기업 보안투자 확대와 전문인력 양성 ‘가장 시급’

공공기관 정보보호 전담조직, 선제적 대응 법적 근거 마련도 시급

[보안뉴스 김태형] 지난해 보안사고 중에서 악성코드(Malware)나 디도스(DDoS)와 같은 전통적인 공격이 여전히 유효한 공격기법으로 사용된 것으로 나타나 기본적인 보안관리가 여전히 미흡한 것으로 조사됐다. 또한, 사이버범죄집단은 점점 전문화되고 있으며, 제로데이 취약점은 사상 최다로 많이 발견됐다. 아울러 소수집중형 표적공격이 증가했고 정보유출 사고는 대형화되고 있으며, 랜섬웨어 창궐의 주역인 크립토랜섬웨어는 35%나 증가했다.

이와 함께 최근엔 웹사이트 4개중 3개가 위험하고, 모바일 보안위협도 점점 증가하고 있는 상황이다. 이러한 사이버 보안 위협에 대응하고 피해를 최소화 하기 위해서 가장 시급히 개선해야 할 사항은 보안투자 확대와 보안전문인력 양성으로 조사됐다.

이는 본지가 ‘사이버 위협에 대응하기 위해 가장 시급한 개선사항은 무엇일까요?’라는 내용으로 보안담당자들에게 설문조사를 진행한 결과, 응답자 2,298명 중에서 가장 많은 1,052명(39.70%)이 ‘민간 기업에서의 보안투자와 전문인력 양성’라고 꼽았다.

최근 본지가 진행한 보안예산에 관한 설문조사에서, 전체 응답자의 37.43%가 보안예산이 ‘지난해 수준으로 동결됐다’는 답변이 가장 많은 점에서도 보안투자가 여전히 부족하다는 것을 알 수 있었다. 이러한 이유로는 보안에 대한 관심과 인식 부족으로 볼 수 있다. 즉 정보보호가 비즈니스의 발전과 직결된다는 사실에 대한 인식이 아직 부족하다는 것. 하지만 정보보호는 예산·인원·관리체계 운용 등이 매우 중요하며, 정보보호는 비용 투자가 아니고 경영 활동의 일부로 인식해야 하므로 예산투자는 계속 확대되어야 한다.

이러한 보안투자와 함께 시급히 개선해야 할 점은 보안전문 인력 양성이다. 이에 대해 카이스트 강병훈 정보보호대학원 책임교수는 “정보보호 전문인력 양성에 있어 무엇보다 중요한 것은 고급 연구인력과 전문 기술인력 모두를 양성해야 한다는 점”이라며, “이를 위해서는 최신 기법 연구결과를 베스트 프랙티스화 해야 하고, 학부·대학원·전문대·사이버대·특수고 등의 협업이 중요하다”고 강조했다.

그리고 행정자치부 정보기반보호정책과 하승철 과장은 “정부도 정보보호 인력 생태계 구축을 위해 다양한 지원정책을 마련하고 추진하고 있다. 이에 정보보호 직류를 신설하고 올해 공채시험을 처음으로 시행할 계획이며, 정보보호 교육을 체계적으로 받은 인재들이 공공 분야에 들어올 수 있도록 지원을 확대해 나갈 방침”이라고 말했다.

이어서 두 번째로는 ‘각 부처 및 공공기관의 정보보호 전담조직 개설’이라고 답한 사람이 742명(28%)이었다. 우리 정부는 지난해 3월 범정부 차원의 사이버안보 역량 강화를 위해 사이버보안 전담조직 신설·확대에 나섰다.

이는 한수원 해킹 사고 등, 지속적인 해킹사고에 대응하고 정부차원의 사이버 보안 강화를 위해 마련한 ‘국가 사이버안보 강화방안’에 따른 것으로, 정부는 중앙행정기관, 지방자치체와 주요기반시설 관리기관의 사이버보안 전담조직 신설 및 확대를 추진했다. 현재 미래부·국토부·산업부·문체부·환경부·교육부·기재부·해수부·농식품부·행자부 등 중앙부처를 중심으로 정보보호담당관이 신설됐다. 현재 중앙행정기관의 경우 총 33개 부처에 37명의 인력이 순차적으로 보강되고 있는 상황이다.

이와 함께 ‘선제적인 조치를 가능하게 해줄 법적 근거 및 제한조치 마련’이라고 답한 응답자가 502명(18.94%)를 차지해 세 번째로 많았다. 이는 사이버 위협 방어에 있어서 ‘최선의 방어는 공격이다’라는 말처럼, 사이버 위협에 선제적 대응을 위해서는 모의해킹이나 침투테스트를 통한 선제적 방어가 필요하다는 점을 강조한 것이라고 할 수 있다. 하지만 우리나라에서는 법적 규제 때문에 이러한 부분이 자유롭지 못하다. 이를 위해서는 법적 근거와 제한이 마련되어야 한다는 것으로 풀이된다.

또 ‘민·관·군 협력과 정보공유의 강화’라고 응답한 사람은 220명(8.30%)이었다. 이와 관련해서 최근의 이슈는 사이버테러 위협 정보를 공유해야 하며, 이를 위해서는 ‘사이버테러방지법’과 같은 법적 근거가 마련돼야 한다는 주장도 제기된다. 이에 대해 국가적 위기상황을 초래할 사이버 테러 위협 정보공유의 필요성과 정보공유가 사생활 침해, 통신감청 등을 통한 민간인 사찰 등으로 이어질 수 있다는 우려가 대립되고 있는 상황이어서 관심이 집중되고 있다.

이 외에 ‘부다페스트 조약 등 사이버 위협에 대한 국제협력의 증진’이라고 응답한 사람이 118명(4.45%), 기타의견이 16명(0.60%)이었다. ‘부다페스트 협약(Budapest Convention)’이라고 불리는 사이버범죄 조약은 인터넷 상에서 발생되는 범죄행위에 대해 상세한 규정을 두고 이를 처벌하도록 한 국제조약이다. 부다페스트 협약이라는 이름은 일종의 별칭으로 정식 이름은 말 그대로 ‘사이버범죄 조약(Convention on Cybercrime)’이다.

부다페스트라는 지명이 붙은 배경은 지난 2001년 헝가리의 부다페스트에서 개최된 사이버범죄 국제회의에서 출발된 협약이기 때문이다. 우리나라는 부다페스트 협약을 통한 국제 공조를 도모하고자 몇 년전부터 외교부를 중심으로 법무부·경찰 등 유관부처와의 협의를 통해 가입 여부를 검토 중이다. 여기에 가입이 되면 가입된 국가들끼리 각국에서 겪고 있는 사이버범죄에 대해 핫라인이 설치되어 공동으로 대처할 수 있게 된다.

이처럼 사이버 보안 위협에 효과적으로 대응하고 피해를 최소화하기 위해서는 어느 하나만 잘 준비한다고 해서 되는 것은 아니다. 사이버 보안위협에 대한 보다 다각적인 대응과 준비가 요구되는 상황이다.
[김태형 기자(boan@boannews.com)]

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)