[한국융합보안학회 칼럼] 새 정부에 바라는 사이버보안 정책에 대한 제언

국가의 사이버 보안 총괄 부처 신설하고, 통합된 국가 사이버 보안 거버넌스 정립해야

[보안뉴스= 김도형 한국융합보안학회 제로트러스트보안 분과위원장] 최근 SKT 해킹 사고, 예스24 해킹 사고, SGI서울보증 해킹 사고 등 각종 보안사고가 끊임없이 발생하고 있다. 디지털로 이루어진 세상, AI가 급속히 발전하고 있는 요즈음 세상에서 사이버 보안의 위협은 더욱 커지고 있다. 사이버 보안은 중요성이 점차 커지고 있지만 보안사고 발생시에만 반짝 강조하고 다시 시들시들해진다.

[자료: gettyimagesbank]

우리나라는 사이버 보안을 위해 2012년 정보보호의 날을 지정했다. 정보보호의 중요성을 강조하기 위해 매년 7월 둘째 수요일에 국가적인 행사를 진행하고 있으며 올해로 14년이 되었지만, 매년 행사를 위한 행사로만 느껴진다. 일반인들은 알지도 못하고 있으며, 기업의 임직원들도 어느 정도 규모가 있는 곳에서만 내부 정보보호의 날 행사를 통해서만 인지하고 있는 수준이다.

최근 우리나라의 국가 사이버 보안 정책을 보면 크게 3분화 되는 분위기다. 우선 민간 분야를 보면 과기정통부 산하 KISA에서 주도로 진행되고 있는 제로트러스트 보안 모델이 있다. 미국에서 시작되어 선진국들이 도입하고 있는 보안 모델이다. 또 하나는 공공기관을 대상으로 국정원 주도로 진행되고 있는 N2SF다. 정보의 분류에 따라 보안통제를 적용하는 보안 프레임워크로 볼 수 있다. 나머지 하나의 분야는 금융위 산하 금융보안원에서 추진 중인 금융권 자율보안 프레임워크다. 금융권 자율보안 프레임워크는 미국 금융분야 사이버보안을 위해 설립한 CRI(Cyber Risk Institute)에서 미국 국립표준기술원(NIST)의 사이버보안 프레임워크(CSF: Cyber Security Framework)를 기반으로 만든 CRI Profile v2.0을 참고해 개발되고 있다.

이렇듯 국가 사이버 보안정책이 여러 가지로 나뉘어 있다 보니, 일부 기관들은 사이버 보안 전략 수립에 혼란을 겪고 있다. 예를 들면 금융 공기업의 경우에는 금융권 자율보안 프레임워크와 공공기관 N2SF 프레임워크를 함께 적용해야 하는 상황이다. 이렇다 보니 사이버 보안전략을 수립하는 데 있어서 혼란을 겪을 수밖에 없다.

미국 바이든 정부의 예를 들면, 행정명령 EO-14028을 통해 각 행정기관에서 NIST 제로트러스트 아키텍처를 도입하고 적용하도록 국가 주도로 사이버 보안 정책을 펼쳤다. 사이버 보안정책 의사 결정에 있어서도 백악관 직속으로 국가사이버국장실(ONCD, Office of the National Cyber Director)을 2021년에 신설하고 국가 전략으로 사이버 보안에 심혈을 기울였다. 현재 트럼프 정부에서는 사이버 보안 정책이 약화하고 있지만 바이든 정부에서는 국가 차원에서 사이버 보안에 심혈을 기울였고, 이 중심에는 제로트러스트 보안 아키텍처가 있었다. 우리나라도 사이버 보안 분야를 통합하고 조율해 줄 수 있는 보안 아키텍처가 필요한 시점이다.

우리나라가 사이버 보안 강국으로 발전하기 위해 다음과 같이 제언하는 바이다.

