한국인터넷진흥원(KISA)이 기관 자체 정보자산의 취약점을 찾는 해킹대회 개최를 예고했다. 공개 이벤트를 통해 보안전문가를 발굴하고 취약점 개선 등 정보보호 문화를 확산한다는 취지다. KISA는 그간 몇몇 국내 민간 해킹대회에 관여해 왔지만, 대회를 직접 여는 건 첫 시도다.
김석환 KISA 원장은 지난 23일 서울 광화문 기자간담회에서 연초 진행한 조직개편 배경과 기관 운영방향을 제시했다. 자신이 조직개편을 통해 실현하려는 3가지 목표를 언급하며, 이를 위해 연내 추진할 주요 사업들을 소개했다. 자체 해킹대회가 그 중 하나였다.
KISA는 민간 사이버침해 대응, 국민 개인정보보호, 인터넷·정보보호 산업육성과 인재양성, 인터넷주소관리, 웹표준 등 기반조성을 핵심기능으로 삼고 있는 과학기술정보통신부 산하기관이다. 지난 2009년 한국정보보호진흥원(당시 KISA), 한국인터넷진흥원(당시 NIDA), 정보통신국제협력진흥원(KIICA)이 통합해 지금의 외형을 갖췄다. 2018년 1월말 현재 기준 운영 규모는 예산 1천764억원, 인력 642명이다.
■ "4사산업혁명시대, 기술변화 속도·폭·범위 완전히 달라…KISA는 준비 선도 기관"
김 원장은 "과거 KISA는 한국에서 독점적인 최고수준의 정보보호 전문기관이었지만 지금은 많은 분야가 (타 기관, 민간에) 떨어져나갔고 기술적 상황도 그때와 많이 다르다"며 "지난 9년간 KISA의 변화보다 앞으로 1, 2년의 변화가 더 근본적이고 급속하지 않을까 생각한다"고 말했다.
그는 2년전 KISA 블록체인 태스크포스(TF)팀 구성 이후의 흐름을 빠른 기술변화 속도의 예로 들었다. 2016년 TF팀이 발족됐는데 이후 1년반 사이에 그 예산 규모가 15배 늘었고, 2016년 대비 2017년 암호화폐 거래량은 87배 늘었다고 지적했다. 이렇게 빠른 변화가 일어나고 있는만큼 인터넷과 정보보호 산업관련 전문기관을 표방하는 KISA의 현황과 향후 운영방향을 고민 중이라는 뉘앙스다.
김 원장은 이런 의미에서 KISA의 지난 2월 1일자 인사이동과 조직개편이 이뤄졌다고 언급했다. 당시 KISA는 사이버보안, 개인정보, 인터넷진흥을 아우르는 제도개선 과제수립과 관련부서 지원업무를 맡을 '미래정책연구실'을 신설했다.
이날 기자간담회에서 김 원장은 조직개편을 통해 3가지 목표를 추구하기로 했다고 밝혔다.
첫째는 선제적 대응이었다. 빠른 변화 환경에서 전문기관 역할에 걸맞는 사회적 합의에 필요한 기술적 절충점, 사회적 합의가 이뤄진 뒤 필요할 제도적 설계, 2가지를 미리 준비한다는 의미였다.
김 원장은 개인정보보호와 활용 문제를 예로 들며 "산업활성화를 위한 개인정보보호 규제개선, 정부체제와 대기업 생태계 불신에 따른 보호 강화, 두 견해가 여전히 충돌하는 게 한국적 현실"이라며 "우리는 (개인정보를) 어느정도까지 비식별조치해야 복원가능성을 최소화하면서 경제적가치가 남는 데이터를 만들 것인가, 이런 합의 수준과, 그런 합의 후의 제도적 설계 미리 고민하자는 것"이라고 설명했다.
둘째는 국민이 체감할 수 있는 가시적 성과 만들기였다. KISA에서 추진하는 사업이 일반인들이 일상에서 편의나 혜택을 누릴 수 있는 결과물로 이어질 수 있도록 유도한다는 의미였다.
