“현재 우리나라 IT는 클라우드·빅데이터·모바일이 확산되고 있지만, 정보보안은 인터넷·웹 서비스가 확대되는 시기에 머물러 있는 상황이다. 이러한 환경에서 사물인터넷(IoT)으로 발전하게 된다면 엄청난 위협에 직면하게 될 것이다.”
심종헌 지식정보보안산업협회장은 국내 보안 수준이 매우 위험한 상황이라고 경고하며 이렇게 말했다. 빠르게 발전하는 IT 기술로 인해 IoT를 넘어 만물인터넷(EoT)로의 전환을 준비해야 한다는 주장이 나오고 있는 반면, 정보보안은 전통적인 경계보안수준에서 벗어나지 못한다는 지적이다.
심 회장은 ICT 환경을 ▲1단계 컴퓨터도입시기 ▲2단계 인터넷·웹서비스 활성화 시기 ▲3단계 ICT환경 확대 무선·클라우드·빅데이터 활성화 진입시기 ▲4단계 융복합 사물인터넷(IoT) 시기의 4 단계로 구분했다. 현재 우리나라는 3단계에 진입해 있으며, 4단계를 준비하는 시점이라고 진단했다.
3단계에서 나타나는 보안 위협이 APT, 정보탈취, 사이버사기 등이며, 4단계에서는 대규모 사이버테러와 정보유출, 사람의 생명을 위협하는 공격도 등장할 것으로 예상된다. IoT로 진화할 수록 웨어러블 컴퓨터와 같이 사람이나 생명체의 피부와 밀착된 IT 기술이 확산될 것이며, 생명과 직결된 의료 분야에서도 IT 기술이 활용될 것이기 때문에 위험은 더욱 높아질 것으로 보인다. 그러나 현재 우리나라 정보보안은 우리나라 보안은 바이러스 백신이나 네트워크 보안 솔루션을 구매하는 2단계 수준에 머물러 있다.
심 회장은 “현재 IT 환경에서 필요한 보안은 1~2단계에서 필요로 하는 전통적인 보안 솔루션 뿐만 아니라, 클라우드·빅데이터·모바일 환경을 지원하는 것이다. 이와 관련된 국내 기술은 매우 초보적인 수준이기 때문에 공격자들은 아주 간단한 공격툴로도 쉽게 공격에 성공할 수 있게 된다”고 비판했다.
그는 “최근 IoT 활성화를 위한 다양한 정책과 기술개발이 활발하게 이뤄지고 있지만, IoT 보안에 대해서는 상대적으로 관심이 약한 편이다. IoT를 활성화 하기 위해서는 보안 기술을 가장 기본적으로 생각해야 하며, 이를 위한 투자를 지속적으로 늘려가야 한다”고 강조했다.
“지능형 공격 늘지만 보안 투자는 오히려 줄어”
진화하는 IT 환경에 맞춰 정보보안 기술도 빠르게 발전하고 있지만, 우리나라에서는 보안에 대한 투자는 매우 약한 편이다. 특히 지난해 대규모 사이버 테러가 발생하고, 금융기관과 신용카드사를 통한 정보유출 사고가 잇달아 드러났는데도 불구하고 정보보안 예산은 전혀 늘지 않았으며, 일부 산업군에서는 오히려 줄어들기도 했다.
장기적인 경기침체로 예산을 확보하는 것이 어려운 상황이지만, 지능형 공격이 성행하는 상황에서 정보보안 예산을 줄이는 것은 경영 리스크를 그만큼 높이는 결과를 낳게 된다. 특히 우리나라에서는 보안사고가 발생했을 때 미리 계획된 보안투자 계획을 원점으로 되돌리고, 정부의 가이드라인이 발표될 때 까지 기다리거나 땜질식 처방에만 그치는 경우가 대부분이어서 ‘소 잃고 외양간도 안고친다’는 비판이 끊이지 않는다.
심 회장은 “정보보안에 대한 투자가 기업의 경쟁력을 높이는 것이라는 점에 대한 공감대는 형성돼 있지만, 실제 투자로 이어지지는 않고 있다. 기업에서 스스로 정보보안 수준을 높이기 위한 노력이 적극적으로 이어져야 하며, 정부 정책은 총론적인 수준에서 해당 기업/기관이 비즈니스 성격에 맞는 정보보안 투자를 단행할 수 있도록 지원해야 한다”고 주장했다.
그는 “보안 사고가 일어날 때 마다 세세한 부분에 대한 가이드라인을 제시하는 것이 아니라, 보안사고가 발생하지 않도록 관리·감독을 철저히 하고, 업계의 불공정 관행을 근절할 수 있는 정책 마련에 보다 힘을 써야 할 것”이라고 덧붙였다.
