이버보안은 ‘깊은 기술(Deep Tech)’ 분야다. 정부는 ‘빠른 성과(Quick Win)’를 추구한 한다. 이계 첫 번째 실패 원인이다. 기술기반 유니콘 보다 플랫폼 육성에만 집중했던 탓이고, 스타트업 배출에만 초점을 뒀지 ‘스케일업’에는 별로 신경쓰지 않았던 탓이다.
우리나라 보안기업의 가장 치명적 한계는 국내용 솔루션의 함정, 즉 국내규제에 맞춘 제품만 만든다는 것이다. 정부 조달→대기업 납품→안정 매출→현상 유지 등의 국내성공 공식만 있다. 혁신 기술 → 글로벌 표준→ 해외 고객 확보 → 스케일업의 해외성공 공식은 전혀 작동하지 않는다.
솔직히 국내 보안기업들이 만드는 ‘ActiveX 기반 보안 솔루션’이나 ‘한국형 망분리 솔루션’은 해외에서는 전혀 통하지 않는다. 우리나라 사이버보안산업은 ‘안전한 혁신’이라는 함정이나 모순에 빠져있다. 즉 혁신적이어야 하지만, 국내적으로 검증된 기술이어야 하고, 글로벌 진출을 해야 하지만, 국내 실적이 우선돼야 한다. 또 스타트업이지만, 대기업과 경쟁해야 하고, 빠르게 성장해야 하지만, 안전해야 한다는 구조적 모순에 빠져 있다. 즉, 정부가 ‘사이버보안 유니콘’을 만들지 못한 이유는 첫째, 잘못된 성과지표에 입각해 숫자에만 집착, 질은 무시했다 둘째, 안전한 혁신이라는 불가능한 조합, 구조적 모순에 빠져 있다 셋째, 글로벌 시장 특성을 무시했다 넷째, 부처 이기주의로 인해 통합적 지원체계가 부재했다 다섯째, 엑시트(Exit) 전략 부재로 성공 모델의 선순환 구조가 없다.
이제라도 정부가 ‘진짜 유니콘’을 만들고 싶다면, 기존 방식을 완전히 뒤집어야 한다. 숫자보다는 질, 안전보다는 도전, 국내보다는 글로벌에 집중해야 한다. 그렇지 않으면 앞으로도 계속 ‘유니콘 만들겠다’는 빈 약속만 반복할 것이다.
그러면 어떻게 해야 할까? 무엇보다 대규모 M&A 펀드 조성이 핵심이다. 향후 5년간 매년 1조원 규모를 목표로 하되, 새정부 초기에는 1000억원 이상의 사이버보안 전용 펀드를 조성해 기술력은 있으나 자본력이 부족한 중소 보안기업들의 통합·합병을 지원해야 한다. 또 원천기술 R&D 투자 확대를 통해 현재 1천억원 수준인 정보보호 R&D 예산을 단계적으로 3천억원 이상으로 확대해야 한다.
그리고 차세대 암호기술, 양자 보안, AI 보안 등 민·군·경 공동 R&D 프로젝트를 기획해 대규모 투자가 필요한 핵심 과제를 추진해야 한다. 또한 K-사이버보안 국가전략 브랜딩을 통해 정부 차원의 대규모 수출사절단 파견과 KOTRA 연계 현지 비즈니스 매칭으로 현재 3% 수준의 수출 비중을 크게 끌어올려야 한다.
지금까지 우리나라 보안기업들이 ‘국내 1등’에 안주하거나, 시야가 지나치게 국내시장 중심적 이었는데, 결국 글로벌 무대에서는 ’그 외 다수‘로 남을 뿐이었다. 하지만 지금부터라도 ’글로벌 퍼스트(Global First)‘ 마인드셋으로 전환, 향후 5년 새정부 임기내에, 다소 늦더라도 10년 내에 체크포인트, 사이버아크 등과 어깨를 나란히 하는 글로벌 유니콘 보안기업을 한 개라도 볼 수 있으면 좋겠다.
