“정부, 정보보안 규제 지나치게 간섭 말아야”
상태바
“정부, 정보보안 규제 지나치게 간섭 말아야”
  • 김선애 기자
  • 승인 2015.03.17 18:27
  • 댓글 0
이 기사를 공유합니다

김승주 교수 “기업/기관이 서비스에 맞는 보안 정책·시스템 갖출 수 있도록 지원해야”

“우리나라 정보보안 시장을 정상화하기 위해 정부는 기업/기관이 보안사고 예방을 위해 최선을 다하도록 지원하는 역할을 수행해야 한다.”

김승주 고려대학교 정보보호대학원 교수는 잇달아 터지는 대형 사이버 보안 사고를 언급하면서 “가장 근본적이고 해결이 어려운 문제는 정부가 지나치게 간섭하고 있다는 점”이라고 비판하고 “정부가 규제를 통해 세밀한 기술을 일일이 나열하는 것이 아니라, 보안위협을 관리하면서 사고예방을 위해 지원하는 것”이라고 강조했다.

어떤 보안 기술 선택하는가···시장에 맡겨야
우리나라에서 보안사고가 끊이지 않는 고질적인 문제는 규제가 지나치게 세부 기술 위주로 정의돼 있다는 점이다. 기업/기관이 해당 기술에 대응하는 시스템을 구입하면 규제준수 의무를 다했기 때문에 보안사고 예방을 위한 노력을 했다는 점이 인정된다.

사이버 공격은 매우 지능화되고 있기 때문에 개별 기술 및 솔루션으로 막을 수 없다. 공격자는 목표 기업/기관의 업무와 비즈니스 성격, IT 환경, 임직원의 습관과 기업문화 등을 교묘하게 이용해 공격한다.

국내 법에서 보안 시스템에 대한 세부적인 기술요건을 지정하고 있기 때문에 공격자는 해당 기술의 취약점을 이용해 쉽게 우회 공격이 가능하다.

김 교수는 “정부는 사이버 보안을 강화한다면서 가장 먼저 기술요건을 규정하고 있지만, 이와 같은 방식으로는 다양한 방식으로 진행되는 보안사고를 막을 수 없다. 기업/기관이 모든 기술을 자유롭게 검토하고 자사 환경에 맞는 시스템과 체계를 갖춰 운영하도록 하되, 사고가 일어났을 경우 사고예방을 위해 충분한 노력을 다했는지 평가할 수 있도록 법과 정책을 개선해나가야 한다”고 말했다.

‘자산위협분석방법론’으로 정보보안 전략 수립 지원
법을 바꾸는 것은 매우 어려운 일이다. 법안이 발의되고 국회 상임위와 본회의를 통과해 법이 시행되기까지 1년 이상 걸리는데 우리나라 국회에서 법안 처리를 빠르게 하는 편이 아니기 때문에 몇 년의 시간이 쉽게 지나간다.

수많은 법안에서 정보보안과 관련된 조항이 충돌하고 있으며 비현실적인 조항도 산재해있지만, 법 개정만을 통해 정보보안 환경을 개선하는 것은 난망한 일이다.

김 교수는 “국회의 법 개정만을 바라보고 있어서는 안된다. 산업별, 비즈니스별로 정보보안 가이드라인이나 권고사항 등을 정리해 배포함으로써 현장에서 개선해 나갈 수 있도록 해야 한다”고 조언했다.

그는 “기업/기관은 무엇을 어떻게 보호해야 하는지 제대로 파악하지 못한다. 자사의 시스템과 정보가 얼마나 높은 가치를 가졌는지 평가할 수 있는 기준도 마련하지 못하고 있기 때문에 어떤 정보보안 정책을 적용해야 하는지 알지 못한다”며 “‘자산위협분석방법론’을 만들어 기업/기관의 정보보안 전략 수립을 돕는 것도 필요하다”고 말했다.

보안기업 수익성 보장돼야 보안 수준 제고
국내 정보보안 시장은 고질적인 저가수주 문제로 몸살을 앓고 있다. 오래 전 부터 정보보안 업계에서는 제품·서비스에 대한 정당한 대가를 요구하고 있지만, 외산 솔루션에 비해 턱없이 낮은 가격으로 공급된다.

수년전부터 유지보수료율 현실화를 외쳤지만 여전히 5%~7% 수준에 머무르고 있다. 올해는 ‘보안성유지서비스’ 항목을 새롭게 신설해 지능화되는 위협에 대응할 수 있도록 제품에 대한 지속적인 업그레이드를 지원할 수 있도록 하자고 제안하고 있지만, 실제로 받아들여질지는 불투명하다.

김 교수는 “보안기업의 수익성이 보장되지 않으면 정보보안 사고는 계속해서 발생할 수 밖에 없다. 보안기업들이 지속적으로 기술을 개발할 수 있도록 제품과 서비스에 대한 정당한 대가를 지불해야 한다”고 강조한 후 “정보보안에 대한 사용자의 인식개선과 함게 정부가 강력한 의지를 갖고 정보보안 시장이 정상적인 질서를 갖도록 해야 한다”고 역설했다.

핀테크도 정부 간섭 줄여야
그는 정부의 핀테크 정책에 대해서도 “정부가 지나치게 간섭한다”고 지적했다.

현재 정부는 핀테크 사업 활성화를 위해 불필요한 규제를 완화하는 방향으로 개선해나가면서도 개별 기술 하나하나 지적하면서 가이드라인을 제안하고 있다.

페이팔은 지난해 사기거래가 0.33%, 애플페이는 최근 6% 가량의 사고가 일어나는 것으로 보고되고 있다. 이들은 사고가 발생했을 때 고객의 피해를 모두 책임지겠다고 보장하고 있으며, 사기거래 발생률을 낮추기 위해 지속적으로 시스템을 개편하고 새로운 기술을 적용하고 있다.

김 교수는 “핀테크 활성화를 위해서는 기업들이 비즈니스 모델을 스스로 검토하고, 서비스를 제공할 수 있는 시스템을 선택할 수 있도록 해야 한다. 민간기업의 모임이나 단체, 관련 전문가들이 기술이나 보안 정책에 대해 권고하거나 제안할 수 있지만, 여기에 정부가 개입하거나 규제를 만드는 것은 바람직하지 않다”고 강조했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.