첫째로 국가의 사이버 보안을 총괄하는 부처(가칭, 국가사이버보안위원회)를 신설하고, 통합된 국가 사이버 보안 거버넌스를 수립하고 이끌어 갈 수 있는 조직과 국가 CISO를 지정해야 한다. 현재는 과기정통부, 국정원, 개인정보보호위원회, 금융위원회 등 국가 사이버보안 업무체계가 분산되어 있다. 이를 총괄할 수 있는 대통령 직속 최상위 사이버 보안 부처가 있어야 하며, 기업에서 CISO를 CEO 직속으로 두고 운영하듯이 국가 CISO를 중심으로 국가의 사이버 보안을 이끌어 가야 될 것이다.

둘째로 제로트러스트 보안 아키텍처(ZTA) 기반의 국가 사이버 보안 거버넌스 체계를 마련하고, 이를 기반으로 한 각 산업별 기관별 특화된 사이버 보안 프레임워크를 각 행정부처에서 개발해 적용하도록 한다.

ZTA 기반 국가 보안 거버넌스는 대통령령 등을 통해 따르도록 의무화하고, 각 산업별 기관별 사이버 보안 프레임워크 가이드라인을 개발해 활용할 수 있도록 해야 한다. 예를 든다면 N2SF도 ZTA에 기반한 N2SF를 마련할 수 있도록 하는 것이다.

KISA에서 발표한 제로트러스트 가이드라인을 발전시켜서 ZTA 기반 국가 사이버 보안 거버넌스를 마련하자.

셋째로 ISMS-P 인증 항목에 ZTA 요소 적용 여부 점검 항목을 추가하고, 인증 의무대상도 기존의 매출액 및 이용자 수 기준이 아닌 보안사고 발생시 영향도에 따른 대상으로 지정하는 것이다. 우선, 인증 의무대상을 지정하기 위해서는 전 산업별(공공기관 포함)로 발생할 수 있는 보안 사고와 발생시 영향도에 관해 연구가 필요할 것이다. 이러한 연구를 바탕으로 인증 의무대상을 선정하고 산업별 기관별로 필요한 ZTA 요소를 발굴해야 한다. 이를 ISMS-P 인증 점검 항목에 반영하고 인증 의무대상 기관 점검을 통해 사이버 보안을 지속적으로 유지될 수 있도록 관리해야 한다.

넷째는 사이버 보안 업무를 추진할 인재 양성이다. 사이버 보안 솔루션만 구축한다고 사이버 보안이 되는 것이 아니다. SKT가 향후 5년간 정보보호에 7,000억, KT가 1조를 투자한다고 하는데 정보보호는 비용의 문제가 아니다. 기업이나 기관에 상황에 맞는 사이버 보안 전략을 수립하고 적용해야 할 수 있는 인재, CISO가 필요하다. 그렇다고 무늬만 CISO로 세워서는 안 된다. CISO의 역량이 아주 중요하다. CISO는 내부 비즈니스를 잘 아는 역량이 있는 사람을 차출해 체계적인 사이버 보안 교육을 통해 전문적으로 키울 수도 있을 것이고, 외부의 보안전문가를 영입해 비즈니스를 습득하고 경영에 적극 참여시켜 키울 수도 있을 것이다.

다섯째는 CISO의 위상이다. CISO 직책만 부여하는 것이 아닌 경영에 직접 참여할 수 있는 실질적인 C레벨이 될 수 있도록 법제화가 필요하다. 금융회사에서는 CISO의 권한을 확대하고 관련 활동을 이사회에 보고하도록 법제화를 추진하고 있다. 이러한 부분은 다른 사이버 보안이 중요한 기관에도 확대될 필요가 있다. 정보보호 경영, 즉, 경영에 정보보호가 반드시 개입하도록 해야 할 것이다. 이를 위해서 법제화도 중요하지만 최고 경영자의 정보보호에 대한 의지 또한 중요할 것이다.

디지털과 AI가 급속하게 발전하고 있는 세상, 국가 소버린 AI를 주장하고 있는 시대에 사이버 보안은 더욱 중요해지고 있다. 이번 정부에서는 이러한 상황을 직시하고 우리나라가 AI 강국으로 가기 위해 국가 사이버 보안정책을 펼치도록 제언하고자 한다.
[글_ 김도형 한국융합보안학회 제로트러스트보안 분과위원장/투이컨설팅 CISO]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다