2022-01-26 01:45 (수)
[박나룡 보안칼럼] 2022년, 정보보호 분야에서 기대하고 싶은 일들
상태바
[박나룡 보안칼럼] 2022년, 정보보호 분야에서 기대하고 싶은 일들
  • 길민권 기자
  • 승인 2021.12.30 16:16
이 기사를 공유합니다

본인 증명 방식, 개인정보보호, ISMS-P...

새로운 기대를 품고 새로운 한 해, 2022년이 찾아왔다.

사이버 위협은 공격 대상이 기존의 특정 분야에 한정되지 않고, 개개인의 일상에까지 영향을 미치면서 더욱더 분야와 대상을 가리지 않고 일반화 될 것으로 보인다.

정보보호 분야에서도 새해를 맞이하며 다양한 분야에서 새로운 성장동력 확보와 안전한 세상 만들기를 바라는 마음으로 몇 가지 기대사항들을 추려보고자 한다.

1. 보다 안전하고 편리한 본인 증명 방식

온라인 상에서 본인 인증은 일상화 된지 오래고, 아무리 강조해도 지나치지 않은 부분이다.

앞으로 모바일 신분증이 활성화되면 온라인을 통한 본인 증명이 오프라인에서의 신분증 확인 방식을 대체할 날도 멀지 않았다.

현재의 본인확인 시스템이 큰 무리 없이 안정적으로 운영되고 있지만, 간편 인증 방식을 추구하면서 문제점을 파악하지 못할 경우, ‘나’를 도용 당할 수 있다는 사실을 간과해선 안된다.

비대면을 통한 본인 인증의 한계를 충분히 인식하고, 어떤 기술적 방식으로, 또는 어떤 프로세스로 구현해야 문제가 없을지 면밀하게 검토하고 적용해야 안타까운 피해자를 예방할 수 있다.

2. 개인정보보호 수준 고도화

개인정보가 중요하고 보호해야 한다는 인식은 높아졌으나, 실질적인 보호 활동은 아직 충분하다고 보기 어렵다.

현재의 개인정보 보호 수준은 개인정보 항목((이름, 전화번호, 주소 등)에 대한 노출·유출 위험을 제거하기 위한 활동에 집중되어 있다.

특히, 정보의 중요도에 따른 리스크 수준을 가늠하고 그에 따라 적절한 보호 대책을 적용해야 한다는 이해와 대책의 수준 차이가 조직에 따라 큰 차이를 보이고 있는 것이 현실이다.

이는 개인정보를 보관하는 DB에 이름, 휴대폰번호, 주민등록번호가 있느냐 없느냐의 피상적인 부분만을 의미하는 것이 아니라 개인의 민감한 프라이버시에 해당하는 정보(의료 정보, 성적 취향, 정치 성향 등)를 알 수 있는지까지 파악하고 그에 따라 대응할 수 있는 수준까지 고려해야 한다는 의미다.

포털 사이트 이용자라면 개인의 민감한 이메일 내용과 기사에 어떤 댓글을 달았었는지, 특이 성향의 블로그에 가입되어 있는지, 친구들은 누구인지 등을 알 수 있다.

또한, 개인의 카드 사용 내역을 확인하면, 어떤 사람이 어떤 제품을 샀다는 구매정보만 있는 것이 아니라, 그 사람이 어떤 취향의 옷을 사고, 어느 병원에 다니고, 어떤 음식을 좋아하는지, 어디로 여행을 자주 가는지 등 개인의 민감한 프라이버시 영역에 해당하는 내용까지 파악할 수 있다.

이러한 ‘정보’가 유·노출 되었을 때 리스크는 단순한 개인정보 ‘항목’의 유출보다 더 큰 파장을 불러올 수 있다.

마이데이터 서비스나 빅데이터 등 개인정보를 집중화시켜 활용하고자 하는 활동들이 자칫 프라이버시 침해 수준만 높이는 부작용이 없도록 충분한 보호대책을 수립해야 하는 이유다.

3. 정보보호관리체계(ISMS-P) 지속적 확대

2002년부터 국내 정보보호 수준을 이끌어온 제도가 이제 스무 살이 되는 해로, 가장 성공적인 국가의 정보보호 수준 향상 프로그램으로 역할을 수행하고 있지만, 몇 가지 개선이 필요한 부분도 있다.

먼저 인증 사각지대를 해소하기 위한 점진적인 범위 확대가 필요하다. 민간 위주의 인증에서 효과성이 입증된 만큼, 공공분야로 확대해 나가야 한다.

국가가 민간 및 공공의 정보보호 수준을 높이기 위한 노력은 당연한 책무로서, 사각지대에서 발생할 수 있는 정보보호 위협에 대응할 수 있도록 준비시켜줄 책임이 있다.

특히, 모든 통신망이 연결되는 상황에서 예기치 못한 분야의 보안 사고가 국가적인 사이버 재난으로 발생할 수 있는 가능성이 높아지고 있는 상황에서 현재 범위에 머물러 있는 것은 위험하다.

정보보호 준비도평가와 등급제에 대한 통합 검토 의견이 나온 만큼, 적극적으로 수용하여 ISMS-P 인증제도를 통해 사각지대를 없앨 수 있는 기회로 삼아야 할 것이다.

인증제도는 국가의 사이버 안전 시스템으로서 국민의 안전한 IT 환경을 만들기 위한 최소한의 기준이라는 인식하에, 다양한 분야를 지속적으로 포함해 가면서 전체적인 수준을 높일 수 있도록 토대를 넓혀 나가는 것이 필요하다.

조직이나 국가의 보안 수준은 한 번에 완성되지 않는다.

박나룡 소장
박나룡 소장

일정 수준 이상의 보안 체계를 수립한 이후에는 지속적으로 발생하는 위협에 맞서, 정보보호 활동도 계속해서 개선될 수 있도록 시스템화 하는 것이 필수적이다. 시스템화를 위한 최적의 툴이 인증제도인 만큼, 최대한 활용해야 한다.

2022년, 다양한 위협에 맞서 싸울 정보보호인들에게 행운이 함께 하길 바란다.

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]

★정보보안 대표 미디어 데일리시큐!★