보안

정부, '권고'보다 강력한 사이버보안 정책 마련할 것··· 정보보호 공시제도 성과 주목

이종현
9일 열린 '사이버보안 위협 증가, 국민과 함께하는 현장 토론회' 전경
9일 열린 '사이버보안 위협 증가, 국민과 함께하는 현장 토론회' 전경
[디지털데일리 이종현기자] 연초부터 크고 작은 사이버보안 사고가 잇달아 발생하는 중이다. LG유플러스의 개인정보 유출이나 분산서비스 거부(DDoS) 공격을 비롯해 중국 해커그룹에 의한 국내 학회 홈페이지 침해에 더해 수술실 폐쇄회로(CC)TV 영상 유출 사고까지 발생하는 등, 전방위적인 사이버보안 위협이 커지는 중이다.

이런 가운데 9일 과학기술정보통신부(이하 과기정통부), 한국인터넷진흥원(KISA), 한국정보보호산업협회(KISIA)는 ‘사이버보안 위협 증가, 국민과 함께하는 현장 토론회’를 개최했다. 장소는 경기도 성남시 지란지교시큐리티의 사옥이다.

이날 행사에는 과기정통부 박윤규 제2차관, KISA 이원태 원장, KISIA 이동범 회장, 정보보호학회 원유재 학회장, 지란지교시큐리티 윤두식 대표, 오내피플 조아영 대표, 엔씨소프트 신종회 CISO, 법무법인 세종 김지훈 전문위원, 국방부 이휘원 대위, 성신여대 융합보안학과 전소은 대학원생, 스틸리언 박찬암 대표 등 사이버보안 관련 관계자들이 다수 참여했다. 가족이 스미싱 피해를 입은 시민 심하늘 씨도 함께했다. 사회는 순천향대 염흥열 교수가 맡았다.

이날 토론회는 정부가 사이버보안 관련 산업계, 학계, 시민사회의 의견을 청취하고 정책에 반영하기 위해 마련됐다. 기존 정부 정책 중심 토론에서 벗어나 국민의 관심 거리를 중심으로 하는 주제별 토론방식을 처음으로 도입했다.

토론회 대표 발제를 맡은 것은 사이버보안 기업 지니언스 대표이자 KISIA를 이끌고 있는 이동범 회장이다. 그는 ‘사이버보안 위협 증가, 해법은 없는가?’를 주제로 주요 사이버공격 사례와 올해 눈여겨 봐야 할 4개 사이버보안 이슈 ▲새로운 위협 대응 ▲혁신기업 육성 ▲인재 양성 ▲인식제고 및 투자 확대 등을 전했다.

이날 이 회장이 힘주어 말한 것은 ‘사이버보안에 대한 인식의 전환’이다. 그는 최근 미국 조 바이든 대통령의 “우리 사회는 일반 개인에게 너무나 많은 보안 책임을 지우고 있다”는 말을 소개하며, 보안사고의 최대 피해자가 개인이라는 데 대한 인식 개선이 필요하다고 강조했다.

그는 “LG유플러스는 위협을 받은 피해 기업이지만, LG유플러스보다도 더 큰 피해를 입은 것은 개인정보가 유출된 일반 국민들”이라고 말했다. 또 스미싱 피해에 대해서도 “우리 기술이 스미싱을 차단하지 못할 수준이라고 생각하지 않는다. 보안기업, 정부, 기관, 통신사가 협력하면 해외에서 오는 발신자 번호 추적하고 차단하는 것, 충분히 가능하다. 보안사고에 대한 책임을 계속해서 개인에게 전가해선 안 된다”고 피력했다.
왼쪽부터 오내피플 조아영 대표, 지란지교시큐리티 윤두식 대표, KISIA 이동범 회장
왼쪽부터 오내피플 조아영 대표, 지란지교시큐리티 윤두식 대표, KISIA 이동범 회장

이 회장은 위협에 대응하는 기술을 개발할 기업, 인력의 육성도 필요하다고 주장했다. 세계 무대에서는 새로운 사이버보안 유니콘 기업이 대거 등장함에도 불구하고 국내에서는 보안 유니콘 기업이 등장하지 않았고, 유망한 신규 플레이어가 두각을 드러내지도 못했다고 지적하며 그 원인으로 글로벌 평균에 못미치는 정보보호 투자를 꼬집었다.

그는 “기업들이 가진 정보보호에 대한 인식을 제고해서 어떻게 투자로 이어지게 할 것인가에 대해 고민해야 한다. 우리나라의 경우 일부 기업을 제외하면 예전의 방식으로 사이버위협에 대응하고 있고, 문제가 발생하고 난 뒤에야 대응하는 중”이라며 “정부가 조금 더 적극적으로 리포트나 가이드라인을 제시해주셨으면 한다”고 요구했다.

