사물인터넷(IoT) 시대 눈앞! 보안을 준비할 때

5월 CISO포럼 개최...사물인터넷 보안, CISO 지정 의무화 논의

“대형 보안사고 발생 가능성 항상 염두에 두고 대비해야”

[보안뉴스 김태형] 스마트폰 대중화와 ICT 기술의 발달로 인해 우리는 초연결 시대에 살고 있다. 2020년에는 아날로그와 디지털의 융합으로 사물인터넷(IoT) 시대가 본격화될 전망이다. 이로 인한 경제적 효과는 30조 규모로 전망되지만 사물 인터넷으로 인한 피해는 17조 7천억이다. 이에 사물인터넷에 따른 새로운 보안위협에 대비해야 한다는 목소리가 커지고 있다.

▲ 미래부 정보보호정책과 홍진배 과장

이와 관련 정보보호최고책임자협의회(회장 이홍섭, 이하 CISO협의회)는 27일 서울 삼성동 코엑스 인터컨티넨탈 호텔에서 ‘정보보호 최고 책임자 의무 지정 기준안’과 ‘사물인터넷(IoT) 확산에 따른 새로운 보안위협 등장’을 주제로 ‘2014년 5월 CISO포럼’을 개최했다.

이날 진행된 세미나는 이홍섭 회장을 비롯해 미래창조과학부 정보보호정책과 홍진배 과장, 금융보안연구원 김영린 원장, 한국전통신연구원 조현숙 본부장 등 공공기관 및 유관기관, 정보보안 관계자 50여명이 참석한 가운데 주제발표와 토론이 진행됐다.

이홍섭 회장은 개회사를 통해 “최근 안전사고가 연이어 발생하는 것을 보고 그동안 간과했던 것들을 다시 생각하게 됐다. 정보보안도 그동안 우리가 간과했던 것, 즉 보안에 투자 없이 안전한 정보보호는 없다는 말을 다시금 인식하게 됐다”면서 “보안에 정답도 없다. 시행착오를 겪으면서 올바른 방법과 최적화된 보안을 강구해야 한다. 모든 것에 ‘안전’이라는 것을 염두에 두어야 한다”고 말했다.

이어서 미래부 정보보호정책과 홍진배 과장은 “미국에서도 CPS(Cyber Physical Security)가 이슈다. 이처럼 보안영역은 점자 확대되고 있어 보안은 점점 더 중요한 부분이 되고 있다”면서 “언제나 대형사고가 발생할 수 있다는 것을 염두에 두고 항상 이에 대한 대비를 해야 한다. 지난 2003년 ‘1.25 인터넷 대란’ 이후 정부는 모든 체계와 시스템을 바꾸면서 철저히 대비했다. 이로 이내 2009년까지 큰 사고가 없었다. CISO협의회에서 좋은 사례와 경험을 공유하고 정보보호 발전방향에 대한 논의를 지속적으로 이어나가길 바란다”고 강조했다.

첫 번째 발표는 한국인터넷진흥원 정보보호산업지원팀 박정섭 팀장이 지난 5월 2일 국회를 통과한 개정 정통망법 45조의3 ‘정보보호 최고 책임자 지정·신고 의무화’에 따른 시행령 제정을 위한 CISO들의 의견 수렴에 나섰다.

박 팀장은 정통망법의 개정에 따라 정보보호최고책임자 의무 지정 기준(안) 두 가지를 소개했다. 첫 번째 기준안은 ‘상시근로자 5인 이상이거나 1일 평균 이용자 1,000명 이상의 정보통신서비스 제공자’로 한다는 것인데 이는 대상 확대에 따른 인식 확산에 기여하지만 법적 실효성 확보의 어려움이 있다.

두 번째 기준안은 우선 지원 대상 기업이 아닌 자로 ‘1일 평균 이용자 100만명 이상이거나 정보통신부문 매출액 100억 이상 정보통신서비스 제공자’로 한다는 것인데 이는 법적 실효성은 있지만 정보보안에 대한 인식 제고와 저변 확대 측면에서는 미흡하다는 단점이 있다.

이와 같이정보보호최고책임자 의무 지정에 관한 2가지 기준안에 대해서 포럼 참석자들은 ‘1일 평균 이용자 100만명 이상이거나 정보통신부문 매출액 100억 이상 정보통신서비스 제공자’를 기준으로 시작한 후, 이를 점차 확대해 나가자는 의견이 다수를 차지했다.

▲ CISO협의회(회장 이홍섭)는 27일 서울 삼성동 코엑스 인터컨티넨탈 호텔에서 ‘정보보호최고책임자 의무 지정 기준안’과 ‘사물인터넷(IoT) 확산에 따른 새로운 보안위협 등장’을 주제로 ‘2014년 5월 CISO포럼’을 개최했다.

이어 시만텍코리아 조원영 대표는 ‘사물인터넷(IoT) 확산에 따른 새로운 보안위협 등장’을 주제로 한 강연에서 스마트기기와 인터넷의 연결로 생활의 편리함과 웨어러블 PC의 발전으로 우리는 초연결 시대에 살고 있다고 설명했다.

▲ 시만텍코리아 조원영 대표

조 대표는 “하지만 생활이 편리해진 만큼 보안위협으로 인한 피해도 증가하고 있다. 사물인터넷이 DDoS 공격의 대상이 되기도 하고 자동차, 금융망, 의료기관 등 다양한 분야에서 사물인터넷으로 인한 보안위협이 존재한다”고 말했다.

즉 보안이 전제되지 않은 IoT는 굉장히 위험하기 때문에 이에 대한 보안을 지금 준비해야 한다는 것. 특히 연결되는 사물이나 기기들 간의 보안이 유지되도록 하는 것의 복잡성은 데이터센터를 보호하는 것과는 차원이 다른 문제라고 조 대표는 설명했다.

조원영 대표는 “이러한 IoT에는 보안과 프라이버시 이슈가 있다. 디바이스간의 인증, 즉 디바이스와 데이터를 신뢰할 수 있는지, 엑세스 권한자에 대한 프라이버시 보호대책은 준비되어 있는지, 데이터와 애플리케이션의 안전한 관리 문제 등에 대해 고민해야 한다”고 강조했다.

그는 “우리나라는 아직 사물인터넷에 대한 준비가 되어 있지 않기 때문에 지금이 사물인터넷 보안에 대비해야 할 적절한 시기다. 센서, 서비스, 애플리케이션 레벨에서 모두 고민해야 한다”면서 “특히 아날로그 신호를 디지털로 바꾸는 기술, 즉 이를 위한 센서 기술은 IoT에서 매우 중요하다. 센서기술은 이미 우리생활에 많이 사용된다. 온도감지 센서와 가스 누출 탐지 센서 등의 센서 기술은 사물인터넷을 위한 필수 요소다”라고 덧붙였다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)