[포럼] 사이버보안, 국정 최우선순위 돼야

염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수

대한민국 제4의 영토인 사이버 공간의 안전성과 신뢰성이 지능화되고 조직화된 사이버 공격으로 심각하게 위협 받고 있다. 사물인터넷, 인공지능, 5G 네트워크, 빅데이터 분석, 클라우드 컴퓨팅, 블록체인 등의 첨단 정보통신기술이 다양한 산업 부문에 적용되어 디지털 전환을 촉진시키고 있고 이에 따라 다양한 융·복합 서비스가 나타나고 있다.

대표적 융·복합 서비스가 스마트시티 서비스이다. 도시 교통, 환경, 안전, 주거, 복지 서비스 등의 분야에 첨단 정보통신기술을 적용하여 시민에게 편리한 스마트 시티 서비스를 제공하기 위해 구축되고 있다. 이를 위한 스마트시티 시스템은 △IoT(사물인터넷) 기반 스마트 에너지·환경 관리시스템 △스마트시티 통합플랫폼 △스마트 상수도 시스템 △스마트 주차 및 스마트 교통관리 시스템 등이다.

작년 국내 정보통신기술 이용 환경은 많은 변화를 겪었다. 사물인터넷, 클라우드 컴퓨팅, 인공지능 등의 첨단 정보통신기술과 서비스를 이용하는 기업과 공공기관이 늘고 있으며, 코로나19 상황으로 비대면 회의와 재택근무가 일상화되고 있다. 블록체인 기반의 모바일 신분증이 등장할 예정이고 각 산업 부문에서 다양한 융·복합 서비스가 나타나고 있다.

사람과 사물이 네트워크를 통해 연결되는 초연결사회에서 많은 오프라인 서비스가 네트워크에 연결되어 온라인·비대면 서비스로 전환되면서 사이버 공간의 디지털 신뢰 구축이 매우 중요하게 되었다. 2020년 국내 사이버 위협 환경의 대표적 키워드는 '표적형' '지능형' '랜섬웨어' 등이었다. 굴지의 국내 유통기업이 표적형 랜섬웨어 공격을 받아 신용카드 정보를 포함한 개인정보가 유출되어 현재도 다크웹에 공개되고 있다. 국내 여러 가상자산 거래소에서 표적 공격으로 대량의 가상자산이 탈취되는 보안 사고가 발생했다.

사이버 공격은 정보통신기술이 결합된 의료, 금융, 에너지, 수도, 가스 등의 모든 산업 부문을 가리지 않고 감행되고 있다. 각 산업 부문의 다양한 융·복합 서비스와 시스템에 대한 사이버 위협은 증가할 것이다. 특히 5G 네트워크 기반으로 구축될 스마트카, 스마트시티, 스마트의료, 스마트팩토리에 대한 사이버 위협은 주목되고 있다.

사이버 위협은 우리나라만의 문제가 아니다. 미국 정부의 핵무기를 담당하고 있는 에너지부와 국가핵안보실 등 여러 정부 부처가 해킹당한 것으로 알려졌다. 조 바이든 미국 대통령 당선인은 "자신의 새 행정부는 모든 정부 부처 수준에서 사이버 보안을 최우선 순위로 삼을 것"이라고 최근 강조한 바 있다.

사이버 공격은 개인에 대해 사생활 침해 및 금전적 또는 재산적 손실, 기업에 대해 영업 중단으로 인한 손실과 대응 및 복구비용을 초래하며 국가와 사회에 대해 수도, 가스, 전기 등의 국민 생활 필수 서비스 중단에서 국가의 중요정보의 유·노출로 인한 국가 안보에까지 영향을 미칠 수 있다. 특히 사물인터넷에서 디지털 도어락, IP 카메라 등에 대한 해킹은 개인의 사생활 침해는 물론 재산적 피해까지 준다.

이러한 사이버 공격으로부터 피해를 막기 위해서는 다음이 고려돼야 한다.

먼저, 융·복합 환경에서 사이버보안을 위한 여러 정부 부처의 협력과 대응 역량 강화가 필요하다. 국가 최고수준을 통한 사이버보안 컨트롤타워 기능은 더욱 강화되어야 한다. 여러 산업 부문의 사이버보안 조직과 기능의 운영은 국가 차원에서 비용 효율성과 대응 효과성을 고려해야 한다. 민간과 공공, 군에 대한 사이버보안 협력 강화와 거버넌스 확보를 통해 국가 차원의 효과적 대응 체계를 정비하고 효율성도 지속적으로 점검해야 한다. 민간분야 정보보호 정책 지원 기관인 한국인터넷진흥원의 사이버보안 지원 기능도 강화돼야 한다. 둘째, 민간과 공공, 군과 각 산업 부문을 망라한 사이버보안 정보 공유 체계가 강화돼야 하며 이를 위한 법적 기반 마련도 필요하다. 정보공유 체계는 표준화된 방법으로 수행돼야 확장성과 효과성을 보장하며 사이버 공격자에게 공격 감행 비용을 증가하게 만들어 특정 사이버 공격에 대한 집단 면역의 효과를 달성할 수 있기 때문이다.셋째, 각 산업 부문별 보안 관리와 융·복합 제품의 인증 제도는 국가 차원에서 비용 효과적이고, 일관성 있으며 조화로운 운영이 필요하다. 5G 네트워크 제품을 포함한 각 산업 부문의 융·복합 제품의 보안성 평가 대상의 확대가 필요하다. 5G 네트워크 제품 보안 평가, 사물 인터넷 제품 보안 평가, 스마트카 또는 스마트팩토리 관련 제품의 보안 평가 등을 망라하는 인증의 포괄적이고 조화로운 운영이 필요하다. 보안 평가 기준도 국제 표준과 국내 사이버 공간 위협 환경을 고려해 지속적으로 개선되어야 한다. 특히 향후 자동차 형식 승인 항목으로 의무화될 자동차 제조회사에 대한 정보보호관리체계 등을 포함한 다양한 산업 부문별 보안관리체계도 정보보호관리체계 (ISMS-P) 인증 제도와 연계 또는 조정되어 구축 또는 운영돼야 한다.넷째, 모든 정부 부처와 산하 공공기관 전반에 걸쳐 사이버 보안 수준을 강화하기 위해 공공과 민간 부문과의 협업을 강화하고 국가 주도 또는 악성 사이버 공격을 방어하는 데 필요한 기반시설의 보안성 확보와 보안 인력 양성에 대한 투자를 확대해야 한다.

결론적으로 국가 사이버보안 컨트롤타워를 중심으로 다양한 산업 부문별 사이버보안의 조정과 협력을 강화해야 한다. 5G 기반 융·복합 환경에서 사이버보안은 국가의 최우선 정책 과제가 되어야 한다. 디지털 경제 신뢰 확보를 통해 성공적인 디지털 전환을 가능케 하기 때문이다.