▲염흥열 CPO협의회장: 보안 인증제와 관련, 글로벌 추세는 의무화를 지향하고 있다. EU도 사이버 협업 레질리언스법을 통해 모든 IoT 제품에 대해 보안 인증을 받으라고 한다. 미국도 IoT 보안 인증에 대한 표준을 NIST에서 개발해 현재 적용하고 있다. 우리나라 보안 인증제를 보면, 국제공통평가기준(CC)이 있고, IoT 보안 인증제가 있다. 또 신기술을 대상으로 하는 신속확인제도 있다. 2017년 미국 시만텍을 방무했을때 놀란 것이 그들은 인증 마크 획득에 진심이였다. 인증은 사용자들에게 신뢰를 주기 때문에 기업의 경쟁력과도 큰 연관이 있다. 새 정부가 보안 분야 인증제도 잘 살폈으면 한다.
=사회: SKT 해킹 사태가 현재진행형이다. 차제에 정보보호 공시를 강화해야 한다는 목소리가 높다
▲이원태 교수: SK텔레콤(SKT)은 정보보호 투자액 600억원으로 상위 기업이자 3년 연속 '정보보호 투자우수기업'이었음에도 해킹을 당했다. 이는 현행 공시제도의 근본적 한계를 보여준다. SKT가 대규모 해킹 피해를 당한 것은 단순히 투자 규모나 인력 수만으로는 실제 보안 수준을 담보할 수 없다는 것을 보여준다.
정보보호공시를 통해 안전한 이용과 함께 정보보호 투자를 확대하기 위한 정보보호공시제도는 금번 SKT 사고 이후 현 제도에 대한 보안 강화가 요구되고 있다. 먼저 인센티브와 제재의 균형을 추구해야 한다. 우선, 공시를 받는 기업들이 자발적으로 공시제도를 신뢰하고 꼭 필요한 제도임을 인식시키는 것이 중요하다. 당연히 기업에서 추진해야 할 요소이기도 하지만, 인센티브를 통해 동기를 더 부여할 수 있다. 예를 들어 최근 이해민 국회의원이 언론사와의 인터뷰에서 언급한 것처럼, 우수 공시제도 업체나 자발적 공시제도 운영 기업에 대한 세재 해택도 고려해 볼 수 있다.
또 개인정보보호법처럼, 성실한 공시 의무 수행시 일종의 패널티에 대한 감경 등의 인센티브도 고려해 볼 수 있다. 예컨대 정보보호 투자·인력을 일정 비율 이상 편성한 우수 공시 기업에 대해 법인세액 공제를 제공할 수 있다. 현재 자율공시 기업의 ISMS 인증 수수료 30% 할인을 넘어서는 실질적 인센티브를 고려할 필요가 있다.
그다음 허위 공시 제재 강화다. 허위로 공시하거나 공시 미이행시 현재 보다 더 강한 패널티도 고민해 봐야 한다. 현재는 1천만원 미만의 과태료 수준인데, 이는 강화될 필요가 있다. 예컨대 현재 최대 1천만원 과태료 제도에서 ’과징금 제도‘를 신설해 경제적 이익 환수 및 위반 횟수별 차등 금액을 부과할 수 있다.
미국 전자공시제도처럼 허위 공시 시 중지 명령, 거래중지 명령 등 강력한 행정조치도 검토해야 한다. 이와 관련해 현행 KISA의 정보보호 공시 종합포털을 개선해 국민들이 실시간으로 각 기업의 보안 현황을 확인할 수 있는 대시보드 형태의 시스템도 구축해야 한다. 이는 단순히 정보 공개에 그치는 것이 아니라, 기업들로 하여금 상시적으로 보안 수준을 점검하고 개선하도록 하는 압력으로 작용할 것이다.
