정보협, 4차 정총...김창훈 교수 "난립한 보안 평가 줄여야"

김완집 회장 "공공·산학·교육 분과 신설...한국제로트러스트협회 등과 협력"

(지디넷코리아=김기찬 기자)전국정보보호정책협의회(정보협)는 19일 킨텍스에서 개최된 세계 보안 엑스포 2026(SECON 2026) 현장에서 '제 4회 정기총회'를 열었다.

이날 현장에는 전국 지자체 및 공공기관 정보보호 책임자 약 150명이 참석했다. 정기총회에서는 정보보호 및 개인정보보호 관련 강의, 중앙정부 및 정보협 추진 정책 소개 등 2가지 세션을 중심으로 발표가 이어졌다.

행사에 앞서 김완집 정보협 회장은 인사말을 통해 "정보협이 조직된 지 오래되지 않았는데 많은 관심을 보내주시고 계신다"며 "최근 기술이 많이 변하고 공공기관 보안 책임자들의 어려움도 많아졌는데, 이 자리를 통해 해결 방안에 대해 함께 고민하고 인사이트를 얻어가는 자리가 됐으면 한다"고 말했다.

김완집 전국정보보호정책협의회 회장이 인사말을 하고 있다.

"지켜내는 시대 '끝'…공공보안, 제로트러스트 '시작'"

첫 번째 세션에서는 박춘식 아주대 사이버보안학과 교수가 '지자체 보안을 위한 제로트러스트'를 주제로 발표했다.

박 교수는 원격 근무, 클라우드, 디지털 전환으로 네트워크 중심 경계 방어가 한계에 봉착했다고 진단했다. 심지어 인공지능(AI) 시대에 접어들면서 이런 경향은 더욱 짙어졌다. 기존 경계 기반의 보안이 한 번 뚫리면 내부 전체가 무너지는 구조적인 취약성도 문제다.

그는 AI 보안 시대에서는 공격자가 방어자보다 압도적으로 유리하다고 강조했다. 박 교수는 "공격자는 방어자보다 '얼리어답터'"라며 "AI 기술을 만든다고 해봐야 공격자들은 그것도 우회하는 방법부터 찾는다. AI 시대가 돼도 항상 '기울어진 운동장'"이라고 진단했다.

박춘식 아주대 사이버보안학과 교수가 발표하고 있다.

박 교수는 "국가정보원 실태평가와 지난 1월 실시한 감사원의 대민서비스 제공 7개 공공시스템 대상 모의해킹 결과를 인용하며 공공 보안은 '낙제점' 수준"이라며 "망분리만 믿고 내부 접근 통제 및 관리를 방치한 결과"라고 비판했다.

이에 공공 보안도 제로트러스트 기반으로 보안 패러다임을 전환해야 한다는 것이 박 교수의 생각이다. 그는 "완벽하게 막아낼 수 있다는 생각을 버리고 기존의 망분리에서 마이크로세그멘테이션(Micro-segmentation)으로 전환하고, 침해를 입더라도 피해를 최소화할 수 있는 회복력을 갖춰야 한다"고 강조했다.

마이크로세그멘테이션은 데이터센터나 클라우드 환경을 워크로드, 애플리케이션 등 단위의 아주 작은 세그먼트로 분리해 개별 보안 정책을 적용하는 제로트러스트 방법의 일부다.

박 교수는 "AI 시대에 '지켜낼 수 있는 시대'는 끝났다"며 "제로트러스트 아키텍처 구축 전략을 통한 제로트러스트 기반의 보안이 해결책"이라고 역설했다.

"AI는 예측 불가능해 위험…국제 AI 규제 논의 계속된다"

박 교수에 이어 권헌영 고려대 정보보호대학원 교수는 "AI는 '예측 불가능성' 때문에 문제가 된다"며 "값을 입력하면 정해진 값을 출력하는 컴퓨터 기술과 달리 AI는 예측이 어렵기 때문에 윤리 문제가 대두된다. AI 위험 수준과 위험 판단 주체를 정하는 것이 AI 윤리의 현재 가장 큰 쟁점"이라고 설명했다.

