제120차 CISO포럼, “디지털 전환에 따른 공격 표면 증가, 보안 패러다임 변화 필요해”

박윤규 제2차관, 제120차 정보보호 최고책임자 포럼 참석
양자내성암호의 등장과 디지털 전환에 따른 디지털 보안으로의 전환 등 변화에 대한 대응 시급해

[보안뉴스 원병철 기자] 최근 러시아와 우크라이나 전쟁에서 보인 사이버전 양상과 국내외 주요 대기업 및 주요기업을 노린 사이버공격이 기승을 부리고 있는 가운데, 보안에 대한 중요성이 강조되고 있다. 특히 디지털 전환(Digital Transformation)에 따른 공격 표면의 증가는 디지털 보안으로의 전환을 요구하고 있다. 이러한 상황에서 7월 19일 개최된 ‘제120차 CISO 포럼’에서는 디지털 보안으로의 전환을 위한 방안과 양자암호통신 기술을 이용한 보안 패러다임의 변화에 대해 논의하는 시간을 마련해 호평을 받았다. 특히 이날 행사에는 박윤규 과기정통부 제2차관이 참석해 정부의 정보보호 정책을 소개했다.

▲이기주 한국CISO협의회 회장(좌)과 박윤규 과기정통부 2차관(우)[사진=보안뉴스]

이기주 한국CISO협의회 회장은 개회사에서 “매번 조찬으로 진행하는 포럼을 모처럼 만찬으로 진행하게 됐다”면서, “특히 오늘 박윤규 과기정통부 2차관께서 함께 하셔서 더욱 뜻깊다”고 말했다. “지난번 정보보호의 날 행사 때 대통령께서 참석해 주시고, 오늘 CISO포럼에 박윤규 차관님이 함께해 주신 것은 보안에 대한 중요성을 강조해주신 것과 같습니다. 특히 박윤규 차관님은 정보보호네트워크정책관 시절부터 우리 협의회를 지원해주셨는데, 앞으로도 많은 관심과 지원을 부탁드립니다.”

박윤규 제2차관은 격려사를 통해 “지난 7월 13일, 제11회 정보보호의 날 기념식에 대통령께서 직접 참석하셔서 정보보호의 중요성을 특히 강조해 주신 바 있다”고 언급하며, △통합 정보공유·분석체계 구축을 포함한 민·관·군 협력 사이버 위협 예방·대응 체계 강화 △사이버 보안을 전략산업으로 육성하기 위한 지원 확대 △‘사이버 10만 인재 양성’ 방안 등 정부의 정보보호 정책 방향을 소개했다. 또한, 추후 변화하는 사이버 위협 상황에 대응하여 제로트러스트 관점의 정보보호 패러다임으로의 전환 필요성도 강조했다.

박윤규 제2차관은 마지막으로 “안전한 ‘디지털플랫폼 정부’는 민간의 혁신적인 정보보호 역량이 함께할 때 성공적으로 구축될 수 있다”며, 정부의 핵심 아젠다인 ‘디지털플랫폼 정부’에 대해서도 CISO를 비롯한 민간 정보보호 영역의 참여와 관심을 당부했다.

▲최종보 LG유플러스 유선통신융합사업팀 팀장(좌)과 임진수 한국인터넷진흥원 침해대응단 단장(우)[사진=보안뉴스]

양자암호통신 기술 접목을 통한 보안 패러다임의 진화
첫 번째 주제발표 시간에는 최종보 LG유플러스 유선통신융합사업팀 팀장이 ‘양자암호통신 기술 접목을 통한 보안 패러다임의 진화’를 주제로 강연을 진행했다. 최종보 팀장은 “양자컴퓨터의 등장으로 기존 암호체계가 흔들리게 되면서 미국을 비롯한 각 국가들은 정부차원의 대책마련에 나서고 있다”면서, “이러한 상황에 등장한 것이 바로 양자내성암호, 즉 PQC(Post-Quantum Cryptography)다”라고 설명했다.