김 원장은 "도둑도 감지할 수 있는 지능형CCTV 시범사업을 4월부터 시작하고, 서울대병원과 삼성전자가 함께 전자처방전 시범사업도 진행하기로 했고, 적십자사 회비납입 고지서를 SNS로 전달해 35억의 경비를 절감할 수 있게 될 것"이라며 "더 중요한 건 빅데이터산업 활성화를 위한 데이터와 디지털트랜스포메이션인데, (그게 되도록) 우리 주변에서 직접 느낄 수 있는 부분을 해나가자는 것"이라고 덧붙였다.
셋째는 KISA가 수행하는 정보보호 활동 및 관련 인증업무의 '수요자'들과 함께하는 기관 만들기였다. 사업이나 제도의 대상이 되는 민간과 눈높이를 맞춰 진정성을 인정받고, 실질적인 혜택을 얻도록 돕겠다는 메시지였다.
김 원장은 "KISA는 지방자치단체, 공공기관, 병원 등에 정보보호수준진단과 (보안)인증을 주는 역할을 해 왔는데, 정작 KISA의 수준은 어떤지 질문 받아본 적 있는지 뒤집어 생각해 봤다"며 "미국 국방부는 특정 기간을 정해 '핵 더 펜타곤(Hack The Pentagon)'이라는 해킹대회를 여는데, 우리도 '핵 더 키사(Hack The KISA)' 한 번 해보자는 게 요구사항이었다"고 말했다.
이어 "우리는 올해 사이버테러 지능화에 대비해 빅데이터센터를 구축하고 인공지능 기반을 통해 (침해사고) 사례 분석, 수집, 탐지 시스템을 갖춘다"며 "이렇게 갖춘 시스템의 데이터를, 기업들이 가져가 보안 관련 상품화할 수 있도록 그대로 오픈할 예정"이라고 예고했다.
또 "흔히 4차산업혁명을 3차산업혁명과 다르다고 얘기하는 이유는 그 기술 변화의 속도·폭·범위가 완전히 다르기 때문"이라며 "KISA는 그런 시대를 준비하는 기관으로 더 안전하고 편리한 미래 열어나가는 역할을 하겠다"고 덧붙였다.
■ "블록체인 산업 활성화, 위협정보 빅데이터 분석센터 구축"…2018년 KISA 중점 추진과제
김 원장의 간담회 모두발언에서 언급된 내용을 포함하는 KISA의 2018년도 중점 추진과제는 블록체인, 전자문서, 비식별조치 합의도출, 사이버보안 대응강화, 중소기업 산업육성, 지역사회 상생협력, 생활밀착형 서비스 국민체감도 개선, 7가지로 요약된다.
블록체인 추진과제는 산업활성화를 위한 전략수립, 실증 시범사업, 신사업모델 검증 차원으로 진행된다. 전략수립은 지난해 이슈별 법제확인 및 개선안 도출내용을 바탕으로 올해 법안 제개정을 검토하는 내용이다. KISA는 관련 예산타당성기획보고서 통과시 2019년부터 2025년까지 7년간 사업을 추진하기로 했다. 실증 시범사업은 에너지, 물류, 저작권 등을 고려한 지정공모과제로 진행된다. 신사업모델 발굴과 검증은 해커톤을 통해 진행되고 향후 핀테크 사업 연계, 확대 검토 대상이 될 수 있다.
전자문서는 지난해말 제9차 ICT전략위원회에서 과기정통부와 법무부가 공동발의한 전자문서법 개정안 내용을 바탕으로 '종이없는 사회' 실현을 위한 전자문서이용 활성화 계획의 키워드다. 계획은 오는 2021년까지 전자문서이용률을 70% 이상 확대한다는 목표로 진행되고 있다. KISA는 그 일환으로 국민 체감도가 높은 공공, 금융, 유통, 의료 분야 문서 전자화 전환촉진을 위한 시범사업 확대와 정책지원을 강화한다는 구상이다.