이날 권 교수는 '인공지능 윤리와 안전 규제의 동향과 전망'에 대해 발표했다. 그는 AI가 컴퓨터 기술과 달리 예측이 불가능하기 때문에 투명성과 검증 가능성을 확보하는 작업이 필요하다고 역설했다.

발표 중인 권헌영 고려대 정보보호대학원 교수.

그는 "주요 국가든을 AI 기술 경쟁뿐 아니라 AI 규제 프레임워크 구축에도 속도를 내고 있다. 본격적으로 AI 규제 경쟁이 본격화되는 것이다. 중국, 유럽연합, 미국 등 주요국이 세계 AI의 표준이 되기 위한 경쟁이 본격적으로 시작했다"며 "다만 국제 사회에서 AI 규제 논의지는 지속되지만, 실제 정책의 중심은 AI 기술 경쟁으로 이동하고 있다"고 진단했다.

"최상의 실력 갖춘 공격자에 대응한 최상의 대응 능력 갖춰야"

"복잡한 IT 인프라와 공격 표면의 확대와 국가 기반 시설을 노리는 국가 배후 세력의 조직적인 공격도 의심되고 있는 상황이다. AI 기술을 악용에 공격에 활용하는 사례도 늘어났다. 반면, 기업에서는 기본적인 보안 관리가 미흡하고 보안 투자와 조직의 거버넌스 체계도 제대로 수립돼 있지 않다. 이에 지난해 잇단 침해사고가 터져 나온 것이다."

염흥열 순천향대 정보보호학과 명예교수는 세션 발표로 '최신 정보보호 침해사고로 본 관리체계 고도화 방안'을 발제했다.

염 교수는 쿠팡, SK텔레콤, KT 등 최근 대형 침해사고가 발생한 기업의 원인과 미흡한 점에 대해 지적했다. 이어 침해사고 대응 방안으로 네트워크 분리 및 세분화, 공격 표면 관리 등이 중요하다고 강조했다.

염흥열 순천향대 정보보호학과 명예교수가 최근 침해사고를 분석한 결과를 발표하고 있다.

그는 "정확한 관리를 바탕으로 공격 면적에 대한 관리가 필요하다"며 "해커의 실력을 최상의 실력으로 반영해 대응할 수 있어야 한다. 최상의 해커에 맞서 우리 중요 기반 보호 시설을 운영한다는 생각을 갖고 공격 능력에 걸맞는 대응 능력을 갖춰야 한다"고 말했다.

염 교수는 구체적으로 ▲정보보호최고책임자(CISO)의 권한 강화 등 기업 정보보호 거버넌스 개선 ▲제로트러스트 보안 원칙 적용 등 기업의 상시적 관리체계 구축 필요 ▲국가 차원의 사이버보안 거버넌스 재정립 ▲민간과 공공 간 협력을 통한 사이버보안 조정 및 정보보호 정보 공유 체계 재정립 등의 대응 방안을 제시했다.

"국내 보안 규제 과다…'보안 9단계' 갖춰야"

김창훈 대구대 IT융합학과 교수는 국내 보안 컴플라이언스에 대해 짚었다. "ISMS 등 우리나라 보안 규제는 평가가 너무 많다. 보안 담당자가 수행하기에 평가가 너무 많아 업무 의욕이 떨어진다"면서 "심지어 이 많은 평가들이 관점만 다를 뿐 기술을 쭉 나열해보면 대부분 똑같다. '보안 담당자에게 인센티브를 제공한다'와 같은 현실성 없는 대책 말고 보안 담당자의 업무를 과중시키는 난립하는 평가들부터 줄여야 한다"고 일침했다.

보안 규제가 해킹을 막는 데 도움이 되지 않으며, 보안 규제 강화가 오히려 보안 담당자들의 피로도 문제를 증가시킨다고 지적한 것이다.

발표 중인 대구대 IT융합학과 교수.

