2024-04-24 15:05 (수)
[신년 인터뷰] 김승주 고려대 교수 “망분리 제도 개선·RMF 도입, 모든 산업에 혁신 가져올 것”
상태바
[신년 인터뷰] 김승주 고려대 교수 “망분리 제도 개선·RMF 도입, 모든 산업에 혁신 가져올 것”
  • 길민권 기자
  • 승인 2024.01.25 19:10
이 기사를 공유합니다

“취약점 테스터 양성에만 집중할 게 아니라 고급 SW 보안 개발자 양성이 시급”
김승주 고려대학교 정보보호대학원 교수.(대통령직속 국방혁신위원회 위원)
김승주 고려대학교 정보보호대학원 교수.(대통령직속 국방혁신위원회 위원)

고려대학교 정보보호대학원 교수이자 스마트모빌리티학부 학부장, 고려대 디지털정보처장, 대통령직속 국방혁신위원회 위원, 한국국방혁신기술보안협회장. 현재 김승주 교수가 맡고 있는 주요 직책들이다.

데일리시큐는 최근 고려대 디지털정보처장실에서 김승주 교수를 만나 국방혁신부터 망분리 정책, 블록체인, 보안인력 양성 등 굵직한 보안 이슈들을 놓고 인터뷰를 진행했다.

■망분리 제도 개선 첫발 내 딛어…데이터 중요도에 따라 분류와 그룹핑 중요

김 교수는 지난해 5월부터 대통령직속 국방혁신위원회 위원으로 활동하고 있다. 위원회는 1년에 4번 대통령 주재 하에 국방 및 각 부처 장관, 민간위원 8명이 참석해 ‘인공지능 과학기술을 활용한 강군 육성’을 목표로 국방 혁신 방안과 사이버보안 등에 대해 논의하는 곳이다.

김 교수는 지난해 12월 20일 열린 위원회 회의에서 강군 육성과 사회 전반의 문제 개선을 위해 망분리 제도 개선을 강하게 주장했고 이 내용을 충분히 이해하고 공감한 윤 대통령은 그 자리에서 “망분리 제도 개선은 단순히 국방분야 뿐만 아니라 우리나라 전체에 큰 영향을 미치는 사안인 만큼 국가안보실이 중심이 돼 개선안을 마련하라”고 지시했다.

이후 1월 24일 국가정보원은 망분리 정책을 17년 만에 대수술하겠다고 공식 발표하기에 이르렀다. 주요 골자는 데이터 보안 등급을 나눠 보호해야 할 정보는 망분리 유지 등 보안을 강화하고, 대신 활용해야 할 정보는 망분리 규제를 완화하는 것으로 개선하겠다는 내용이다.

김 교수는 2012년부터 공식적인 자리에서 ‘데이터 중요도에 따라 망분리 및 보안정책들을 개선해야 한다’고 강조해 왔고, 지난 정부의 대통령직속 4차산업혁명위원회에 참여해서도 망분리 정책 개선 의견을 냈지만 권고안 정도에 그쳤을 뿐 정부 주요 정책에 반영되지는 않았다.

하지만 이번에 대통령의 강력한 의지로 획일적이고 경직되게 운영돼 왔던 망분리 및 정보보호 정책들을 개선할 수 있는 출발점에 서게 됐다. 데이터의 '활용'과 '보안'이라는 두마리의 토끼를 동시에 잡기 위해 국가안보실, 국가정보원, 그리고 TF에 참여한 여러 전문가들의 노력의 결과물이라고 김 교수는 말했다.

김 교수는 “위원회의 목표는 AI 과학기술 강군 육성이다. 그러기 위해서는 군에서 AI 활용이 자유롭게 이루어져야 한다. 망이 분리된 상태에서는 데이터 학습이 불가능하다. 한국 사회에 뿌리 내린 망분리 체계에 변화를 주는 것은 쉬운 일이 아니다. 그래서 망분리 정책 개선에 대한 대통령의 결심이 필요했고 그 이해도가 높았던 덕분에 이런 결과가 나올 수 있었다”고 설명했다.

그의 설명에 따르면, 데이터를 중요도에 따라 상·중·하로 나누고 등급별 그룹핑을 해서 하등급은 상시 인터넷에 연결되도록 하고 중급, 상급은 거기에 맞게 탄력적인 보안 정책을 적용해야 한다는 것이다. 하지만 그동안 기관이나 기업들은 상중하 분류만하고 등급별 그룹핑에는 신경을 쓰지 않았다. 그래서 상중하 등급에 따른 탄력적인 망분리 시스템을 적용할 수가 없었던 것이다.

