법제도/정책

[NES2022] 일상까지 위협하는 사이버위협··· “모두가 보안에 관심 가져야”

이종현
[디지털데일리 이종현기자] 코로나19 팬데믹 이후 굵직한 사이버보안 사고가 잦게 발생하는 중이다. 지난 3월 삼성전자와 LG전자가 해킹그룹 랩서스(LAPSUS$)에 의해 피해를 입었다. 지난 연말 발견된 오픈소스 프로그램 로그4j(log4j) 취약점도 언제 터질지 모르는 시한폭탄처럼 남은 상황이다.

<디지털데일리>는 20일부터 21일까지 이틀 간 차세대 기업 보안 버추얼 컨퍼런스 [NES 2022]를 개최한다. 과학기술정보통신부(이하 과기정통부)를 비롯해 국내·외 기업이 전망하는 보안 트렌드를 톺아보고 위협을 차단하는 디지털 방역에 대한 각사의 노하우를 공유할 예정이다.

20일 NES 2022의 첫 세션 발표를 맡은 신대식 과기정통부 정보보호기획과장은 ‘디지털 전환 시대의 사이버보안 정책’을 발표했다. 디지털 환경의 변화로 사이버위협 역시 변경하고 있으며, 이에 대응하기 위한 정부 정책을 소개했다.

신 과장은 “코로나19 팬데믹으로 산업 전반에 걸쳐 디지털 전환이 가속화되고 있다. 일상생활의 디지털화로 언제, 어디서든, 누구나 사이버위협의 대상이 될 수 있는 상황”이라며 “사이버위협은 국민의 생명과 안전에 직접적인 영향을 미칠뿐만 아니라 국가적 혼란과 대규모 경제적 피해를 불러올 수 있는 상황”이라고 말했다.

예시로 든 것은 미국 정보기술(IT) 시스템 운영·관리 기업 솔라윈즈(SolarWinds)와 미국 최대 송유관 운영사 콜로니얼 파이프라인(Colonial Pipeline), 대우조선해양과 한국원자력연구원, 한국항공우주산업(KAI) 등 국내 방산기업의 피해, 지난 연말 아파트 월패드 해킹으로 인한 개인정보 유출 등이다.

2020년 솔라윈즈 사태는 미국 정부 전산망에 심각한 피해를 입혔다. 재무부를 비롯해 국무부, 국토안보부, 국립보건원에 더해 핵무기를 담당하고 있는 에너지부와 국가핵안보실(NNSA), 연방네너지규제위원회(FERC) 등도 피해 명단에 이름을 올렸다.

미국의 사이버보안 컨트롤타워인 국토안보부(DHS) 산하 사이버안보·기간시설 안보국(CISA)은 솔라윈즈 해킹 사태를 ‘심각한 위협’이라고 표현했는데, 전 세계에 공급망 공격의 위험성을 알린 계기가 됐다.

솔라윈즈 사태 이후 2021년 5월에 발생한 콜로니얼 파이프라인의 사고는 산업시설의 산업제어시스템/운영기술(ICS/OT) 역시 안전하지 않다는 것을 각인시켰다. 2021년 7월에는 IT 관리용 솔루션 기업 카세야(Kaseya)도 해킹당했는데, 솔라윈즈와 닮은꼴이다.

임기 시작 직전부터 큼직한 사이버보안 사고를 겪은 조 바이든 미국 대통령은 ‘해커와의 전쟁’을 선포, 국가 차원의 사이버보안 강화와 글로벌 해킹그룹에 대한 수사에 속도를 내는 중이다.

한국도 여러 사이버보안 사고를 겪었다. 북한으로 추정되는 공격자로 인해 방산업체와 연구기관이 피해를 입었고, 가정 내 사물인터넷(IoT) 기기를 제어하는 단말기 ‘월패드’가 해킹돼 영상이 대거 유출된 일도 있다.

신 과장은 “국민과 기업이 느끼고 있는 보안 불안을 해소하고 안전한 디지털 전환과 국민의 신뢰 확보를 위해 체계적인 사이버보안 체계를 구축하는 중”이라며 정부도 사이버보안 강화에 공을 들이고 있음을 피력했다.

과기정통부는 ▲민·관간 사이버위협 정보공유 활성화 등 협력적 대응체계 구축 ▲보안구축 여력이 부족한 중소기업에 대한 보안 역량 지원 강화 ▲국민들의 정보통신기술(ICT) 기기 보안성 향상 및 인식제고 지원 ▲진화하는 사이버위협에 대응할 수 있는 지속적인 기술개발 추진 ▲비대면 서비스, 융합산업에 특화된 보안 강화 지원 ▲사이버보안 인재양성 강화 등 갖가지 사이버보안 정책을 추진 중이다.

가령 작년 11월 출범한 K-사이버보안 대연합은 사이버위협정보공유시스템(C-TAS)를 확대하는 것을 골자로 한다. 300여개 기업이 참여하던 C-TAS를 개편해 1만개 이상 기업에 정보를 공유할 수 있도록 손봤다.

작년 연말에는 정보보호산업법을 개정해 일정 규모 이상 기업들을 대상으로 정보보호 공시를 의무화한 것도 가시적인 성과다. 총 600여개 기업이 오는 6월 30일까지 정보보호 투자 현황 및 인력 등을 공시해야 한다. 기업들의 보안 투자 확대로 이어질 것으로 기대된다.

신 과장은 “보안이라는 사슬은 이를 구성하고 있는 여러 고리 중 가장 약한 고리만큼만 안전하다는 말이 있다. 정책에서부터 기술, 기술을 운영·이용하려는 사람 등 모든 요소가 중요하다. 디지털 전환의 파고를 안전하고 성공적으로 넘을 수 있도록 모두가 보안에 관심을 갖고 함께하길 바란다”고 피력했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널