또 현 공시제도는 과기정통부와 KISA를 통해 이뤄지고 있는데, 한정 예산과 리소스로는 의무기업에 대한 정확한 조사나 제도 운영이 어렵다. 전문적인 공시 검증과 제도 운영을 위한 제도 수행기관에 대한 지원도 함께 고려해야 한다.
현재 공시제도는 투자액과 인력 수 중심의 양적 지표에 치중하고 있다. 따라서 앞으로는 실질적 보안 수준과 대응 역량을 측정할 수 있는 질적 지표로 전환해야 한다. 그런 점에서 AI 기술이 급속히 확산되면서 기존의 사이버 위협과는 차원이 다른 새로운 위험들이 등장하고 있어, AI 시대에 맞는 공시 기준이 절실히 필요한 상황이다.
이를 위해 AI 사이버보안 프레임워크, 즉 AI-CSF 도입이 필요하다. 이는 AI 개발과 활용 전 주기에 걸친 사이버 위험을 체계적으로 관리하는 표준화된 접근법이다. 위험 식별 및 평가, 보안정책 수립 및 실행, 모니터링과 탐지, 사고 대응과 복구 등 핵심 활동을 포괄한다. 기업들은 이 프레임워크를 통해 자신들의 AI 시스템이 얼마나 안전하게 구축되고 운영되고 있는지를 객관적으로 평가하고 공개해야 할 것이다.
이와함께 현 공시제도의 또 다른 문제점은 '연 1회 사후 보고 방식'이라는 점이다. 중대한 침해사고가 발생했을 때 국민들이 이를 즉시 알 수 있는 체계가 없다. 피해 확산 방지나 대응 조치가 늦어질 수밖에 없다. 따라서 이용자 수 100만명 이상 또는 개인정보 10만건 이상이 유출되는 중대 침해사고 발생 시에는 24시간 내에 즉시 공개하도록 의무화해야 한다.
또 모든 기업에게 획일적인 공시 기준을 적용하는 것보다는 산업별 특성과 위험도를 고려한 차등화된 접근이 필요하다. 금융, 통신, 에너지, 의료 등 국가 핵심 인프라와 직결된 고위험 분야에서는 보다 강화된 공시 기준을 적용하고, 전자상거래나 게임, 포털 등 중위험 분야에서는 표준적인 공시를, 일반 서비스업 등 저위험 분야에서는 간소화된 공시를 적용하는 것이 합리적이다.
특히 금융권에서는 디지털 금융 보안과 핀테크 보안, 가상자산 보안 관련 투자 현황을 별도로 공시하도록 하고, 통신 및 ICT 분야에서는 5G/6G 네트워크 보안이나 IoT 디바이스 보안, 클라우드 보안 투자 현황을 세분화해 공개해야 한다. 의료 분야 역시 의료정보 보안이나 원격의료 보안, 의료기기 사이버보안 등 분야별 특성을 반영한 공시 항목이 필요하다.
현행 정보보호공시제도의 가장 치명적인 약점은 바로 ’서류 중심의 형식적 평가‘라는 점이다. SK텔레콤 사례가 이를 잘 보여줬다. 서류상으로는 완벽했지만(투자액 600억원, 3년 연속 우수기업, 각종 인증과 계획서도 완비), 실제 해킹 상황에서는 속수무책이었다. 이는 현재 공시제도가 ’얼마나 투자했나, 몇 명을 고용했나, 어떤 인증을 받았나‘ 같은 투입(Input) 지표에만 의존하고 있기 때문이다.
정작 중요한 것은 ’실제 공격 상황에서 얼마나 잘 막아내고, 신속하게 대응하고, 빠르게 복구할 수 있는가‘라는 성과(Outcome) 지표다. 따라서 앞으로는 모의해킹 결과, 또는 레드팀(Red Team) 훈련결과, 사이버위기 대응 시뮬레이션 평가결과, 그리고 실시간 보안 모니터링 역량평가 결과의 구체적 공시 의무화 등 실전 기반의 평가 및 관리체계로의 전환을 모색해야 한다. 즉, SKT같은 사태가 재발하지 않으려면, 실전에서 검증된 보안 역량’을 공시하는 체계로 가야 한다.
