2024-12-23 12:00 (월)
4차위, 대정부 권고안 발표…사이버보안 발전 위한 8가지 정책 전환 권고
상태바
4차위, 대정부 권고안 발표…사이버보안 발전 위한 8가지 정책 전환 권고
  • 길민권 기자
  • 승인 2019.10.25 10:00
이 기사를 공유합니다

도메인 중심에서 탈피해 데이터 중심 정책으로 패러다임 전환 등 제언
4차위, 사이버보안 대정부 권고안
4차위, 사이버보안 대정부 권고안

출범 2년을 맞고 있는 대통령직속 4차산업혁명위원회(장병규 위원장. 이하 4차위)가 25일 대정부 권고안을 발표했다.

4차위의 대정부 권고안은 2018년 12월 9차회의부터 시작해 4차위 위원을 중심으로 13개 분야별 작업반을 구성하면서 시작됐다. 이후 지난 10월 8일 국무회의 보고와 10일 4차위 전체회의 의결을 거쳐 최종안이 발표된 것이다.

권고안 세부 분야로는 사회혁신에서 △일자리 △교육 △사회보장, 산업 혁신에서는 △바이오헬스 △제조 △금융 △모빌리티·물류 △농수산식품 △스마트시티, 지능화 혁신 기반에서는 △인공지능(AI)·데이터 △사이버보안 △블록체인 △스타트업 생태계 등으로 구성됐다.

사이버보안 분야 권고안의 핵심은 ‘신뢰할 수 있는 초연결 사회’를 구축하기 위해서 안전한 데이터 활용 기반 조성과 해킹과 장애 없는 신뢰 사물인터넷(IoT) 환경을 구축하는 것이다.

이를 위한 정책 제언 내용은 크게 4가지로 요약할 수 있다.

△보호대상이 도메인에서 데이터로 전환해야 한다.(도메인->데이터)

데이터 등급에 따른 보안 정책 및 컨트롤 타워 체계 재정비가 필요하고 공공분야 비기밀 데이터 유통 및 활용 촉진 정책이 마련되어야 한다.

△보호수준의 전환이 필요하다. 보안성에서 신뢰성으로 전환되어야 한다.(보안성->신뢰성)

5G 통신망, IoT 기기 신뢰성 및 보안 내재화 방안을 마련하고 공공재 중요 기기 신뢰성 및 보안 내재화 검증 조달체계를 마련해야 한다.

△보호 주체가 폐쇄형에서 개방형으로 전환해야 한다.(폐쇄형->개방형)

유관 기관간 원활한 정보 공유를 통한 사이버 위협 확산을 차단해야 하고 외부 집단 지성 및 인공지능 기술의 적극 활용이 필요하다. 또 글로벌 공급망 보안을 위한 기술적·외교적 대응책 마련이 시급하다.

△첨단기술 개발에 수반하는 리스크를 대비하자.

양자컴퓨팅 등 첨단기술 리스크에 대비할 수 있는 중장기 대책을 마련해야 한다.

 

이번 4차위 사이버보안 관련 주요 정책 제언을 좀더 구체적으로 살펴보자.

도메인 중심 정책에서 탈피해 초연결 사회에 맞는 데이터 중심의 정책으로 패러다임을 전환해야 한다.

공공·민간 또는 업무·비업무 영역 여부는 국내 정보보호 정책 수립의 중요한 기준이었지만 많은 문제점을 안고 있었다. 이는 4차 산업혁명 시대의 데이터 공유와 활용을 막고 있다. 이에 우리도 현재 정보보호 정책 수립 방향의 근본적 한계를 인식하고 하루빨리 데이터 중요도 중심 정책으로 전환해야 한다.

추진과제로는 △데이터 중요도 등급에 따른 사이버보안 정책을 마련하고 이에 맞춰 권한과 책임이 일치할 수 있도록 컨트롤 타워 체계를 재정비해야 한다. 이를 위해 우선 중요도에 따른 전자데이터 분류 체계를 마련하고 데이터 중요도 등급에 따른 망 분리 정책을 고도화해야 한다.

 

다음은 공공 분야 비기밀 데이터에 대한 유통 및 활용 촉진 정책을 마련해야 한다.

공공·금융 분야 데이터 중 비기밀 데이터에 대해서는 글로벌 데이터 산업의 육성기반 마련을 위해 유통 및 활용방안을 적극 모색해야 한다. 미국 NIST는 실증 프로젝트를 통해 기밀이 아닌 공공 빅데이터의 안전한 활용 방안을 다각도로 모색하고 있다.

우리도 국민이 신뢰할 수 있는 안전한 공공, 금융 데이터 활용을 위해 다양한 개인정보 비식별화 기술에 대한 실증 프로젝트를 적극 추진해야 한다.

 

장애없는 초연결 사회 실현을 위해 5G 통신망 및 이와 연결된 사물인터넷 기기의 신뢰성 확보와 보안 내재화를 추진해야 한다.

4차 산업혁명 시대에 민간, 정부 및 군에 도입되는 기기들은 단순히 보안성만 중요시되어서는 안된다. 신뢰성 관점에서 언제 어디서나 정상적으로 동작할 수 있도록 개발되어야 한다.

이를 위해 5G 통신망 및 사물인터넷 기기에 대한 신뢰성 확보와 보안 내재화 방안을 마련해야 한다. 단순 시큐어 코딩 위주의 정책에서 탈피해 신뢰성 확보를 목표로 설계 단계부터 전단계 보안을 실현할 수 있는 기술적·제도적 방안이 마련돼야 한다.

