세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[인터뷰] 대만 사이버보안 총괄부처 처장을 만나다
  |  입력 : 2017-11-13 11:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중화민국 행정원 자통안전처 지안홍웨이 처장과의 인터뷰
“각 정부 부처가 사이버 공격에 대해 자체 방어 가능해야”


[보안뉴스 오다인 기자=대만 타이베이] ‘천재 해커’이자 트렌스젠더라는 독특한 이력의 인물을 나이 35세에 장관으로 임명한 나라, 대만. 오드리 탕(대만 이름 탕펑·唐鳳)이 대만의 최연소 장관(디지털 총무정무위원)으로 임명될 수 있었던 데는 그 자신만의 특출한 능력만큼이나 대만 정부가 디지털 정책을 강화하기 위해 품은 강력한 의지가 바탕이 됐을 것이다.

지난 11월 3일 오전 10시 중화민국 행정원 자통안전처(資通安全處)의 지안홍웨이(簡宏偉) 처장과 만나 대만의 사이버 보안 정책과 현황, 그리고 향후 계획에 대해 들었다. 참고로, 자통안전처의 영문 표기는 ‘사이버보안부(Department of Cyber Security)’로 자통은 정보 및 통신, 즉 사이버를 가리키는 말이다. 인터뷰는 자통안전처 사무실에서 자통안전처의 장시아오메이(張小梅) 과장이 합석한 가운데 약 1시간 반 동안 영어로 진행됐다.

▲지안홍웨이 대만 행정원 자통안전처 처장 [사진=보안뉴스]


“대만은 다른 나라와 달리 3부가 아니라 5부로 구성돼 있습니다.” 지안 처장은 대만 정부 내 자통안전처의 위치를 설명하기 위해 대만의 정부 구조를 먼저 풀어냈다. 한국이나 미국의 경우, 행정부·입법부·사법부 등 3부로 구성돼 있다. 그러나 대만의 경우는 행정원(行政院·Executive Yuan), 입법원(立法院·Legislative Yuan), 사법원(司法院·Judical Yuan)과 더불어 고시원(考試院·Examination Yuan)과 감찰원(監察院·Control Yuan)이 존재한다고 지안 처장은 설명했다. 고시원은 국가시험을 총괄하는 기관이고, 감찰원은 공직자의 부정부패를 감독하는 기관이다.

“대만의 사이버 보안을 총괄하는 자통안전처는 이 가운데 행정원 산하에 속합니다.” 한국으로 치면 대통령자문기관에 해당하는 대만 총통부 귀속 국가안보위원회(NSC: National Security Counsel)와 상호 협력해서 일하기도 한다고 지안 처장은 덧붙였다. “NSC가 총통부 자문기관이긴 하지만 자통안전처는 NSC로부터 어떤 간섭도 받지 않습니다. 자통안전처는 독립적으로 정책을 기안해서 행정원으로 제안하고, 이를 입법원에서 승인하는 식이죠.”

지안 처장은 기자의 이해를 돕기 위해 인터뷰 중간마다 화이트보드에 직접 그림을 그려가며 설명했다. 자통안전처가 대만의 사이버 보안 정책을 이끌어나간다는 자부심이 발언마다 묻어났다. 그는 ISMS LA(Information Security Management System Leading Auditor), CISSP(Certified Information Systems Security Professional), CEH(Certified Ethical Hacker), CISM(Certified Information Security Manager) 자격을 갖고 있을 뿐만 아니라 병렬 및 분산 컴퓨팅, 알고리즘, 객체 지향 설계, 정보 보안, 프로젝트 관리에 특화한 전문성을 갖고 있으며, 정보 및 통신과 관련한 다수의 정부 부처를 거쳐 지금의 자리에 올랐다.

작년 7월, 다국적 범죄자 조직에 의해 발생한 대만 제일은행 ATM 해킹 사건은 대만 정부가 사이버 보안 정책을 더욱 강력하게 시행하게 된 계기가 됐다. 라트비아, 루마니아, 몰도바 등 여러 국적의 범죄자 16명은 대만 제일은행 20개 지점의 41개 ATM을 멀웨어에 감염시킨 뒤 원격으로 ATM에 접속하고 현금을 인출했다. 이들의 범죄 행각은 “돈 뿜어내는 현금인출기”라는 제목으로 국내에서도 다수 보도된 바 있다. 범죄자 중 13명은 범행 직후 대만을 떠났으며 나머지 3명은 대만 수사당국에 의해 체포됐다. 대부분 회수되긴 했으나 피해액은 대만 달러로 8,327만 달러, 원화로 약 31억 원에 달했다. 이 사건은 대만 역사상 단일 최대 규모의 강도 사건 중 하나로 기록됐다.