즉 국민들 입장에서는 ‘과연 이 회사는 실제 해킹 상황에서 우리 정보를 얼마나 잘 지켜낼 수 있는가’를 명확히 알 수 있게 해야 한다는 뜻이다. 그런 점에서 정보보호공시제도는 단순한 현황 공개를 넘어서 기업들의 실질적인 보안 역량 향상을 이끌어내는 정책 도구로 발전해야 한다. SK텔레콤과 같은 우수기업마저 해킹 피해를 당하는 상황을 예방하려면, 투자 규모보다는 투자의 효과성과 보안 성숙도를 중시하는 평가 체계로 전환 해야 한다.
민간에게만 요구하기 전에 정부와 공공기관이 먼저 모범을 보여야 하는 것도 중요하다. 어쩌면 공공기관과 정부야말로 정보보호공시와 실전평가의 우선 적용 대상이어야 한다. 오히려 민간보다 더 엄격하게 적용되어야 할 분야다. 중앙부처, 지방자치단체, 주요 공공기관의 정보보호 현황을 투명하게 공개하고, 실전 훈련 결과까지 포함한 종합 평가를 실시해야 한다.
미국이 연방정부 기관들의 사이버보안 수준을 매년 성과표(Report Card) 형태로 공개하는 것처럼, 또 영국 정부가 Government Cyber Security Annual Report를 통해 공공기관의 정보보호 수준을 공개하는 것처럼, 우리도 정부가 먼저 투명성을 보여줘야 할 때가 됐다.
결국 ‘정부부터 투명하게’라는 말이 새 정부 정보보호공시제도 성공의 핵심이 돼야 한다. 민간에게만 요구하고 정부는 예외라면, 그 제도는 진정한 효과를 거두기 어렵다. 오히려 공공부문이 더 엄격한 기준으로 먼저 시행하여 민간이 따라간다. 이상의 개선사항을 법적으로 뒷받침 하기 위해서는 새정부 출범과 함께 관련 부처가 정보보호산업법, 시행령, 공시 고시, 조세특례제한법 등 관련 법령의 전면 개정을 추진해야 한다.
▲신용석 전 비서관: 이 교수님 의견에 전적으로 동의한다. 공시 제도 인센티브가 강화돼야 한다. 개인적으로 5년 동안 토스에 있을 때 자발적인 공시 참여한 덕택에 표창도 받고 그랬다. 당시 자발적 공시가 드물었다. 우리가 하면 은행이 따라할 것으로 봤는데 착각이었다. 아무도 안 따라왔다. 의무화될 때까지는 안 따라왔다. 자발적 공시 참여가 확대돼야 한다. 정보보호공시를 강화하고 개선하는 건 당연히 필요하고, 의무 대상을 확대하는 것도 중요하지만, 자발적 공시가 못지 않게 중요하다.
정보보호공시는 보안인력과 보안투자 규모를 위주로 발표하고 있지만, 기업의 정보보호관리체계에 대한 홍보의 기회이기도 하다. CISO와 CPO 역할과 책임을 높이고, 대표이사와 이사회가 보고를 직접 받는 지가 관리체계에서 매우 중요하다. CISO의 권한이 약했거나 이사회가 보고를 받지 않았다고 해도 법률 위반에는 해당하지 않지만, 법률만 지키는 것에 그쳐서는 해킹사고를 예방할 수 없다.
이번 SKT 해킹 사태에서 안타까웠던 게 있다. 국회에서 청문회가 열렸는데 CISO를 안 부른 거다. 회장 부르는데만 주목하고 CISO를 안불렀다. CISO가 어떤 역할을 했는 지, 어디에 한계가 있었는지, 어떻게 개선해 하는 지를 들었어야 했다.
