2020-10-22 00:20 (목)
대한민국 정보보안을 말하다...우리는 어디로 가야하나
상태바
대한민국 정보보안을 말하다...우리는 어디로 가야하나
  • 길민권
  • 승인 2015.04.27 20:24
이 기사를 공유합니다

“민간이 자생력을 키울 수 있도록 정부 정책 펼쳐야”
한국인터넷진흥원 주최, 한국정보보호학회 주관, 미래창조과학부 후원으로 지난 23~24일 이틀 간 한국과학기술회관에서 개최된 ‘제21회 정보통신망 정보보호컨퍼런스(NETSEC-KR. Network Security Korea)'에서 의미있는 토론회가 열렸다.
 
컨퍼런스 마지막 시간에 열린 패널토론 주제는 ‘대한민국 보안 Manifesto’였다. 패널로는 소만사 김대환 대표, 포티넷 조현제 지사장, 테크앤로 구태언 대표 변호사, KB은행 김종현 상무가 참석했다. 진행은 CONCERT 심상현 국장이 맡았다. 주요 논의 내용은 법 제도가 정보보호 산업과 수준제고에 얼마나 영향을 미치는지 그리고 정보보안이 우리에게 있어 얼마나 중요한 것인지 등이다.

 
관련 법과 제도가 정보보안 산업 발전에 어떤 영향을 미칠까.

김대환:
정보보호 산업이 발전한지 15년을 돌아 보면, 정부 정책이 산업과 밀접한 상관관계를 이어왔다. 더불어 망법과 개인정보보호법은 사회적 변화를 가져왔다. 법과 규제가 디테일해 지면서 산업에도 영향을 미쳤지만 최근에는 CISO 권한과 위상 등에도 영향을 미치고 있다고 본다.
 
구태언: 산업 초기에 법을 통해 민사, 형사상 규제가 가능해 산업에 기여한 것은 사실이다. 하지만 어느정도 단계에 이르면 그 효과는 크지 않다. 교복을 예로들면, 교복을 일률적으로 입게 규정하면 교복 산업은 발전하지만 의류산업 전체의 발전과 다양성은 줄어든다. 법으로 일률 규제하는 것은 다양성을 해치게 되는 것이다. 이제 법으로 산업을 이끌기에는 힘든 시점이 왔다. 해킹 기술은 날로 발전하는데 이를 틀에 박힌 제도와 기술로 막는 다는 것은 한계가 온 것이다.
 
김종현: CISO 업무만을 지금까지 해 오고 있다. 실제 CISO 업무를 하다보면 보안만 생각해도 부족한데 CIO까지 겸직하는 것이 가능할까란 생각이 든다. 그 전까지 실제로 CIO와 CISO를 겸직하는 분들이 많았다. 이제 금융당국의 규제로 CIO와 CISO 겸직이 금지됐다. 실제 현장에서 잘 적용할 수 있는 법과 제도를 만드는 것도 중요하다.
 
조현제: 겸직금지는 좋은 규제다. 예전에는 보안이 IT 인프라의 작은 파트였지만 이제는 보안과 관련해 독자적인 프로젝트들이 많이 늘어나고 있다. 앞으로 더욱 그럴것이다. 그런 의미에서 CIO와 CISO 겸직이 금지는 바람직한 방향으로 나아가고 있는 것이다.
 
김대환: 실제 경험담이다. 모 기업에 외부 보안전문가 CISO가 책임자가 되면서 5년간 지지부진했던 사업이 6개월만에 풀린 경우도 있다. 빠른 의사결정이 가능했기 때문이다. 이는 산업 입장에서 중요한 부분이다. 보안은 이제 CEO 입장에서도 책임을 벗어날 수 없는 주요 책임이슈가 됐다. 보안사고들은 이제 CEO에게 직접적 리스크가 되고 있다. 최근 여러 보안사건들이 이를 말해준다. CEO에게 영향을 미치는 리스크는 매출, 법률, 회사이미지, 재난, 기밀유출 등이 가장 크다. 정보보안 사고는 이 모든 리스크들과 연계된다. CEO에게 있어 CISO는 이제 반드시 필요한 사람이다. 이 기회를 얼마나 잘 활용하는지가 보안전문가와 산업에 물꼬를 틀 수 있는 기회가 될 것으로 판단된다.
 