▲대만 행정원 [사진=보안뉴스]


지안 처장은 지난 해 대만 총통이 “국가 안보의 근간이 사이버 보안에 있다”고 발언한 사실에 대해 언급하기도 했다. 대만 행정원은 국가 사이버 보안을 주요 정책적 의제로 분류하면서 올해 4월 홈페이지를 통해 대만의 사이버 보안 역량을 강화하게 된 배경에 대해 밝힌 바 있다. 이 글에서 대만 행정원은 “정보 보안은 명확하게 국가 안보의 문제가 됐다”고 명시한 뒤 “행정원은 대만의 정보 보안 역량을 강화하기 위해 정보통신보안청(Office of Information and Communication Security)을 2016년 8월 1일자로 승격해 사이버보안부(Department of Cyber Security, 자통안전처)를 개설했다”고 설명하고 있다.

대만 행정원에 따르면, 자통안전처는 국가 정보 보안을 위한 전략적 기구로서 대만 정부 전역을 아울러 사이버 보안의 관리 메커니즘도 담당한다. 자통안전처는 크게 1)정보 보안 역량을 통합하고 향상시킬 의무와 2)사이버 보안 관련법을 시행하고 사이버 보안 개발 프로그램을 촉진할 의무라는 두 가지 차원에서 정책을 추진한다. 각 의무는 다시 두 가지 갈래로 나뉜다. 전자의 경우, A)공공 및 민간 부문에서 정보 보안 조치를 강화하는 것과 B)정보 보안을 위한 기술적인 역량의 향상으로 구분된다. 후자는 A)사이버 보안 관련법의 촉진과 B)국가 사이버 보안 개발 프로그램의 후속단계 계획으로 구분된다.

이 중에서 1-B)와 관련된 것이 자통안전처 산하의 국가사이버보안기술센터(NCCST: National Center for Cyber Security Technology)다. 대만 행정원은 사이버 보안을 위한 정부의 정책적 노력에는 두 가지 차원이 있다고 짚으면서 자통안전처는 정책 기안과 조정을 담당하고 NCCST는 기술적인 부문을 담당한다고 구분했다. 대만 행정원 설명에 따르면, 대만 정부가 아웃소싱과 관련해서 직면하게 되는 보안상의 위험을 줄이기 위해 NCCST는 기술적 지원을 제공하는 책임만 부여받으며 오로지 사이버 보안 업무와 관련된 전문가들만 고용할 수 있다.

“자통안전처의 비전은 신뢰할 수 있는 디지털 경제 시대를 여는 것입니다.” 지안 처장은 자통안전처의 비전과 목표, 그리고 전략에 대해서 설명했다. 목표로는 “개인이나 조직이 스스로를 보호할 수 있는 역량을 키우도록 돕는 것, 최고의 보안 팀을 양성하고 보안 산업을 육성하는 것, 사이버 보안 팀과 협동 방어 메커니즘을 구축하는 것”이라고 밝혔다. 이런 목표를 실현하기 위해 “포괄적인 법적 시스템을 만들고 국가 협동 방어 시스템을 구축하며 사이버 보안 산업을 포함해 사이버 보안 연구·개발 및 교육을 확대하는” 전략을 갖고 있다고도 덧붙였다.

대만의 사이버 보안 정책 흐름을 전체적으로 조망할 수 있는 조직이 있다. 바로 ‘NICST’로 요약되는 국가정보통신보안태스크포스(National Information and Communication Security Taskforce)이다(아래 조직도 참조). 자통안전처는 정보보안자문위원회(Information Security Consulting Committee)와 함께 NICST에 참여한다. 지안 처장에 따르면 NICST와 정보보안자문위원회, 그리고 자통안전처는 대만 사이버 보안 정책의 플랫폼에 해당하는 조직들이다. 그 밑으로 시스템에 해당하는 사이버스페이스 보호 시스템, 사이버 범죄 수사 시스템, 중요 사회기반시설 보호 시스템, 기타 사이버 보안 관련 시스템이 있고, 그 하위에 개별 그룹들로 구성된 구조다.