뒤죽박죽이 된 데이터들을 상중하로 분류해 그룹핑하는 데이터베이스 설계부터 다시 해야 한다. 오래 전 데이터까지는 힘들더라도 중요하다고 판단되는 데이터에는 우선 적용해야 한다.

김 교수는 “영국은 6등급 분류 체계를 3등급으로 간소화 시키고 상이나 중으로 분류되는 데이터를 최소화했다. 그래야 데이터 활용이 가능하기 때문이다. 한국도 이제 데이터 분류 체계를 다시 정립하고 분야별 가이드라인을 만들어 보호와 활용이 가능하도록 기본 틀을 갖춰 나가야 한다”며 “우선 국방부와 전자정부 시스템에서 이런 변화가 일어나야 하고 그 가이드라인을 토대로 민간까지 확대될 수 있도록 해야 한다. 그래야 사회 전체의 망분리 정책 개선이 제대로 이루어질 수 있을 것이다. 시간이 꽤 필요한 과정이 될 것”이라고 말했다.

경부고속도로를 처음 개통하고 나서 한시간에 트럭 한대 지나갈 정도로 사용량이 적었다면 이제는 정체가 발생하고 고속도로를 더 개통해야 한다는 말이 나온다. 이처럼 지금 당장 무언가를 보여주려고 디지털 정책을 만들기 보다는 미래를 보고 데이터 보호와 활용 체계를 만들어 가야 한다는 것이 그의 생각이다.

■정부의 재난 복구 시스템부터 글로벌 표준 따르고 민간에 요구해야

주제는 지난해 발생한 초유의 행정전산망 장애 사태로 넘어 갔다.

이에 대해 김 교수는 “지금 정확히 장애 원인이 발표되지 않았다. 그 문제를 지적하기 보다는 민간 기업에는 가혹하고 정부 스스로에게는 관대한 것이 문제다. 단적인 예로 정부는 지난해 10월 SK CNC 데이터센터 화재 사고 발생후 카카오와 네이버 등에 신속한 장애 복구 독려와 책임있는 조치 및 대책마련을 시행하라고 지시했다. 즉 재난 복구 시스템을 글로벌 수준에 맞추라고 한 것이다. 그럼에도 불구하고 정부 시스템 장애와 관련해서는 글로벌 수준으로 높이겠다는 말은 하지 않고 있다. 내로남불이다. 정부 재난 대응 복구 시스템도 민간 수준 이상으로 글로벌 수준에 맞춘 다음에 민간에 같은 잣대를 들이대야 하는 것”이라고 말했다.

■가상자산·블록체인, 본질을 이해하고 정부 정책 내놔야

김 교수는 가상자산과 블록체인 분야에서도 활발히 의견 개진을 하고 있다.

그는 “블록체인의 본질을 명확히 이해하고 정부 정책을 세웠으면 한다. 블록체인 기반 산업의 본질은 오픈소스 비즈니스와 같다. 우리나라는 오픈소스를 누구나 자유롭게 사용하는 것 정도로만 생각한다. 리눅스만 보더라도 한 개발자가 주도해서 올리면 그 다음 커뮤니티에서 여러 토론을 거쳐 공동으로 집단지성을 이용해 업그레이드와 혁신을 이뤄간다. 이게 오픈소스의 철학이자 핵심이다”라고 설명했다.

이어 “블록체인도 마찬가지다. 블록체인으로 어떤 비즈니스가 만들어지면 이를 개선하기 위해 사용자들이 거침없이 의견을 내고 개선 할 수 있어야 한다. 그래야 혁신이 가속화될 수 있다. 특히 정부에서는 블록체인을 비트코인에 한정시켜 생각하는 경향이 있다. 그래서 비트코인으로 국민들이 투기를 하고 사회적 문제가 발생하면 안된다는 편협한 생각에 갇혀있다. 활발한 논의를 거쳐 집단지성을 이용해 혁신해 나갈 수 있는 분위기를 만드는 것이 중요하다”고 강조했다.

