확대되는 사이버 위협에 대응하는 정부의 시계가 바쁘게 돌아가고 있다. 각 부처는 날로 진화하는 사이버 위협에 대처하도록 제도 마련 및 개선, 정책 완화 등을 시도하고 있다. 특히 정부와 민간의 공조로 이뤄진 대응 체계는 효율적인 업무 분담과 성과를 기대할 수 있게 됐다. 여기에는 새로운 보안 체계를 위한 AI와 클라우드 등 신기술의 접목도 주목할 만하다.
대응 훈련으로 사이버 위협 막다
산업통상자원부(이하 산업부)는 지난 7월 4일 산업‧무역‧에너지 분야 주요 공공기관과 합동으로 사이버공격 대응훈련을 실시했다. 장영진 1차관은 산업부 사이버안전센터에서 훈련 상황을 시찰하고, 해당 공공기관의 사이버 보안 최고책임자들과 영상회의를 통해 사이버 보안 대응태세를 점검했다.
최근 특정 대상을 목표로 한 랜섬웨어 공격과 소프트웨어 취약점을 이용해 불특정 다수를 공격하는 사례가 빈번해지는 등 사이버 위협이 증가하고 있다. 이에 올해 3월 21일 공공기관 사이버위기경보 단계가 관심에서 주의로 격상됐고, 산업부는 사이버안전 위기대응 지침에 따라 보안관제를 강화하고, 긴급대응반을 운영해오고 있다.
이 훈련은 사이버 공격에 대한 산업부 및 산하 주요 공공기관의 대응역량과 유기적인 협력체계를 점검하고자 실시됐다. 훈련에 참여한 산업‧무역‧에너지 분야 13개 주요 공공기관은 최근 동향을 반영한 사이버 공격 및 사고 유형에 따라 가상상황을 설정하고 탐지, 전파, 조치, 보고 등을 통해 대응하는 방식으로 실시간 훈련을 실시했다.
사이버 공간서 발발하는 전쟁, 어떻게 대응할까?
윤석열 대통령은 지난 7월 13일 하이브리드전으로 변모하는 전쟁 양상에 대응하기 위해 사이버 전력과 기술을 고도화하겠다고 밝혔다. 윤 대통령은 경기도 판교 정보보호 클러스터에서 열린 제11회 정보보호의 날 기념식 축사에서 “민관이 협력하는 사이버 안보 대응체계와 정보공유 분석체계를 구축해 사이버 위협에 대처하도록 추진할 것”이라고 말했다.
이어 그는 “군 전문분야 복무와 전역 후 취업과 창업을 연계하는 ‘사이버 탈피오트’와 국가 비상 상황에서 민관의 역량을 결집하기 위한 ‘사이버 예비군’도 창설해 사이버 위협에 대한 대응 역량을 강화하겠다”고 덧붙였다. 탈피오트는 이스라엘의 엘리트 과학기술 전문장교 프로그램을 의미한다.
윤 대통령은 구체적인 해결책으로 대학·대학원의 사이버 전공 과정 확대와 개발인력 및 화이트 해커 육성 체계 구축, 사이버 안보기술에 대한 전략산업화를 언급했다. 이와 함께 사이버 범죄 대응 관련 국제 규범 체계인 부다페스트 협약을 신속히 추진할 것을 강조했다.
한편, 이종호 과학기술정보통신부 장관은 간담회에서 신규 인력 4만 명, 재직자 6만 명 등을 키우는 사이버 10만 인재 양성 방안을 발표했다. 정부는 먼저 정보보호특성화대학을 10개교로, 융합보안대학원 12개교로 확대 개편하고, 대학원 지원대상은 석사에서 석·박사로 확대한다고 밝혔다. 또한, 대학의 기초연구역량 강화를 위해 대학이 주도하고 기업·연구소가 참여하는 연구개발도 추진할 계획이다.
AI로 완성하는 사이버 보안
과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(이하 KISA)은 지난 7월 21일 국내기업이 지능화·고도화되는 사이버 공격에 AI를 활용해 대응하도록 ‘사이버보안 인공지능 데이터셋 구축 성과 공유회’를 열었다.
국내 보안기업은 AI 기술 도입 및 학습을 위한 양질의 학습용 데이터셋이 없어 어려움을 겪었으며, 두 기관은 이를 해결하기 위해 지난해부터 사이버 보안 분야 학습용 인공지능 데이터셋 구축사업을 추진해왔다. 이번 사업은 사이버 보안 데이터 선순환 환경 조성을 통해 악성코드와 침해사고 2개 분야로 나눠 추진됐으며, 그간 구축된 데이터셋은 2개월간의 실증기간을 거쳐 이번에 성과를 공유하게 됐다.
약 4억 건의 악성코드 분야 데이터셋은 백신 진단명, 속성정보, 사회적 관심사항 핵심어를 기반이며, 약 4억 건의 침해사고 분야 데이터셋에서는 침해 행위, 침해사고 단계별, 최신 침해사고 각본 등을 기반으로 구축됐다. 구축한 인공지능 데이터셋은 공공, 통신, 게임, 보안기업 등 국민 생활과 밀접한 기업·기관을 대상으로 침해대응 실효성 검증을 통해 악성코드 분석율·탐지 정확도 제고 등의 개선효과도 확인됐다.