▲국가정보통신보안태스크포스(NICST) 조직도 [이미지=NICST 홈페이지 캡처]


“NICST 멤버는 각 관계부처 수장들이 참여합니다. 현재 21명으로 구성돼 있고요.” 자통안전처가 담당하는 사이버스페이스 보호 시스템, 대만 내무부와 사법부가 참여하는 사이버 범죄 수사 시스템, 국토안보부가 이끄는 중요 사회기반시설 보호 시스템, 각 관계부처가 관할하게 되는 기타 사이버 보안 관계 시스템 등과 그 산하의 경제부, 교육부 등이 담당하는 그룹들까지 각 관계부처의 최고 공직자들이 NICST에 참여한다는 것이다. 대만 정부는 이와 같은 방식으로 NICST라는 플랫폼을 구축해 사회 각지에 흩어져 있는 사이버 보안 문제를 총괄할 수 있는 것으로 보인다.

한국의 경우, 어떤 정부 부처가 총괄 권한을 가져갈 것인지에 대한 이권다툼이 앞서 통합된 국가 사이버 보안 정책 수립이 어려웠던 것이 사실이다. 중요 사회기반시설에 대한 사이버 보안뿐만 아니라 사이버 사건·사고 대응, 국방, 외교, 방송·통신 등 각 부문에 대한 사이버 보안이 산발적으로 관리되고 있어 심화하는 사이버 공격에 대응하기 위해선 사이버 보안 컨트롤 타워가 필요하다는 목소리가 커지고 있기도 하다. 대만의 NICST와 같은 국가적 사이버 보안 플랫폼을 구축하는 것도 하나의 방법이 될 수 있을 것으로 보인다.

현재 가장 심각한 문제에 대해 질문하자 지안 처장은 “보안 인력 부족 문제”라고 지적했다. “보안 인력을 양성하려면 시간이 필요합니다. 현재로선 교육부와 경제부, 국가개발부 등과 협력해서 필요한 인력을 훈련시키거나 교육시키고 있죠. 저희 자통안전처에서는 ‘사이버 보안 서비스 팀(Cyber Security Service Team)’을 구성해서 각 정부 부처로 파견을 보냅니다. 보통 10명으로 구성되는 이 팀은 각 정부 부처에 파견돼 사이버 보안과 관련한 가이드라인을 준수하도록 이끄는 책임을 갖고 있습니다. 그런데 각 정부 부처의 역량과 현황을 평가하거나 감사하는 일을 포함해서 기존의 방식을 벗어나 사이버 보안과 관련한 거버넌스 모델을 따르라고 지시할 때 어려움이 있을 수 있어요. 이 같은 업무를 충분히 해내기 위해선 담당 인력을 훈련할 시간이 필요할뿐더러 지금보다 훨씬 더 많은 인력이 필요합니다.”

지안 처장은 훈련과 교육의 측면에서 흥미로운 관점을 제시하기도 했다. “예전에는 보안이 하나의 성(castle)과 같았습니다. 어떤 것 하나를 중심으로 긴 벽을 둘러싸서 그 안으로 아무것도 못 들어오게 하는 방식이죠. 하지만 지금은 대도시와 같은 형태가 됐습니다. 지켜야 할 것들이 각지에 흩어진 형태 말입니다. 바로 이런 이유에서 각 개인과 조직이 스스로를 보호할 줄 알아야 한다는 필요가 생깁니다. 각자가 어디서 공격이 오는지 탐지하고 대응할 수 있는 능력을 키워야 합니다. 자통안전처는 이를 돕기 위해 교육과 훈련을 촉진하고 있습니다.”

그는 “면역력이 강한 사람은 추운 날씨가 닥쳤을 때 감기에 걸려도 금방 회복할 수 있는 것처럼” 훈련을 잘 받은 개인과 조직은 사이버 공격에 당하더라도 빠르게 원상태로 돌아올 수 있을 것이라고 강조했다. “지금은 모든 사람이 해킹 툴을 구매할 수 있는 시대입니다. 사이버 공격이 쉬워진 만큼 개별 정부 부처도 스스로를 방어할 수 있어야 합니다.”
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)