보안업계, 사이버보안대책 '디테일'이 열쇠

최근 정부가 발표한 사이버안보, 금융전산보안, 정보보호산업육성 종합대책에 대해 보안업계 전문가들은 대체로 찬성한다는 입장이다. 그러나 망분리, 인력양성 등에서는 일부 보완대책이 필요하다고 밝혔다. 큰 그림도 좋지만 업계 현황을 고려한 세부적인 대책도 마련돼야 한다는 것이다.

지난 4일 이후 발표된 국가 사이버안보 종합대책, 정보보호산업발전 종합대책, 금융전산 보안 강화 종합대책은 민간, 공공,금융 등 우리나라 전 영역을 사이버 보안을 아우른다는 점에서 앞으로 국내 보안체계를 가늠해 볼 수 있는 지표다.

16일 보안업계 및 학계 전문가들은 보안위협 대응체계 강화, 인력양성, 수요창출 등 전반적인 대책 발표에는 필요성에 동의했다. 다만 망분리, 인력양성 등에서는 이를 뒷받침할 만한 추가적인 조치가 필요하며, 보안사고의 최초 원인제공자인 사용자 부주의를 방지하기 위한 추가적인 대책도 마련돼야 한다고 강조했다.

■사이버안보 종합대책, 디테일이 중요

미래창조과학부가 발표한 국가 사이버안보 종합대책은 청와대를 사이버안보 컨트롤타워로 하고, 국가정보원이 실무총괄 기능을 수행토록했다. 그러나 여전히 청와대 국가안보실에서는 어떤 구체적인 대응책을 마련하고, 조율 업무를 수행할 수 있는지에 대한 대응책이 나오지 않고 있다. 현재 방송통신위원회, 국정원 등에서 파견직 형태로 업무를 수행하고 있으나 눈에 보이는 성과는 발표된 것이 없다.

이에 대해 국내 한 정보보호업체 대표는 여러 부처들을 컨트롤 하기 위해서는 높은 직급의 힘있는 실무자를 둬야 하나 현재는 그렇지 못하다고 꼬집었다. 다만 그는 2014년까지 사이버위협정보 공유시스템을 구축, 주요정보통신기반시설 확대, 정보보호관리체계(ISMS) 인증대상 확대 등에 대해서는 찬성한다는 의견을 냈다.

인력양성은 정부가 종합대책 발표 전부터 공을 들여온 분야다. 지난달 정부는 향후 5년 내에 화이트해커 5천명을 양성한다는 계획을 발표한 바 있다. 최근 발표된 사이버보안대책에서도 이 부분이 언급됐다.

문제는 5천명을 수용할만한 수요처가 있느냐는 것이다. 업계에서는 보안 전문가들을 양성해 보안인프라를 통해 수집/구축되는 정보를 정확히 분석할 수 있는 경쟁력을 확보하는 것이 중요하다는 점에는 동의했다. 그러나 이들 인력을 흡수할 수 있을 만한 안정적인 산업구조가 마련되고 시장이 확대되도록 정책이 마련돼야 한다고 주장했다.

이를 위해 업계에서 가장 신경쓰는 부분은 유지관리시장 합리화다. 조규곤 정보보호산업협회(KISIA) 회장은 연초부터 기존 한 자릿수 퍼센티지에 그치는 유지보수율을 서비스나 제품 형태에 따라 두 자릿수 퍼센티지 이상으로 높여야 한다고 주장해 왔다. 실제로 정부는 2017년까지 전체 서비스나 제품 도입 비용의 평균 15%까지 유지보수율을 높이는 방안을 검토 중이다. 다만 기획재정부나 국회에서 이에 상응하는 예산을 책정할 지는 아직 미지수다.

■망분리, 현실성 있는 대책 되려면...

금융전산보안 대책은 금융기관 공통으로 제3백업센터 구축, 금융위원회 주관 금융전산 보안 협의회 설치, 금융 정보공유분석센터(금융ISAC) 내에 침해사고대응조직 설치, 인터넷망과 내부망의 분리 등을 핵심으로 한다.

업계에서는 그동안 금융부문에서 사용자들의 안전성을 강화하고, 침해사고에 대한 대응력을 높인다는 점에서는 동의했다. 그러나 망분리에 대해서는 의견이 엇갈렸다. 망분리의 경우 하나의 기술 수단일 뿐인데 대책에 포함됐다는 점이 의문이라는 것이다.

또 다른 국내 정보보호업체 대표는 망분리를 했다고 해도 실제로는 인터넷 접속용 웹서버와 내부 DB서버 간에 연결구간에서는 여전히 보안취약점이 존재하기 때문에 대책으로 못박기에는 무리가 있다는 주장이다.

반면 한 보안업계 관계자는 망분리를 의무화하면 최소한의 조치로 실질적인 보안강화 효과를 낼 수 있을 것으로 기대된다며 다만 망분리 솔루션을 도입한 뒤에도 사내 보안 교육 등 꾸준한 관리감독이 더 중요하다고 말했다.

■사용자 보안의식 강화대책도 논의돼야

사용자 단에서의 대책이 보완돼야 한다는 주장도 제기됐다. 염흥열 순천향대 정보보호학과 교수는 기술적, 관리적, 법제도적 대책을 전사적 차원에서 금융보안 관리체계를 도입해 운영케 한 것은 매우 긍정적으로 평가한다며 사용자 PC에서 필요한 보안대책에 대해서는 언급이 없었다고 지적했다.

특히 대부분 금융 이용자들이 인터넷 뱅킹을 위해 여전히 PC에 공인인증서를 저장관리하고 있기 때문에 이에 대한 추가적인 보완책이 필요하다는 것이다. 기존 소프트웨어 기반 보안대책에 더해 하드웨어를 기바능로 한 보안체계로 전면 변환할 필요가 있다. USIM, 보안토큰, 보안USB, 일회용 비밀번호 발생기(OTP) 등을 적극 도입해야 한다는 설명이다.

조규곤 회장은 이를테면 범죄자가 우리 집을 아지트 삼아 나쁜 짓을 했을 경우 이에 대해 관리하지 못한 책임을 지우도록 하는 방안이 필요하다고 말했다. 대부분 일반적인 개인정보유출, 스미싱, 피싱, 파밍 등의 보안사고는 1차적으로 사용자가 주의했더라면 막을 수 있는 경우가 많다. 그만큼 사용자에게도 기본적인 조치를 이행했는지 여부를 점검할 수 있는 가이드라인이 필요하다는 설명이다.

■정보통신기반시설, ISMS의무 인증 사업자 확대...이견 없어

정보통신기반시설, ISMS 의무 인증 사업자 확대 등은 보안성 강화를 위해서는 물론 업계에서도 적극적으로 동의하는 부분이다. 두 경우 보안수준을 강화해야 하는 의무가 생기기 때문이다.

염 교수는 다만 금융보안인증체계의 인증이 기존 한국인터넷진흥원(KISA)이 운영하고 있는 정보보호인증체계(ISMS)와 중복가능성이 있어 두 인증 간 호환성 및 상호 인정이 가능토록 해야 할 것으로 보인다는 의견을 밝혔다.