▲염흥열 CPO회장: 그 부분은 나도 동의한다. CISO가 아마 IT부서 밑에 있었던 것 같다. 낮게 설정이 돼 있다보니 운영 부서에 있는 본부장이 나와 모든 걸 대응하는 것 같았다. 상식적으로 보면 운영부서와 CISO는 대립된다. 운영하는 곳은 편리성을 강조하지만 CISO는 뭔가 불편하더라도 보호를 해야 한다. 기업의 CISO 권한 강화가 필요하다. 지난번 EU의 GDPR 워크숍을 가보니 그들은 CISO나 CPO라고 안 쓰고 DPO라고 하더라. 왜 DPO로 쓰냐고 물으니, 자기네들은 C레벨이 아니라고 하더라. C레벨하고 독립적으로 일해야 하니 DPO로 쓴다고 하더라.
▲김창오 PM: 저도 기업에 있으면서 자율 공시에 참여했다. 정보보호 공시는 기업의 약점을 드러내는 것이 아니라 ”기업의 신뢰를 높이는 방법”이라고 생각한다. 당시 회사의 IT 투자 대비 보안 투자 금액이 네이버와 카카오보다도 높았다. 그러나, 공시의 결과만으로 회사의 보안 수준을 타사들과 비교해 보안 수준을 측정하고 판단하기에는 한계가 있었다. 공시제도가 시행한지 3년이 지났다. 그러나 보니 기업들로 점차 공시제도에 대처하는 요령이 늘고 있는 듯 하다.
일부 기업도 의무 대상자를 지정해 공시를 이행하고 있다. 하지만 기업이 스스로 정보보호 강화를 위해 노력할 수 있는 동기를 부여하는 것에 가장 의미를 두고 있다. 공시 제도를 시행한지 몇 해가 지났지만, 여전히 기업은 이를 하나의 숙제로 생각하고 있으며, 자율적인 개선 노력의 도구로 제대로 활용하지는 못하고 있다. 처음 제도를 만든 취지와 다르게 정보보호 공시 제도의 무용론에 대한 목소리까지 시장에서는 나오고 있는 만큼, 본 제도의 취지를 고려한 면밀한 제도 점검이 필요하다.
지금이 매우 중요한 시기다. 기업에게는 세제 혜택 등 다양한 인센티브를 통해 동기를 부여하고, 정보보호 공시 내역에 대한 섬세한 가이드를 통해 형식적이거나 편향되지 않고 효과적인 정보보호 활동이 이루어 질 수 있는 투자가 이루어 질 수 있도록 유도하는 것이 필요하다.
그리고, CISO와 CPO가 제 역할을 못하는 건 그 만큼의 권한을 부여받지 못하고 지위가 보장받지 못하기 때문이다. 법에 따르면 정보보호와 개인정보보호의 책임은 CISO와 CPO가 진다고 되어있다. 기업의 최고책임자는 CEO다. 정보보호 활동은 CEO 스폰십이 정말 중요한데, CEO 스폰십을 받지 못하는 경우가 많다. 따라서, 정보보호 공시 제도의 실효성을 보장하기 위해서는 정보보호와 개인정보보호 활동에 대한 스폰십을 충분히 받을 수 있도록 제도적 개선이 필요하다.
▲윤원석 부사장: 정보보호 공시제도는 정보서비스 주체의 정보보호 현황을 공개함으로써 자율적 정보보호 노력을 확대강화하는 측면이 있다. 새 정부의 사이버보안 정책 방향에 잘 부합한다고 생각한다. 제도의 목적에 부합하게 공시 제도를 강화하되, 의무 대상을 좀더 확대하고, 자율적 공시 기업에 대해서는 그 노력에 대해 세제 혜택 등 다양한 보상을 제공하는 방식으로 자율규제를 확대, 강화하면 좋겠다.
