한국 정보보호학회가 주최한 국가 사이버보안 정책 워크숍이 15일 서울중앙우체국 대회의실에서 개최됐다.
 
이날 염흥열 학회장은 “올해 여러 대형 보안사고들이 연이어 발생했다. 더불어 스턱스넷, 듀큐 등 국가 중요 기반시설을 노리는 위협도 점차 확대되고 있는 상황이다. 또 APT 공격과 같은 지능화 표적화된 공격도 증가하고 있다”며 “사이버공격은 이제 국가적 위협으로 인식돼야 한다. 미국이 주도하는 사이버보안 정책에 한국도 발맞춰 국제사회에서 사이버보안 리더십을 강화해 나가야 한다”고 강조했다.
 
또 이용경 의원은 “사이버보안의 중요성이 날로 부각되고 있다. 하지만 우리의 인식은 여전히 제자리에 있다”며 “대형 사고가 났음에도 불구하고 임직원들이 나와 인사만 하면 끝나는 상황이 반복되고 있다. 보안을 제대로 하지 않아 국민들에게 피해를 주는 기업은 망할 수 있다는 인식이 확산돼야 한다”고 강하게 지적했다.  
 
더불어 “사이버보안의 변화를 이끌어 내기 위해서는 이런 자리에 기업 CEO나 기관장, 예산배정 자, 정책 결정자, 입법기관 등 결정권자가 와서 심각성을 보고 듣고 느끼고 그것을 기업이나 정부차원에 반영이 이루어져야 한다”고 강조했다.
 
유정복 의원은 “선관위 DDoS 사건으로 사회적 파장이 크다. 이제 사이버보안 문제는 개인의 문제를 넘어 기업과 국가 전체에 영향을 미치는 중대한 사안”이라며 “얼마전 국방관련 사이버보안 문제에 대해 보고를 받은 바 있는데 정말 섬뜩함을 느낄 정도였다. 이제 정보보호는 학술 차원을 넘어 현실세계에 미치는 영향이 큰 만큼 의사결정권자들의 인식과 참여가 절실한 상황”이라고 밝혔다.
 
이어 국가 사이버 보안 정책과 관련 패널토론이 이어졌다. 패널토론에는 강석열 국가보안기술연구소 소장, 곽창규 금융보안연구원 원장, 서종렬 KISA 원장, 송희준 이화여자대학교 교수, 염흥열 한국정보보호학회 회장, 박대우 호서대학교 교수가 참여했다.
 
◇실전훈련 강화하자=강석열 국가보안기술연구소 소장은 “국가 기반시설에 대한 보안 가이드라인을 강화해야 하고 사이버공격 징후 감시 대비를 강화해야 하고 실전 수준의 사이버공격 대응 훈련을 주기적으로 해야 실전이 발생했을 때 감당할 수 있을 것”이라며 “적대국에서 공격하는 것과 유사한 수준으로 에너지, 금융 등 핵심기반 시설에 대한 공격훈련이 필요하다”고 강조했다.
 
또 “보안인식이 취약한 부분에 대한 교육이 활발히 이루어져야 하고 인력양성 프로그램 확대와 예산확보, 사이버 예비군 체제를 마련해 위기 상황에 대비해야 한다”고 덧붙였다.
 
곽창규 금융보안연구원 원장은 “금융권 해킹사고가 올해 많이 발생했다. 금융 정보보호는 돈과 직결된 문제인 만큼 그 중요성이 더욱 커지고 있다”며 “금융권은 잇따른 보안사고로 보안감독이 크게 강화된 상황”이라며 “경영자들의 관심이 가장 중요하다. 사고발생시 책임소재를 명확히 하고 문책까지 이루어져야 한다. 그리고 금융권에서 보안예산과 인력의 적정선을 의무화하고 있는데 이것이 다른 분야에도 특성에 맞게 적용되면 보안강화에 도움이 될 것”이라고 강조했다.
 
◇복잡하고 중복된 법체계 정비 필요=서종렬 KISA 원장은 “현재 사이버보안관련 법 체계가 너무 복잡하고 중복된 것도 많다. 법 체계에 대한 정비와 개선이 필요하다. 특히 너무 복잡하다 보니 일관성도 없고 통일성도 없다”며 “어떤 기업은 너무 많고 중복되는 법규 때문에 지쳐있다. 효율적이고 확실한 보안을 위해 법 정비가 이루어져야 한다”고 강조했다.
 
