[한국정보보호학회 칼럼] NSA의 구인공고에는 정보보호 분야가 없다

정보보호보다 자주 사용되기 시작한 정보보증
이제는 우리도 보다 큰 관점에서 보안을 바라봐야 할 때

[보안뉴스= 김승주 고려대학교 정보보호대학원 교수] NSA의 구인공고에는 정보보호(Information Security) 분야가 없다. 대신 정보보증(Information Assurance) 분야가 있다. 미국의 대표적인 보안인력양성 프로그램인 NIETP도 풀어쓰면 National ‘Information Assurance’ Education and Training Program이지, National ‘Information Security’ Education and Training Program이 아니다. 실제로 미국 정부에서는 1990년대 후반부터 ‘정보보호’라는 표현보다는 ‘정보보증’이라는 표현을 더 자주 사용하고 있으며 이는 점차 산업체와 학계로 확대돼 나가고 있다. 도대체 정보보증이 뭐길래?

▲ ‘정보보증’이란 신뢰성을 확보하고 이를 검증하기 위한 관리적·기술적 수단을 말한다.

정보보증이 본격적으로 주목을 받게 된 것은 1991년 걸프전(Gulf War) 때로 거슬러 올라간다. 걸프전을 통해 전 세계에 정보전(Information War)의 위력을 유감없이 보여준 미국은 정보 시스템의 신뢰성(Trustworthiness) 확보 방안 마련에 골몰하게 된다. 여기서 ‘신뢰성’이란 Security, Privacy, Safety, Reliability, Resilience 등을 종합적으로 일컫는 말로서, 한마디로 해킹에 안전하고, 기계 오작동 등의 오류도 없으며, 문제가 발생했다 하더라도 이것이 인명사고 등의 재해로 연결되지 않고, 문제 발생 후 다시 원상으로 재빠르게 복원될 수 있는 시스템을 의미한다. 또한, ‘정보보증’이란 바로 이러한 신뢰성을 확보케 하고 이를 검증하기 위한 관리적·기술적 수단 또는 행위를 말한다.

사실 다양한 악조건 속에서 임무를 수행해야 하는 군으로서는 단순히 해킹만 잘 막는 시스템보다는 그것이 해킹으로 인한 것이던 기계 오류로 인한 것이던 간에 어떠한 환경에서도 정상적으로 잘 동작하는 정보 시스템을 확보하는 일이 매우 중요한 요소이다. 바로 이러한 이유로 미군 당국은 1990년대 후반부터 보안의 관점을 ‘정보보호’에서 ‘정보보증’으로 바꾸고 있으며(美 국방부가 정보보증이란 용어를 최초로 공식 정의한 것은 1996년 U.S DoD Directive 5-3600.1이다), 최근에는 소위 CPS(Cyber-Physical System)로 통칭되는 스마트그리드, 드론, 스마트 카, 첨단 의료자동화기기, 인터넷 전문은행 등에 대한 관심이 증대됨에 따라 이러한 경향이 민간에까지도 확대된 것이다.

그런데 문제는 정보보증을 달성하는 일이 생각보다 쉽지 않다는 것이다. 신뢰성을 구성하는 요소인 Security, Privacy, Safety, Reliability, Resilience 등은 서로 독립적인 게 아니기 때문이다. 기존 시스템에 단순히 Security 기능을 덧붙이게 되면 코드(Code)의 복잡도(Complexity)가 증가하게 되고, 이는 다시 전체 시스템의 Reliability를 떨어뜨리는 결과를 초래하게 된다. 예를 들어 소형기기에 첨단 보안기능을 넣으려다 회로가 복잡해져 과도한 발열현상이 생긴다면, 이는 Security를 추가하려다 제품의 Reliability를 떨어뜨린 격이 된다.

그러므로 정보보증을 달성하기 위해서는 요구사항 분석 및 설계 단계에서부터 Security, Privacy, Safety, Reliability, Resilience 등의 요소를 종합적으로 고려하는 것(일명 ‘Security by Design’ 또는 ‘Policy/Design Assurance’)이 매우 중요하며, 이를 바탕으로 시스템을 구현(일명 ‘Implementation Assurance’)하고, 테스팅하며, 운용(일명 ‘Operational Assurance’)해야만 한다. 바로 이러한 것들을 가르치는 학문 분야가 보안공학(Security Engineering)이며, 이를 표준화 시킨 것이 CMVP(Cryptographic Module Validation Program), CC(Common Criteria), SSE-CMM(Systems Security Engineering Capability Maturity Model), C&A(Certification & Accreditation) 등이다.

최소 250억 개의 기기가 네트워크에 연결되고 사이버전이 본격적으로 전개되는 사물인터넷 시대가 오면 보안위협은 단순히 개인정보의 유출이나 금전적 피해뿐만 아니라 사람의 생명과도 직결된다. 그러나 지금처럼 업체에서는 CC나 CMVP 등의 각종 평가 제도를 문서 노가다라 폄하하고, 군과 정부부처에서는 정보보증의 의미조차도 제대로 파악하지 못하고 있으며, 학교에서는 정보보증 인력(Information Assurance Engineer)을 체계적으로 양성할 준비도 되어 있지 못한 실정에서 우리의 대비는 너무도 허술하다. 이제는 우리도 보다 큰 관점에서 보안을 바라봐야 할 때다.

필자 소개_고려대학교 사이버국방학과/정보보호대학원 김승주 교수는 한국인터넷진흥원(KISA)에서 암호기술팀장 및 보안성평가팀장을 역임했다. 2004년부터 7년간 성균관대학교에서 교수로 재직했으며, 2011년부터 고려대학교로 옮겨 정보보호인력 양성에 힘을 쏟고 있다. 국제해킹대회인 SECUINSIDE와 언더그라운드 해커들의 모임인 ‘사단법인 화이트해커연합 HARU’를 만드는데 일조했으며, 현재 고려대학교 사이버국방학과 내 해킹동아리인 CyKor팀의 지도교수를 맡고 있다. 2007년 국가정보원장 표창, 2012년 고려대학교 석탑강의상을 수상했다. 주 연구분야는 정보보증, 보안공학, 보안성평가, 고신뢰사이버시스템(High-Assurance Dependable Cyber Systems) 개발, 암호 등이다(홈페이지 : www.kimlab.net).

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)