비식별조치 합의도출을 위해 KISA는 개인정보 비식별 컨테스트·CTF를 열기로 했다. 설명에 따르면 이는 참가자들이 비식별처리된 데이터 재식별 시도 및 공격을 수행하는 대회다. 이로써 비식별 데이터의 유용성과 재식별 가능성 이슈를 기술적으로 검증한다는 구상이다. 더불어 KISA는 4차산업혁명위원회 정책연구 기반 개인정보 제도개선안을 준비한다. 개인정보 활용 플랫폼 구축 및 시범사업도 추진한다. 영국 Midata, 일본 정보은행, 프랑스 Mesinfo, 미국 GreenButton 등을 참고할 전망이다.
KISA는 사이버보안 대응강화를 위해 머신러닝 기반 침해사고 빅데이터 분석센터를 구축하고, 앞서 언급한 KISA 자체 해킹대회를 연다. 분석센터는 사이버위협정보공유분석시스템(C-TAS)의 양과 질을 개선해, 유사 침해사고 판별, 피해 영향 및 위험 산정 등 전체 분석시간을 단축한다는 목표로 운영될 전망이다. 해킹대회는 미국 국방부 '핵 더 펜타곤' 방식을 참조해, KISA가 보유한 홈페이지 등 정봇자산 취약성을 찾는 버그바운티로 운영된다. 우수 보안전문가 발굴, 보안 취약점 개선으로 정보보호 문화를 확산한다는 취지다.
중소기업 산업육성은 정보보안, 융합보안 관련 산학연 협업과 스타트업 지원 방안이다. 협업지원프로그램을 통해 판교 정보보호클러스터 입주기업과 기관간 공동 세미나, 연구개발을 지원한다. 성장지원프로그램을 통해 R&D 기술이전 및 컨설팅, 전문인력 활용, 투자유치 기회 및 해외진출 상담회를 지원한다. 이와 별개로 지난해 군, 경찰청, 기무사 등 공공 정보보호인력 대상으로 운영되던 '사이버훈련장(Security-Gym)'을 올해 민간 대상으로 확대 운영해, 중소기업 정보보호인력에 보안기술 실전훈련 프로그램을 제공하기로 했다.
관련기사
- KISA, 사회·안전분야 지능형CCTV 시범사업자 모집2018.02.25
- 한국SW 보안취약점, 전세계서 알아본다2018.02.25
- KISA, 미래정책연구실 신설 포함 조직개편·인사 단행2018.02.25
- 2018 인터넷 핫이슈...AI·블록체인·자율차 등2018.02.25
지역사회 상생협력 차원에서 중소기업의 정보보호 예산 및 인력과 지원 인프라가 부족한 지역의 지방자치단체와 공동으로 정보보호지원센터를 구축한다. 현재 정보보호지원센터는 인천센터, 대구센터, 부산 동남센터, 광주 호남센터, 충북 중부센터, 경기센터 6곳이 구축돼 있다. KISA는 올해 1곳, 2019년 2곳, 2020년 1곳을 추가 구축해 2020년까지 전국 10곳을 운영할 예정이다. 이와 별개로 대구 헬스케어 및 IoT, 호남 소프트웨어, 동남 CCTV 등 지역 맞춤형 정보보호기술과 지역 중소기업 맞춤 정보보호 역량강화 서비스를 지원하기로 했다.
이밖에 KISA는 액티브X 제거, 개인정보 유출사고시 서비스 이용자 보호체계 강화, IT기기 악성코드 탐지체계 강화를 예고했다. 2020년까지 민간 500대 사이트 액티브X 90% 이상, 모든 공공기관 웹사이트 플러그인 100% 제거를 돕는다. 간편한 웹사이트탈퇴를 돕는 'e프라이버시클린서비스', 수사기관 상담과 수사를 일괄처리하는 '사이버원스톱센터'를 운영하고 실시간 스팸 차단 기술을 개선한다. 전화사기 예방앱, 백신을 KISA 실시간분석시스템과 연계하고 PC와 스마트폰용이었던 감염사실 통보 및 치료서비스를 IP카메라 등으로 확대한다.