그렇다면 우리나라 법과 해외 법을 비교해 보면 우리나라 법이 너무 강하다는 의견이 있다. 그럼에도 불구하고 보안사고는 많이 발생한다. 어떤 문제가 있는 것일까.
 
구태언: 우리나라 법은 강한 듯 하지만 실제로는 약하다. 지금까지 사고를 보면, 실제로 정부가 엄청난 금액을 과태료로 부과하기도 어렵고 대표이사를 구속하기도 힘들다. 담당자를 처벌하기도 힘들다. 대형 정보유출 사고가 발생했어도 기업의 임직원이 실제 기소된 바는 없다. 그렇다고 집단소송으로 엄청난 손해배상을 한 기업도 없다. 기껏해야 사고를 당한 기업은 임직원을 면직시키고 필드에서 일한 직원을 내 보내는 정도로 끝난다.
해외에서는 행정과 행사법으로 처벌하지 않는다. 바로 집단소송으로 들어간다. 기업은 원고들과 합의해 징벌적 손해배상 금액으로 몇천억을 배상하게 된다. 이를 본 다른 기업들은 당연히 보안에 투자를 할 수밖에 없는 것이다. 실제로 기업에 데미지를 줄 수 있는 것은 민사적 배상이다.
형사나 행정처벌은 임직원만 혼나는 것이지 기업에 치명적 타격을 주진 않는다. 그래서 우리는 10년이 넘도록 기업이 보안부실로 인해 큰 손해를 본 적이 없다. 주가에도 영향을 미치지 않는다. CEO나 임직원 몇 명만 교체하고 보안은 그대로다. 그러니 자꾸 제도만 만들게 된다. 악순환이다.
보안사고가 증가하면서 행정과 형사 처벌 보다 민사상 배상에 초점을 맞췄다면 지금 한국의 보안문화는 상당히 발전했을 것이다. 따라서 보안과 관련해서 우리나라 법은 강한 것 같지만 약하고 미국은 약한 것 같지만 강하다고 볼 수 있다.
 
조현제: 한국에서 보안사고가 많이 발생하는 것은 법 제도 때문이 아니다. 금융시스템만 봐도 한국과 캐나다를 예를 들면, 차이가 크다. 캐나다에서는 다른 계좌로 이체가 쉽지 않다. 한국은 실시간으로 가능하다. 온라인 뱅킹은 한국만큼 잘 된 나라도 없다. 유무선 네트워크도 한국이 최강이다. 이런 환경이다보니 보안사고가 많이 발생하고 있다. 역으로 생각하면 보안산업 관점에서는 좋은 환경인 것이다. 최신 보안사고를 많이 접할 수 있어 이를 잘 활용하면 글로벌 산업으로 발전시킬 수 있는 좋은 기회가 될 것으로 보인다.
법과 규제는 세밀하게 잘 되어 있다. 문제는 철학에 개선이 필요하다. 기술이 공급자 위주로 되어야하는데 한국은 사용자 위주로 되어 있다. 규제도 사용자 입장에서 새로운 규제가 만들어질 필요가 있다. 또 현재 규제들이 국내 보안산업 육성 측면에 있지만, 한편으로는 우물안 개구리를 만들 수도 있다. 보안 위협은 이제 글로벌 위협이다. 이런 상황에 정부 규제가 무역장벽 역할을 할 수 있다.
 
한국과 해외 선진국 보안기술 격차에 대해서도 의견이 오갔다.
 
김대환: 이 정도 수준 격차도 경이롭다고 생각한다. 미국 보안산업 규모는 100조다. 한국은 이제 1조 정도에 머물고 있다. 관련 벤처 투자도 1천억도 안된다. 열악한 상황에서 지금까지 보안기업과 관계자들이 정말 열심히 일해 왔다. 지금 상황만으로도 대단하다고 생각한다.
 
김종현: 수요자 입장에서는 국산, 외산 따지지 않는다. 사고만 안 나게 해주면 환영이다. 국내 솔루션과 해외 솔루션 직접 비교는 어렵지만, 금융시스템만 놓고 볼 때 해외와는 비교할 수 없는 실시간 처리 환경에서 한국이 잘 막아 내고 있다고 생각한다. 국내 솔루션들 잘 해내고 있다. 하지만 은행권의 대규모 인프라를 보면 글로벌 보안기업이 더 유리할 수도 있고 반면 국내 상황에 최적화되고 신속한 지원을 놓고 보면 국내 기업들이 유리하다.
 