또 현재 보안관제, 취약점 점검 등에 특화된 보안분석 전문가 중심의 인력 양성에서 탈티해 고신뢰 제품 개발에 특화된 고급 보안개발 전문가(Security engineer)를 육성해야 한다.

더불어 공공재 성격의 중요 기기에 대해서는 신뢰성 및 보안 내재화 여부를 엄밀히 검증할 수 있는 조달체계를 마련해야 한다.

 

폭발적으로 증가하는 IoT(사물인터넷) 기기의 관리를 위해 소규모의 폐쇄형 보안 인력을 대규모 개방형으로 전환해야 한다.

이를 위한 추진과제로는 유관기관 간 원활한 정보 공유를 통해 사이버 위협의 확산을 조기에 차단해야 한다. 민·관·군 사이에 위협 정보 공유 및 활용을 촉진하는 것이 중요하다. 민간 기업간 정보공유를 위한 ‘민간 위협정보공유통합센터’와 ‘정부 정보기관 간 위협정보공유센터’를 설립하고 이를 바탕으로 양 센터간 정보를 공유하고 협력하는 모델로 나아가야 한다.

또 외부 집단 지성을 적극 활용하는 버그 바운티 제도를 민간 뿐 아니라 금융·정부·군 등으로 확대되도록 법 제도를 정비해야 한다. 그리고 인공지능을 활용한 자동화된 공격 탐지, 방어 체계를 마련하고 국내 보안 기업이 경쟁력 있는 인공지능 기반 보안솔루션을 개발할 수 있도록 빅데이터 등 핵심 인프라와 기술 개발 지원이 필요하다.

더불어 컨트롤 타워와 외교부를 중심으로 글로벌 공급망 보안을 위해 기술적·외교적 대응책을 마련해야 한다. 연쇄적으로 구성되는 공급망 사슬에 따라 공급망을 단계별로 세분화하고 1차-2차-3차로 ICT 공급망 보안체계를 순차적으로 확대하는 정책 마련이 필요하다. 또 신뢰성 검증과 신뢰성이 증명된 기기·서비스 등의 목록 및 이력관리 확인을 위한 체계도 마련되어야 한다.

 

양자컴퓨터 등 첨단 기술 개발에 수반하는 새로운 리스크의 출현에 대비해야 한다.

현재 전자 상거래, 전자인증 등에 사용하고 있는 암호체계는 대부분 양자컴퓨터에 취약한 RSA와 ECC(타원곡선암호) 등에 기반하고 있다. 그러나 압도적인 연산능력을 가진 대용량 양자컴퓨터가 현실화되면 실시간 해독이 가능해 경제, 사회적 대 혼란을 야기할 수 있다.

이를 위해 첨단기술 개발에 수반하는 새로운 리스크의 출현에 지속적으로 대비할 수 있도록 중·장기적 대책을 마련해야 한다.

양자컴퓨터 시대를 대비할 수 있도록 현재 암호체계를 고도화하고 양자컴퓨터에 안전한 암호기술 도입 정책 및 단계적 전환 계획을 수립해야 한다.

또한 양자컴퓨팅 시대에 무력화될 현재 데이터들에 대한 보호 및 양자화 방안을 선제적으로 마련해야 한다. 특히 국가 기밀에 대해서는 양자컴퓨팅 시대 전환에 대응할 수 있도록 제도적으로 의무를 부여하고 전문기관을 통해 충분한 기술적 지원이 이루어질 수 있도록 대비해야 한다.

 

한편 이번 4차산업혁명 대정부 권고안 사이버보안 분야 연구에는 △4차산업혁명위원회 민간위원 김승주 고려대학교 교수 △4차산업혁명위원회 혁신위원 조학수 위원 △류재철 충남대학교 교수 △손경호 강원대학교 교수 △지상호 한국인터넷진흥원 실장 △심동욱 한국인터넷진흥원 팀장 △서동우 한국인터넷진흥원 책임 △김주희 한국인터넷진흥원 주임 등 총 8명이 참여했다.

김승주 고려대학교 사이버국방학과 교수(4차산업혁명위원회 위원)는 “사이버보안과 관련해 그동안 우리 정부는 초연결 사회라는 4차 산업혁명 시대의 비전과는 너무나도 동떨어지고 형식적인 정책들을 국민에게 강요해 왔다. 그로 인해 보안이 또 다른 규제가 되어왔다. 이번 권고안을 계기로 우리의 사이버보안 정책이 한단계 더 도약하는 계기가 되었으면 하는 바람이다. 더불어 최근 정보보호정책관 폐지 논란에 휘말린 과기정통부도 이러한 도약에 큰 역할을 담당할 수 있는 부처가 되길 바란다”고 밝혔다.

권고안 말미에는 다음과 같은 내용이 포함돼 있다.

“클라우드 슈밥이 그의 저서, ‘더 넥스트(THE NEXT)’에서도 밝혔듯 사이버 보안이 담보되지 못한다면 4차 산업혁명과 관련한 모든 시도들은 모래위에 쌓아 올린 성처럼 오래갈 수 없다. 그러나 보안이 또 다른 규제가 되어서도 곤란하다. 이 두 가지 딜레마 속에서 균형점을 찾을 때 대한민국은 신뢰할 수 있는 초연결 국가로서의 위상을 갖게 될 것이다.”

 

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★