사이버 보안 위한 제도 개선 요구돼
과기정통부는 지난 8월 18일 국정원 등 관계부처 협의 및 산업계, 전문가 등의 의견수렴을 거쳐 ‘정보보호 규제개선 추진상황 및 계획’을 발표했다. 이에 혁신적인 서비스의 확산과 관련 산업의 발전을 저해하는 보안지침의 기존 규제를 개선해 위성정보 보안, 클라우드컴퓨팅서비스 및 정보보호제품 보안인증 제도 개선, 무선영상전송장비 시험인증 서비스 시행을 본격 추진한다.
위성영상 보안 규제개선의 경우 정부는 우선 국가 위성으로 촬영한 위성영상의 신속한 배포를 위해 위장처리 등 사전 보안처리가 필요한 위성영상 해상도 기준을 현행 4m에서 1.5m로 완화할 예정이다.
기존에는 국내를 촬영한 위성영상을 배포할 때 보안상의 이유로 물리적 저장매체에 위성영상을 저장해 배포해야 하는 불편함이 있었으나, 앞으로는 보안처리 필요 시설을 포함하지 않은 경우 보정하지 않은 좌표를 포함한 위성영상에 대해서는 온라인 배포를 허용하기로 했다.
클라우드 보안인증제도 개선에서는 국가기관 등에서 민간 클라우드 이용이 확대되도록 획일적 보안인증 체계에서 클라우드로 사용될 시스템의 중요도 기준으로 3등급 구분하고, 사이버 안보가 저해되지 않도록 등급별로 차등화된 보안인증기준을 적용하는 ‘클라우드 보안인증 등급제’가 도입된다.
공공 분야에 정보보호제품 도입에 있어서는 평가기준이 있는 20여종만 도입이 가능하고, 기준이 없는 신기술 및 융·복합 제품은 기준 개발 및 평가에 장시간 소요돼 사이버위협 대응이 미흡했다. 이에 정부는 보안인증 기준이 없는 신기술 및 융·복합 제품을 공공 시장에 신속하게 공급하도록 신속확인제 도입을 추진한다.
신청 기업은 정보보호 전문서비스 기업으로부터 취약점 점검 및 소스코드 보안약점 진단을 받아, 결과에 따라 보완 조치하는 사전준비를 거쳐 신속확인심의위원회의 보안성 심사를 통과해야 한다. 신속확인제품은 2년마다 연장하며, 향후 보안인증 기준이 마련되면 정식인증을 받아야 한다.
국정원은 보안검증체계 개선에 있어 외교·국방 등 민감한 기관을 제외한 수요기관이 신속확인을 받은 제품을 도입하도록 보안적합성 검증체계를 개선할 방침이다. 정보보호시스템 평가·인증 지침 개정을 위한 행정예고를 거쳐 4분기에 신속확인제 시행을 목표로 하며, 국정원도 이번 규제개선 방안에 따라 국가 정보보안 기본 지침을 개정할 예정이다.
한편, 고정형·유선형 폐쇄회로 텔레비전(CCTV)의 경우 보안 인증기준이 마련돼 있어 공공기관에 도입이 가능했으나, 웨어러블캠 등 무선영상전송장비의 경우 보안인증 기준이 없어 공공기관 도입에 어려움이 있었다. 이에 과기정통부와 한국정보통신기술협회에서는 41개 보안인증 시험항목을 마련했으며, 8월 22일부터 한국정보통신기술협회 보안인증 시험을 받으면 무선영상전송장비가 공공부문에 도입이 가능해진다.
핵심기술 유출 막는 방안 마련되다
특허청은 지난 8월 19일 정부서울청사에서 추경호 경제부총리 주재로 열린 대외경제장관회의에서 부정경쟁 방지 및 영업비밀 보호 시행계획이 의결됐다고 밝혔다.
정부는 반도체와 디스플레이 등 핵심기술의 해외유출을 막기 위해 기술 유출의 약한 고리인 대기업 협력사와 대학, 연구소의 영업비밀 보호 체계를 집중적으로 지원할 계획이며, 기술 유출 수사·정보기관 간 실무협의체를 운영하고, 특허청 기술 경찰의 수사대상 범죄를 확대하는 방안을 추진한다.
정부는 기술 유출 피해기업에 법률 자문, 디지털포렌식 등을 지원하고 신속한 해결이 가능하도록 분쟁 조정을 활성화하며, 유출피해에 대한 사법적 구제와 관련해 입증 부담을 완화하고, 재판 전문성 강화를 위한 전문법원 관할 집중을 관계부처가 함께 검토하기로 했다.
정부는 반도체 등 핵심기술 민간퇴직자의 전문성을 특허심사에 활용하고, 숙련기술인을 산업현장 교수로 선정해 중소기업 기술 자문 등을 수행하도록 하며, 디지털 전환에 대응한 영업비밀 보호 강화를 위해 해킹 등 신종 기술 유출 위협에 민·관·학이 공동으로 대응하고, 영업비밀 데이터에 대한 보호도 강화한다.
헬로티 서재창 기자 |