인재 양성 역시 중요 화두로 떠올랐다. 이 회장은 “한국은 글로벌 해킹대외에서 수상하는 우수한 화이트해커를 많이 보유 중이다. 그런데 보안 전문인력이 화이트해커만 있는 것은 아니다. 군으로 치면 화이트해커는 특수작전부대다. 특수작전부대도 필요하지만 군에서 사용할 무기를 개발하는 사람도 필요하다”며 보다 다양한 사이버보안 인력을 양성해야 한다고 말했다.

김지훈 법무법인 세종 전문위원도 말을 보탰다. 그는 “기업의 투자 인식 전환이 필요하다. 기업들이 보안에 대해 ‘왜 이렇게 비싸’, ‘왜 이렇게 돈이 많이 들어’, 이렇게 비용으로 생각한다. 투입돼야 할 투자이고, 이걸 통해 우리 제품이나 서비스를 안정적으로 제공될 수 있다는 식으로 인식이 전환돼야 한다”고 강조했다.

또 “일반 국민 차원에서도 인식 전환이 필요하다. 우리 정부가, 또 전 세계가 디지털 전환에 대해 밝은 면만 얘기한다. 그런데 디지털 전환이 이뤄질수록 사이버보안 위협은 점점 커진다”며 지나치게 긍정적인 효과만 강조하기 보다는 부작용도 함께 알리는 것이 필요하다고 밝혔다. 이어서 “시장이 커지고 기업이 잘 되면 억지로 인재를 양성하려 하지 않더라도 좋은 인재들이 쏠릴 것이다. 선순환 구조가 형성되는 것”이라고 부연했다.

이 회장은 ‘사이버보안 모태펀드’라는 아이디어도 제시했다. 정보보호 시장과 기업 성장 지원을 위한 사이버보안 전용 모태펀드를 조성함으로써 기업 성장 및 기업간 인수합병(M&A)를 활성화시켜야 한다는 복안이다.

이날 토론회에서는 작년 정부가 추진한 정보보호 공시제도에 대한 호평도 이어졌다. 정부는 작년 매출 규모나 제공하는 서비스의 종류, 이용자 등 일부 요건에 해당하는 기업들은 의무적으로 정보보호에 대한 투자 현황을 공개토록했다. 각 기업들의 보안 인력 수, 투자 금액을 확인할 수 있게 돼 어떤 기업이 투자를 적게 했는지 알아볼 수 있게 했다.

정보보호 공시제도의 순기능을 확인할 수 있는 대표적인 예가 개인정보 유출 및 분산서비스 거부(DDoS) 공격으로 피해를 입은 LG유플러스 사례다. LG유플러스는 2021년 정보보호에 292억원가량을 투자했는데, 이는 국내 이동통신 3사 중 최하다. 1021억원을 투자한 KT는 물론이고 627억원을 투자한 SK텔레콤의 절반에도 못미친다. 사고 이후 LG유플러스는 정보보호 투자 규모를 1000억원까지 높이겠다고 발표했다.
박윤규 과기정통부 제2차관
박윤규 과기정통부 제2차관

박윤규 제2차관은 “주요 기업들이 정보보호에 어느 정도 투자하고 있는지 알리면 국민들께서 ‘이 기업은 믿을 수 있겠구나’하고 인식되기를 기대하고 제도를 시행했다”며 “앞으로 기업의 실적처럼 정보보호 공시제도도 투자자들이 기업을 판단하도록 하는 제도가 돼야 한다고 생각한다”고 피력했다.

이어서 “지난 6월 임명돼 업무를 시작했고 작년 15번 이상 간담회를 개최하며 산업 현장을 누볐다. 그런데 돌이켜 보면 한 번도 사이버보안을 주제로 간담회를 하지 않았더라. 사이버보안 만큼 중요한 주제를 작년에 소홀히 한 것에 대해 반성한다”고 전했다.

정부의 전략 청사진에 대해서도 소개했다. 민간 기업에게 강한 제재를 할 수 없어 권고 수준으로 그치고 있는 내용들을 보다 강화하는 방향으로 개선하는 논의를 시작하겠다는 내용이다.

박 차관은 “지금은 점검에서 취약점이 발견돼 고치라고 하더라도 권고에 불과하다 보니 고치는지 안 고치는지 알 수가 없다. 더 안전한 세상이 되려면 이런 게 필요하다고 국회와 논의해 보겠다”며 “앞으로도 더 많이 현장에 종사하는 분들의 목소리를 듣겠다”고 말했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널