PQC는 양자컴퓨팅 환경에서 안전한 암호 알고리즘으로, 미국 국립표준기술연구소(NIST)는 2012년 PQC 프로젝트를 시작해 현재까지 지속적인 워크숍을 개최하고 있으며, 최근 표준화를 완료했다. 한국인터넷진흥원(KISA)도 서울대, 울산과기대와 긴밀히 협력해 양자내성암호인 ‘리자드(Lizard)’를 개발하는 등 많은 연구가 진행되고 있다.

최종보 팀장은 “현재의 암호 체계의 안전성은 매우 큰 정수의 소인수분해가 어렵다는 점에 기반하고 있지만, 양자의 연산 방식은 현재의 암호체계를 무력화시킬 정도로 빠르다”면서, “때문에 LG U+는 PQC 알고리즘 모듈을 탑재한 전송장비를 개발해 양자내성암호 전용회선을 구축했다”고 설명했다. “특히 데이터가 해킹되도 열 수 없도록 양자내성암호를 적용해 전송하고 있으며, 양자암호기술을 적용한 전용회선으로 해킹할 수 없는 안전한 통신망을 구현했습니다.”

▲제120차 CISO포럼[사진=보안뉴스]

2022년 상반기 보안위협과 디지털보안 전환
두 번째 주제발표는 임진수 한국인터넷진흥원 침해대응단 단장이 ‘2022년 상반기 보안위협과 디지털보안 전환’을 주제로 진행했다. 임진수 단장은 “해외에서는 국가 간 무력 전쟁이 사이버전으로 확대되고 있고, 국내에서는 공급망 공격과 랜섬웨어 공격, 안보위협이 지속되고 있다”면서, 러시아와 우크라이나의 사이버전과 국내 사이버 위협 상황에 대해 설명했다.

임진수 단장은 양국 간 갈등 초기부터 이미 우크라이나 정부와 군, 동맹국에 대한 대규모 피싱과 네트워크 침투 및 마비 공격이 발생했으며, 실제 전쟁 발발이후 우크라이나에 대한 전방위적인 데이터 파괴 공격과 군사 작전 지원을 위한 기반시설에 대한 사이버 공격이 감행됐다고 설명했다.

특히 공격 성격에 따라 4가지 형태의 공격이 이뤄졌는데, 첫 번째는 각 국 주요 정부시스템 및 기반시설의 시스템 파괴를 위한 ‘랜섬웨어’ 공격, 두 번째는 중요 군사 정보 등의 정보 탈취를 위한 ‘소스코드 탈취’ 공격, 세 번째는 정부기관 및 언론 등의 홈페이지 및 송출정보 변조 등 심리전을 위한 ‘스미싱’ 공격, 네 번째는 주요기관 홈페이지에 대한 ‘디도스 공격’으로 서비스 가용성 저하 등이다.

국내 사이버 위협도 크게 증가했다. 전년도 상반기 대비 침해사고 신고건수가 이미 1.6배 이상 증가했으며, IoT 기기를 악용한 디도스 공격이 다수 발생했다. 랜섬웨어 역시 동기 대비 1.5배 증가했으며, Log4j를 악용한 정부·기업 대상 공급망 공격도 크게 늘었다. 아울러 디지털 전환에 따른 공격 표면의 증가는 기업 내부정보 유출 및 개인정보 유출 등의 피해를 가져왔다.

임진수 단장은 “최근 정보 유출은 기업 타깃형 공격의 결과물로, 주로 내부 침투 및 장악이 먼저 이뤄진 후 목적을 수행한다”면서, “이제는 경계형에서 전략전술 중심의 대응 전환이 이뤄져야 한다”고 강조했다. 아울러 “제로 트러스트도 적용해 항상 검증하고, 최소한의 권한을 부여하며, 이미 사고가 발생한 것으로 가정하고 보안을 챙겨야 할 것”이라고 설명했다.

한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천 환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)