김 교수는 "보안의 근간은 '분리'다. 등급에 따라 얼만큼 연계할지 정하는 것이 기본이다"라며 3단계 사이버 보안 프레임워크를 제시했다. 각 단계별로 3가지 항목을 준수해야 한다고 강의를 요약했다. 구체적으로 보안 준비·이행·점검별 각 3단계다. 각 단계별로 ▲자산식별 ▲위험평가 ▲분류 등 준비 단계를 거쳐 ▲접근제어 ▲인프라 보호 ▲데이터 보호 등 이행 단계, ▲탐지 ▲대응 ▲복구 등 점검 단계를 수행해 프레임워크를 구축해야 한다는 것이다.

그는 "이같은 보안 9단계를 갖추고 아주 안전한 AI 도입, AI를 이용한 보안 체계 구축 등을 종합해서 방어할 수 있는 체계를 만드는 것이 중요하다"고 강조했다.

KISIA, 올해 공공 맞춤형 교육 추진…정보협, 협력 기관 늘린다

두 번째 세션에서는 한국정보보호산업협회(KISIA), 과학기술정보통신부(과기정통부), 정보협 등에서 올해 추진 계획 및 정책에 대해 소개했다.

올해 신설되는 한국정보보호산업협회 교육에 대해 소개하고 있는 강주영 KISIA 부원장.

먼저 KISIA는 강주영 KISIA 한국정보보호교육원 부원장이 올해 정보보호·개인정보보호 교육 제공 방안에 대해 소개했다.

KISIA는 학생부터 CISO까지 정보보호 교육을 진행하고 있다. 올해는 지자체 정보보호 컨설팅 교육을 신설해 추진할 계획이다. 공공부문 맞춤형 실습 교육을 통해 대응 역량을 키우는 것이 골자다.

올해 교육의 주요 사항을 보면 ▲집합교육 24회 ▲방문교육 16회 ▲온라인교육 10회 등 총50회의 교육이 예정돼 있다. 공공 특화 실무 중심으로 교육을 구성했으며, AI, 클라우드 등 신기술 보안 대응 내용도 포함됐다.

발표 중인 박세진 과학기술정보통신부 정보보호네트워크정책관 사무관.

과기정통부는 지난 1월 발표한 '제2차 정보보호 종합대책'의 주요 내용에 대해 다시 한 번 강조하는 시간을 가졌다. 발표를 진행한 박세진 과기정통부 정보보호네트워크정책관 사무관은 "1차 정보보호종합대책과 달리 2차에서는 소비자 피해에 대한 손해배상, AI로 인한 보안 환경 변화, 정보보호 내재화 등을 반영해 새롭게 방향성을 잡았다"며 "미국식 집단소송제도 도입을 추진하는 것이 가장 주목되는 부분"이라고 밝혔다.

과기정통부는 올해 상반기 중 정보통신방법 개정을 추진해 침해사고로 인한 개인정보 유출 이외 피해에도 분쟁조정 제도를 도입할 방침이다.

또한 AI로 자동화된 해킹 공격에 대응, AI 기반 사이버 위협 탐지 및 대응 시스템으로 전환을 추진한다. 아울러 화이트해커를 통한 취약점 정보 수집 기반을 조성하는 등 취약점 및 사이버 위협 정보 수집 및 공유 체계 강화에 나선다.

정보보호 내재화를 위해서는 IP카메라, 로봇청소기 등 국민 생활과 밀접한 제품에 대해서는 보안 실태 점검을 강화하고, 디지털 요소를 포함한 모든 제품에 대한 보안 정책을 마련한다.

한편 정보협은 올해부터 운영 조직을 확대하기로 했다. 기존 운영 방식을 회장 기관인 서울특별시가 총괄하는 체계에서 공공, 산학, 교육 등 분과를 신설해 운영조직의 업무를 분담한다.

아울러 산업계, 학계와 협력을 확대하기 위해 기존 협력 기관인 바른 ICT연구소, KISIA 등과 더불어 ▲개인정보전문가협회 ▲병원정보보안협회 ▲한국제로트러스트협회 등과 신규 협약이 예정돼 있다.

김기찬 기자(71chan@zdnet.co.kr)