조현제: 국산과 외산에 기술격차는 존재한다. 보안은 가용성 보다는 운용성이 더 중요하다. 현장에 가 보면 13년전 보안장비를 여전히 사용하는 곳도 많다. 외산 솔루션이 기술적 측면에서는 앞서지만 운용적 측면에서 보면 외산은 현장 요구사항을 신속하게 반영하지 못하는 단점도 있다. 수요자는 성능과 가용성을 고려하는 것이 정답이다. 외산과 국산을 따지는 시대는 지났다.
 
김대환: 외산들은 방대한 글로벌 데이터로 국산 밴더를 압박한다. 이에 국산은 데이터 축적과 함께 빠른 대응이 우선되어야 한다. 외산과 비교해 3배 이상 차이를 못내면 승산이 없다. 국내 상황 반영은 신속하고 완벽하게 하고 더불어 글로벌 상황을 더 해야 한다. 외산은 아무래도 디테일하고 빠르게 국내 상황 반영이 힘들다. 무엇을 사용할지, 국산 외산을 동시에 사용할지 결정은 담당자의 안목이다.
 
조현제: 우리도 글로벌로 눈을 돌려야 한다. 외산 밴더들, 한국와서 돈만 벌려는 기업은 없다. 협력해 가려고 한다. 한국도 글로벌로 나가려면 그 나라가서 솔루션만 팔려고 하면 안된다. 그들에게 도움을 주고 협력하는 모습을 보여야 글로벌 기업으로 성장할 수 있다.
 
김종현: 국산 밴더들 발전 많이 하고 있다. 하지만 해외 기업에 비해 R&D 규모에서 차이가 많다. 우리나라 솔루션들은 대부분 고객들이 요청하면 대응하는 식으로 솔루션을 발전시킨다. 하지만 CISO 입장에서는 그때 그때 이슈가 되는 구멍만 막는 것이 아니라 여러 차원에서 체계적으로 한꺼번에 막을 수 있는 솔루션을 원한다. 이런 부분에 있어 한국 기업들의 노력이 필요하다. 그래야 글로벌에서도 통할 수 있을 것이다.
 
그렇다면 기업 입장에서 보안은 얼마나 중요한 요소일까. 보안을 위해 기업이 존재하는 것이 아니기 때문이다.
 
구태언: 향후 5~10년 후면 모든 서비스가 온라인화 될 것이다. 핀테크, 헬스케어 등 오프라인도 온라인과 연합하게 된다. 따라서 정보보안과 무관한 기업은 거의 없다. 모든 것이 인터넷으로 연결되는 IoT 시대가 더욱 심화되면서 정보보안은 기업의 모든 것이 된다.
 
김종현: 금융기업에서도 보안은 더욱 중요한 분야가 될 것이다. 보안은 자동차 브레이크와 같다. 하지만 어떤 기업도 보안담당자에 대해 고맙게 생각하지 않는다. 자동차에 브레이크가 없으면 어떻게 될까. 보안을 앞 차가 밟은 브레이크처럼 귀찮은 것으로 생각하는 것은 잘못됐다. 내 차에 브레이크가 얼마나 중요한지 우리는 알고 있다. 그 차이다.
 
김대환: 기업에서 정보보안 비중은 더욱 커질 것이다. 보안사고가 발생하면 기업에 타격을 줄 모든 리스크가 발생하기 때문이다.
 
마지막으로 정책당국에 바라는 점에 대해 구태언 변호사는 이렇게 말한다.
 
구태언: 이제 정부가 보안표준을 정하면 안된다. 민간이 스스로 연구와 토론을 통해 합의점을 찾고 권고안을 마련하도록 해야 한다. 그래야 기업들도 이를 받아들이고 스스로 개선해 나갈 수 있다. 정부는 후원만 하면 된다. 기업들 스스로 마련한 베스트 프렉티스를 따르지 않다가 사고가 발생한 기업에 법원은 발달된 보안 표준을 받아들여 사고 기업에 손해배상을 선고할 수 있게 된다. 즉 민간 스스로 베스트 프렉티스를 찾을 수 있도록 해야 한다는 것이다. 민간이 자생력을 키울 수 있도록 정부 정책을 펼쳐주길 바란다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com