비현실적 규제 개선·소비자 신뢰 개선 위한 제도 시행
[데이터넷] 임인년(壬寅年)은 물을 머금고 피어나는 새싹처럼 무언가를 시작하기 좋은 기운을 가진 해라고 한다. 그런데 사이버 세상은 긍정적인 신호만을 보여주지 않는다. 지난해 사이버 범죄 비용이 6조달러(약 7경)을 초과할 것으로 예상되며, 올해는 이보다 훨씬 더 성장할 것으로 보인다. 예측하면 대응할 수 있다. 올해 주목해야 할 보안 키워드를 정리해 본다.<편집자>
사이버 보안은 보안성과 편의성의 타협점을 찾기가 매우 어렵다. 최근 보안 기술은 두마리 토끼를 잡을 수 있는 방안을 제시한다고 하지만, 기존 보안 시스템과 결합됐을 때 편의성과 보안성이 모두 후퇴하는 사례도 나타난다. 정부 정책은 이러한 부작용을 더 악화시킬 수 있기 때문에 의사결정이 더 어렵다.
예를 들어 아파트 월패드 해킹 사고의 대책으로 세대간 망분리를 검토한다고 했을 때, 기존 공공·금융기관 망분리 사례를 들어 “불편하고 보안도 취약한 망분리를 거주공간에도 적용한다는 것은 기술의 발전을 역행하는 일”이라는 비판이 쏟아져 나왔다. 실제 정부의 방침과 업계에서 이해한 것이 달라 오해가 있다고 할지라도, 시장을 오해하게 만든 것에도 정부의 잘못이 없다고 할 수 없다.
현실 반영 보안 규제 개선 이어져
정부는 사이버 보안이 경제성장 동력 중 하나라고 강조하며 사이버 보안 시장 육성을 위한 정책을 지속적으로 발표하고 있다. 기업·기관의 보안 강화를 법제화하고, 보안 예산·전문가가 부족한 영세·중소기업을 보호하기 위한 여러 보안 솔루션과 서비스를 무료로 지원하며, 보안 기업의 성장과 해외 진출을 위한 다양한 정책을 마련해 지원하고 있다.
그러나 업계에서는 정부의 정책이 현실을 반영하지 못한다는 불만을 쏟아낸다. 국내 정보보호 산업을 보호하기 위한 각종 규제가 오히려 국내 보안 기업을 우물안 개구리로 만들어 글로벌 수준으로 성장하지 못하게 했다는 지적이다.
예를 들어 공공기관에 공급하기 위한 CC인증과 보안인증은 인증을 받는데 상당한 시간과 비용이 들기 때문에 새로운 보안위협에 대응할 수 있는 신기술을 적시에 기관에 제공하지 못한다. 망분리 의무화로 인해 클라우드 등 외부 연결성 강화를 통한 디지털 전환이 원활하지 않으며, 보안에 취약한 오래전 기술을 사용해야 해 오히려 보안이 약해진다는 지적도 있다.
그래서 국가정보원은 CC인증 의무 요건을 완화해 CC인증 없이 보안기능 확인서, 성능평가만으로 보안 제품을 공공기관 공급이 가능하도록 했다. 또 보안기능 확인서 간소화 절차를 마련해 확인서 발급 기간을 39일로 단축시켰다.
기업의 정보보호 투자 노력을 국민들이 평가하고 그 기업의 신뢰성을 평가할 수 있도록 정보보호 공시 의무제를 시행한다. 의무 대상은 ▲회선설비 보유 기간통신사업자 ▲집적정보통신시설 사업자 ▲상급종합병원 ▲클라우드컴퓨팅 서비스제공자 ▲정보보호 최고책임자 지정·신고 상장법인 중 매출액 3000억원 이상 ▲정보통신서비스 일일평균 이용자 수 100만명 이상(전년도말 직전 3개월간)이다.
과학기술정보통신부는 정보보호 공시 의무화를 통해 정보보호 투자 수준을 공개함으로써 투자 규모를 촉진하는 선순환 구조가 나타날 것이라고 설명했다.
글로벌 규제 지원·위협 정보 공유 촉진
다른 나라의 보안 규제 강화로 인해 해외진출 기업이 어려움을 겪는 것을 돕기 위한 정책도 마련되고 있다. EU 적정성 결정이 통과되면서 EU 시민의 개인정보를 국내에 이전할 수 있게 돼 유럽 진출 국내기업의 GDPR 준수를 위한 부담이 크게 줄게 됐다. 이번 적정성 결정은 민간 데이터 뿐 아니라 공공데이터 이전도 적용돼 공공분야 협력도 가능해 질 것으로 기대된다.
사이버 위협 정보 공유 모델인 C-TAS가 개방형으로 전환, 기존에 보안 기업과 기관 등 회원사를 중심으로 운영되던 것에서 일반 기업까지 참여할 수 있게 된다. 여기에 참여하고자 하는 일반회원은 가입을 위한 별도의 자격 조건이 없으며, 히원 가입만으로 실시간 긴급 상황과 최신 동향, 정보보호 최고 책임자(CISO)와 보안실무자의 특성을 반영한 맞춤형 정보를 제공받을 수 이다.
위협정보 공유 생태계를 고도화하기 위한 공유회원도 별도로 가입 가능하다. 기업·기관이 자체적으로 운영하고 있는 탐지 시스템으로 확보한 위협 정보를 C-TAS에 공유하며, 공유된 정보는 신뢰성 있는 부가 정보와 심층 연관분석 정보를 제공해 공동 대응할 수 있게 한다.