▲조영철 KISIA 회장: 과기정통부의 주요 제도 중 하나가 공시 제도다. 이를 어떻게 자 운용하는냐에 따라 투자 활성화와 보안 인식 개선이 달라질 수 있다. 새 정부가 정책을 디테일하게 잘 추진했으면 좋겠다.
▲염흥열 CPO협의회장: AI와 관련한 항목을 넣는 것도 고려해봐야 한다. 정보보호 전문업체에 의한 레드팀 운영 등도 검토해야 한다.
=사회: 민주당 공약에도 있지만, 지역과 중소기업의 사이버보안 사각지대 해소도 중요한데...
▲신용석 전 비서관: 국정원과 KISA도 지역을 지원하기 위해 많은 노력을 하고 있다. 작년 동남권 정보보호클러스터가 시작됐고, 제2의 정보보호클러스터도 추진 중이다. 중소기업 전반에 대한 지원도 중요하지만, 공격이 상대적으로 많은 곳을 우선적으로 지원하는 정책도 고려해야 한다. 방위산업의 경우가 대표적이다. 정부의 내년도 예산안 편성에서 사이버보안의 중요성이 얼마나 반영될 것인지도 관심있게 지켜봐야 한다.
▲윤원석 부사장: 저는 기업 차원에서 말해볼까 한다. 기업에서의 사이버보안 사각지대 발생 원인은 크게 두가지인 듯하다. 첫째는 투자 여력이 부족하지만 성장 잠재력이 큰 중소기업들이다.
이들은 투자 여력과 보안에 대한 이해 부족으로 적극적인 보안점검 및 대응을 못하고 있는게 현실이다. 따라서, 이런 기업들에 대해서는 최소한 해킹, 개인정보 유노출 등과 같은 실제 사고 가능성이라도 점검, 적극 대응하도록 하는게 필요하다.
현재 한국인터넷진흥원이 매년 100개 정도의 중소기업들 대상으로 모의침투 점검과 보안 취약점 점검을 지원하는 것으로 알고 있다. 하지만 성장 가능성이 있는 중소기업 전반을 지원하기엔 그 숫자가 턱없이 부족하다. 확대해야 한다
. 둘째, 신기술 서비스 제공 기업들의 경우, 신기술 도입 적용시에는 해당 신기술이 갖는 취약점도 같이 따라오게 된다. 개별 기업들 만의 능력과 노력으로는 이러한 제로데이 취약점을 충분히 찾고 대응하기 어려운 면이 있다. 따라서, 신기술 제로데이 취약점으로 인한 사이버보안 사각지대는 해당 기업의 버그바운티와 같은 적극적인 제로데이 발굴 노력과 함께 과기정통부, 한국인터넷진흥원 등 유관기관과 정부의 제로데이 공격 대응을 위한 연구개발 지원과 노력이 필요하다.
▲이원태 교수: 지역과 중소기업의 정보보호를 위해서는 두 가지 전략이 동시에 진행돼야 한다. 첫째, 우선 지역 및 중소기업의 정보보호를 위해 지원하고 있는 '정보보호지원센터' (10개지역) 확대가 필요하다. 전체 17개 광역지자체에 우선적으로 지역정보보호센터를 구축하고, 현재 지원중인 컨설팅, 장비나 솔루션 지원, 그리고 정보보호전문인력이 부족한 영세기업이 활용가능한 Secass 지원의 지속 확대가 필요하다.
관련기사
- 민주당, 김홍일 방통위원장 탄핵 추진..."6월내 통과 목표"2024.06.27
- 김홍일 위원장 "2인 체제 방통위, 바람직하지 않지만 위법 아니다”2024.06.21
- LG 구광모 6년...AI·바이오·클린테크 키운다2024.06.28
- 화재 막는 배터리 진단기술 뜬다...민테크, 상장 후 존재감 '쑥쑥'2024.06.28