■고급 소프트웨어 개발자와 협업할 수 있는 보안 개발자 양성 시급

다음으로 2022년 7월 정부에서 사이버보안 10만 인재양성 계획을 발표한 바 있고 KISA와 KISIA를 중심으로 사이버보안 인재양성을 위한 교육 사업들이 전개되고 있다. 그럼에도 불구하고 정보보호 인력들은 여전히 부족한 실정이고 타 산업으로 이탈하는 보안전문가들도 늘어나고 있는 상황이다.

이에 대해 김 교수는 “지금 어떤 인력들이 필요한가를 생각해야 한다. 취약점 분석 교육해서 컨설팅 업무 인력 양성에 집중 양성할 것인지, 아니면 고급 보안 개발자를 양성할 것인지 분명히 해야 한다. 지금의 교육은 대부분 취약점 분석 등 보안 테스터 양성에 집중돼 있다. 하지만 지금 그리고 앞으로 더 필요한 인재는 고급 보안 개발 인력”이라며 “우주로 위성을 쏘고 자율주행 자동차가 도로를 달리고 첨단 무기들이 개발되는 이 시점에 필요한 인력은 바로 ‘고급 소프트웨어 개발자와 협업할 수 있는 보안 개발자’다”라고 강조했다.

위성, 자동차, 금융시스템, 항공기, 선박, 첨단무기 개발 등에서 일하는 핵심 개발자들의 업무를 이해하고 그들의 개발 과정에 동참할 수 있는 보안 개발자가 필요하다는 것을 강조한 것이다. 취약점을 찾는데 특화된 인력도 필요하지만 더 중요한 것은 고급 소프트웨어 개발에 참여 할 수 있는 보안 개발자 양성에도 힘을 쏟아야 한다는 것이다.

그는 “이제 데프콘 CTF 대회 우승에만 집중할 것이 아니라 ACM ICPC와 같은 세계 최대 규모의 프로그래밍 대회나 인공지능 대회 등에도 보안 공부하는 학생들이 진출할 수 있도록 지원해야 한다. 소프트웨어 개발을 원하는 학생이 사이버보안 쪽은 자신의 영역이 아닌 것 같다며 대학원을 다른 전공분야로 가는 경우가 많다. 보안 교육에 고급 소프트웨어 개발자 교육을 강화해야 한다. 고급 보안 소프트웨어 개발자 양성은 시간도 오래 걸리고 단기간에 성과는 어렵겠지만 지속적으로 투자해야 한다”고 전했다.

■KISA, 민간 기업보다 압도적 기술력 우위와 해외 네트워크 갖추는 것 중요해

이어 KISA에 대한 주제로 넘어갔다. 김 교수는 “KISA는 민간 분야 업무를 주로 하고 있기 때문에 민간에서 KISA를 믿고 따를 수 있는 압도적인 기술력 우위와 해외 네트워크를 갖고 있어야 한다. 민간 보다 기술력에서 우위에 있지 않으면서 민간 사업을 주도한다면 기업들의 불만만 커질 것이다. 그리고 한국 기업들이 해외 진출할 수 있도록 제도와 네트워크를 만들어 줘야 한다. 이 두가지를 확실하게 확보해야만 KISA의 존재 이유가 있다고 생각한다”고 말했다.

■망분리 개선·RMF 도입…여러 산업에 혁신 가져올 것

끝으로 김 교수는 “오랜 시간 주장해 왔던 두 가지가 있다. 망분리 및 정보보호 정책 개선 그리고 국방 분야 RMF(Risk Management Framework, 사이버보안 위험관리체계) 도입이다. 망분리 제도 개선은 이제 첫 단추를 끼게 됐고, 국방 K-RMF도 장관 보고까지 마쳤다. 올해 7월 본격 시행될 예정이다. CC 도입 때 만큼이나 큰 파괴력을 가질 것으로 보인다. 국방 산업 및 보안 그리고 각 산업 분야에 K-RMF는 혁신적인 영향을 미칠 전망이다. 글로벌 스탠다드에 맞춰야 국내 시장도 커지고 해외 진출에도 도움이 될 것”이라며 “이 두가지를 이루는데 오랜 시간이 걸렸지만 그 혁신에 일조할 수 있어 뿌듯한 마음이다. 망분리, 정보보호 체계 개선, RMF 도입 등이 활성화 되려면 이를 뒷받침 해 줄 수 있는 고급 소프트웨어 개발 인력 양성이 시급하다. 테스터만 양성할 것이 아니라 보안 소프트웨어 개발자가 필요하다”고 강조했다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★