“지능화되는 사이버 위협에 대응하기 위해서는 발생하는 모든 위협 정보를 공유하고 지능적으로 분석해 대응하는 시스템이 필요하다. 한국인터넷진흥원(KISA)은 글로벌 정보공유를 위한 CAMP와 국내 위협정보 분석 대응 체계인 C-TAS를 운영하면서 국내외에서 발생하는 정보를 민간·공공 기관과 폭넓게 공유하고 있다. 다만 일부 공공기관과는 정보공유가 원활하지 않는 상황이다. 의무적으로 위협정보를 공유할 수 있는 법률적 근거를 마련해야 한다.”
백기승 한국인터넷진흥원장은 이렇게 말하며 “경찰·검찰 등 수사기관의 정보공유는 원활히 진행되는 상황이지만, 다른 공공기관은 어려운 실정”이라며 “공공기관간의 정보공유 노력이 반드시 필요하다”고 강조했다.
현재 공공기관의 사이버 침해 대응은 행정자치부 산하 통합전산센터에서 맡고 있으며, 각 기관별로 상급기관에 위협정보를 보고하고 공유하는 체계를 갖추고 있다. 금융관련 위협정보는 금융보안원의 금융ISAC이 맡고 있으며, 병·의원의 경우 보건복지부가 관할하는 것 같은 형태이다.
그러나 정보공유 시스템이 체계적으로 잡혀있지 않으며, 어떤 수준의 위협정보를 모으고, 분석하며, 보관·폐기에 대한 정책은 마련돼지 않았다. 또한 수집된 정보를 분석해서 발생하는 공적·사적 이익 배분 등에 대한 문제에도 접근되고 있지 않은 상황이다.
KISA는 민간 및 수사기관과의 공조체제가 마련되어 있는 만큼, 공공기관 특히 정보기관의 정보공유가 원활하게 이뤄져야 사이버 위협에 신속하게 대응할 수 있다고 주장한다.
백 원장은 “4차산업혁명은 신뢰를 기반으로 하고 있다. 보안에 있어서도 신뢰가 밑바탕에 쌓여 있어야 한다. 공공기관에서 발생하는 위협 정보를 수집하고, 이용할 때 외부 유출이 없어야 하고, 보안의 목적으로만 사용하며, 지능형 방어 체계 마련을 위한 토대로 활용한다는 믿음이 있어야 정보공유가 이뤄질 것”이라며 “기관관의 협업체계 마련을 위한 적극적인 노력이 필요하다”고 강조했다.
한편 KISA는 지난달 전라도 나주 빛가람혁신도시로 이전을 완료하고 7월 3일 공식 업무를 개시했다. 서울청사에는 사이버침해대응본부, 개인정보점검팀, 정보보안 수준인증, 차세대 인증 보안팀을 운영하며, 경기도 판교의 정보보호 클러스터에서는 IoT 융합보안 혁신센터와 사이버보안 인재센터를 운영한다. 3원청사 체제 운영을 위해 지난달 1일 조직개편을 완료했다.
백 원장은 “KISA는 민간·공공의 사이버 보안의 안전판으로, 각종 침해사고의 1차적 예방과 치료를 전담하는 보건소 개념으로 확장해야 한다. 또한 인본주의 인터넷 등 4차산업혁명의 핵심 가치 구현을 위한 사회인식 변화를 이끌어야 한다”며 “이를 위해 기관 명칭 변경도 적극 추진하고 있다. 정보보호 역량 강화외 국민 인지 편의성 제고를 위해 ‘한국인터넷정보보호원(Korea Internet & Security Agency, KISA)’으로 개정하는 것을 추진하고 있다”고 덧붙였다.