또 “국정원에서 국가 사이버보안 마스터 플랜을 수립 중이다. 이것이 제대로 작동하기 위해서는 우선 국정원, 경찰, 검찰, KISA, 보안업체 간 정보공유가 사고초기부터 유기적으로 이루어져야 한다”며 “과거보다는 좋아진 상황이지만 아직까지 결정적인 부분에서는 협조가 이루어지지 않고 있다. 경찰과 검찰이 정해진 기간 내에 모든 수사를 하기란 힘들 것이다. 여러 관련 기관과 기업이 공동으로 참여할 수 있도록 해야 한다”고 지적했다.
 
◇KISA, 보안취약점 DB 공유센터 추진=이런 차원에서 서 원장은 정보공유센터의 필요성을 역설했다. “KISA는 현재 사이버보안 정보공유센터와 취약점 DB센터를 준비 중에 있고 내년에 가시적인 성과가 나올 수 있도록 노력하고 있다”며 “이를 위해 취약점 수급과 공유가 이루어져야 한다. 누구나 취약점을 올릴 수 있고 악용될 수 없도록 정확한 인증절차를 거쳐 공유할 수 있도록 하겠다. 또 취약점을 공개한 자에게 효과적인 보상이 될 수 있는 방안도 마련 중”이라고 설명했다.
 
이에 염흥열 학회장은 “취약점 발표자에게 인센티브를 줄 수 있도록 강구해야 활성화될 수 있을 것”이라고 밝히고 “취약점이 악용될 여지가 있으니 신고자와 벤더 사이에 KISA가 중간역할을 잘해야 할 것이다. 취약점 신고가 접수되면 벤더에 알려 취약점 패치를 업데이트하게 하고 그 이후 공개하는 것도 생각해 봐야 한다”고 조언했다.
 
◇상장회사 정보보호 공시제도 도입해야=한편 서 원장은 “지금 체계로는 위기상황 발생시 문제가 드러날 것이다. 보고체계와 지휘체계가 명확할 수 있도록 컨트롤타워가 있어야 하고 국제사이버 WHO를 한국이 주도해서 만들어보자. 그래서 국가간 사이버보안 협력체계를 만들어 나가는데 한국이 주도적 역할을 할 수 있길 기대한다”고 제안하고 “상장회사들의 정보보호 공시제도 도입도 고려해야 한다. 투자자들이 자신이 투자한 기업이 얼마나 보안에 투자를 하고 있는지가 투자의 지표가 될 수 있도록 유도한다면 기업의 보안투자도 크게 개선될 것”이라고 강조했다.
 
◇정보공유와 기관간 협력 중요=송희준 이화여자대학교 교수는 “전자정부 사업에 7년 정도 몸담았다. 당시에는 부처별 정보를 통합하고 국민들이 편리하게 사용할 수 있도록 해야겠다는 생각에서 추진했지만 여전히 보안 측면에서 보면 불안한 감이 있다”며 “특히 공공분야는 모든 사업에서 보안성 검토를 하고 난 후 사업을 추진해야 한다. 또 9.11 테러 이후 미국 상하원들이 모여 사고 원인을 분석한 결과 CIA와 FBI의 정보공유가 안된 점이 부각됐다. 우리도 비슷한 상황이다. 부처간 정보공유가 원활하지 않고 공조체계가 확립되지 않았다. 중복되는 법률체계와 행정체계를 유기적 협조체계로 만들어야 할 것”이라고 요구했다.     
 
염흥열 학회장은 “KISA에서 준비하고 있는 보안정보공유센터 신설에 적극 찬성한다. 가장 필요한 정보가 바로 취약점일 것이다. 취약점을 먼저 알고 공격에 대비하는 것이 최선이다. 그러기 위해서는 한국형 취약점 데이터 베이스를 구축해야 한다”며 “미국은 이 작업을 이미 실시하고 있고 일본도 미국 DB를 받아 자신들 만의 DB도 축적중에 있다. 한국도 하루빨리 한국에 맞는 취약점 DB화와 정보공유센터가 만들어져 활성화되길 희망한다”고 강조했다.
 
또 염 회장은 “국정원이 사이버보안 총괄 역할을 잘 하고 있나 살펴볼 필요도 있다. 사각지대가 없도록 법 개선이 필요하다”며 “특히 각 부처단위 협력이 중요하다. 대선과 같은 큰 선거에서 지난번 선관위 사건과 같은 사건이 또 발생한다면 사회적 혼란은 이루 말할 수 없을 것”이라고 지적했다.
[데일리시큐=길민권 기자]