“정부 행정망 장애 이어져… 사이버 복원력 중요”

사이버 복원력, 필수 기능 복구 능력
금융권 외에도 관련 제도 마련 필요

“정부 행정망 장애, SK C&C 데이터센터 화재로 인한 카카오 먹통 사태 등 사이버 사고가 끊임 없이 발생하고 있습니다. 사이버 사고가 발생할 때 필수적인 기능을 지속하는 사이버 복원력에 관심을 가져야 하는 이유입니다.”

12일 서울 중구 포스트타워에서 열린 '제2회 사이버보안 정책 포럼'에서 이원태 한국인터넷진흥원 원장이 환영사를 하고 있다. / 김송이 기자

12일 서울 중구 포스트타워에서 열린 ‘제2회 사이버보안 정책 포럼’에서 유진호 상명대 교수는 이같이 말했다. 사이버 복원력(Cyber Resilience)은 정보통신(IT) 시스템이 외부 공격, 자연재해 등을 이유로 중단되더라고 신속하게 필수 기능을 복구하는 능력을 뜻한다. 시스템의 내구성을 높이고 회복을 빠르게 한다는 면에서 사이버 보안을 보완하는 개념이다.

유 교수는 “사이버 복원력 관점에서 보면 복잡하고 (대응이) 어려워지는 일들이 발생하고 있다”면서 “국민들의 편의 생활과 관련된 기반 시설, 국민이 많이 사용하는 부가통신 서비스 등 다양한 부문에서 사이버 복원력에 대해 관심을 가져야 한다”고 말했다.

이미 세계 여러 나라에서는 사이버 복원력에 대한 기준이 마련되고 있다. 미국 사이버안보·인프라보호청(CISA)은 2023년 전략계획에서 총 네 가지 목표 중 두 번째로 ‘위험 감소 및 복원력’에 대해 언급했다. 유럽연합(EU)은 디지털 제품의 사이버 보안을 강화하고 기존의 사이버 보안 규제 격차를 해소하기 위한 법률 초안인 ‘사이버 복원력법’ 제정을 추진하고 있다.

한국에서도 사이버 복원력과 관련한 기준이 있지만, 금융 분야에 한정돼 있다. 한국은행은 지난 2018년 국제결제은행(BIS)의 지급결제 및 시장인프라 위원회(CPMI)의 ‘사이버 복원력 가이던스’를 기반으로 ‘사이버 복원력 평가 지침서’를 마련했다. 지침서는 국제기준을 국내상황에 맞춘 59개 질문으로 구성됐다.

유 교수는 “국내 관련 법을 보면 사이버 사고 발생 시 신속 대응에 관한 사항은 규정하고 있지만, 사이버 사고 신고 및 원인 분석 등 복구에 대한 계획은 기업 자체적으로 해결하도록 하고 있다”면서 “정책에서 사이버 복원력의 목적과 목표를 수립하는 등의 제도 보완이 필요하다”고 말했다.

이날 주제 발표 세션에서는 유 교수의 ‘디지털 서비스 사이버 복원력 확보 방안’ 외에도 ▲정보보호관리체계(ISMS-P) 국제표준화 동향 및 시사점 ▲제로트러스트 글로벌 시장 동향 및 과제 등에 대한 발표도 이뤄졌다. ISMS-P와 제로트러스트(Zero Turst) 관련 발표는 염홍열 순천향대 교수와 김계연 지니언스 부사장이 각각 맡았다.

제로 트러스트란 정보 시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고 ‘절대 믿지 말고 계속 검증하라Never Trust, Always Verify)’는 새로운 보안 개념이다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 마련한 제로트러스트 기본 모델은 ‘클라우드형’과 ‘구축형’(On-Premise) 두 가지로 나뉘어 있다.

김 부사장은 “우리나라의 제로트러스트 구현을 위한 포인트 솔루션은 그 어느나라보다 잘 갖춰져 있는데 제품 간 연동성이 부족하고, 클라우드, 무선, 재택 관련 시장에서 IT 인프라가 뒤처져 있다”면서 국내 제로트러스트 산업 발전을 위한 방안으로 서비스형 소프트웨어(Saas) 활성화, 국책과제를 통한 연구개발 촉진 등을 제안했다.

KISA와 한국정보보호학회가 개최한 이날 행사에서는 2023년 사이버보안 이슈와 발전방안에 대해 논의가 이뤄졌다. 지난 7월에 이어 두 번째로 열린 이번 행사는 주제 발표 세션과 리더 좌담회 세션으로 진행됐다.

이원태 한국인터넷진흥원 원장은 이날 환영사에서 “사이버보안포럼이 사이버보안 이슈를 공론화하고 좋은 의견을 수렴하는 거버넌스로 정착될 수 있길 바란다”면서 “KISA는 물론 학회, 이해관계자 등 여러 군의 전문가들이 함께 사이버보안을 위해 노력할 것”이라고 했다.

- Copyright ⓒ 조선비즈 & Chosun.com -