클라우드 인프라가 뒷받침하는 사물인터넷(IoT) 시대에는 더 이상 보안이 주요 기업/기관의 서버나 웹사이트에 머물지 않는다. 모든 일상이 해킹에 노출될 가능성이 커졌기 때문이다.
이렇게 복잡한 환경 속에서 수없이 터져나오는 해킹 사건에 대한 대책 역시 일부 정부기관에 머물러서는 답을 찾기 어렵다.
25일 서울 여의도 국회의원회관에서 유승희 의원(더불어민주당) 주최로 열린 '4차산업혁명시대 사이버 보안 어떻게 할 것인가?'를 주제로 한 세미나에 참석한 각 정부기관 및 민간 전문가들은 사이버 보안 분야에도 플랫폼이 필요하다고 강조했다.
■시민사회 적극 참여하는 '다중이해관계자' 모델 도입 필요
한국정보보호학회장을 맡고 있는 고려대 이동훈 교수는 "더이상 워너크라이 랜섬웨어 사태와 같은 유사사건이 발생하지 않도록 재발방지를 보장하는 것과 함께 외국에서 국민들을 대상으로 하는 사이버첩보활동과 기반 시설 대상 사이버작전활동에 대한 억지력을 보장해야한다"고 강조했다.
이를 위한 대책으로 그는 "부처 간, 민관 간 수평적인 협력적 거버넌스와 정보공유체계를 구축하고 국가 사이버보안정책을 개발, 추진하는 과정에서 사회적 공론화와 합의과정을 통해 절차적 정당성을 마련해야한다"고 주장했다.
특히 다중이해관계자주의(Multistakeholderism)에 따라 국가 사이버보안 활동 원칙을 정립하고 민간영역이 국내외 활동에 적극적으로 참여할 수 있도록 보장해야한다"고 설명했다.
다중이해관계자(Multistakeholder)는 인터넷 거버넌스 모델에서 주로 논의됐던 개념이다. 정부를 포함해 시민사회, 민간기업, 전문가들이 동등한 자격으로 참여하는 과정에서 필요한 대책을 마련해야한다는 것이다.
그동안 국내서는 정부 주도로 사이버보안 정책이 꾸려졌으나 민간 전문가들이 이러한 정책을 짜거나 전략을 수립하는데 참여가 제한됐었다.
시민단체 대표로 참석한 정보인권연구소 이사 겸 진보네트워크센터 오병일 활동가는 "사이버보안, 사이버안보, 정보보안 등에 대한 개념이 뒤섞여 있다"며 "가장 중요한 것은 안전한 인터넷을 만들어 이용자를 지키는 것"이라고 강조했다.
이어 오병일 활동가는 "7.7 DDoS 대란, 3.4 DDoS 대란, 농협전산망장애, 3.20 사이버테러, 6.25 사이버공격, 한국수력원자력 해킹 사건 등 대형 사이버 보안사고가 벌어질때마다 보안대책이 급조되는 경향이 있다"며 "전략이라기 보다는 종합대책에 가깝고, 이와 관련된 내용들도 투명하게 공개되지 않고 있다"고 지적했다.
또한 "사이버보안은 멀티스테이크홀더가 필요한 분야인데 기밀을 유지해야하는 정보기관인 국가정보원이 주도적인 역할을 하는 것은 직무범위에서 벗어난 것으로 본다"며 "사이버보안정책의 투명성과 사회적 감독 기능을 강화하고, 이해관계자 조율, 민간 자율성을 높이기 위해 국가사이버보안 기본법을 구성하고, 그 아래 분야별 대책이 필요하다"고 덧붙였다.
카이스트 사이버보안연구센터(CSRC) 문수복 센터장은 "세계경제포럼이 발표한 디지털 폴리시 플레이북 2017에서 한국은 포함되지 않았다"며 "비정부 이해 당사자들이 사이버보안에 적극적인 역할을 하며 참여할 수 있는 멀티스테이크홀더 거버넌스 모델이 필요하고, 이를 뒷받침하기 위한 체계성, 일관성을 갖도록 법령 정비가 필요하다"고 말했다.
■4차산업혁명시대 새로운 보안 준비해야
서울여대 정보보호학과 박춘식 교수는 4차산업혁명시대 사이버보안을 4가지로 정의했다.
박 교수에 따르면 생활보안이다. "가정에서까지 커피포트, 인터넷과 연결된 인형, 냉장고, 자동차, 심지어 세차장까지 해킹 대상이 되는 만큼 생활 밀착형 보안 개념이 필요하다"는 것이다.
두번째는 생명위협이다. IoT 시대에는 인슐린펌프, 심장제세동기, 자동차 등에 대한 해킹이 생명위협을 직접 이어질 수 있다.
세번째로는 생태계 공동 대응이다. 정부에서 모두 감당하기 힘들 만큼 걷잡을 수 없이 공격이 이뤄지고 있어 민관군 등이 공조하는 생태계를 통한 공동대응이 필요하다는 주장이다.
네번째로는 생존보안이다. 사이버보안의 기본원칙인 기밀성, 무결성, 가용성에 더해 이제는 해킹 자체가 피할 수 없다는 사실을 인식해 데이터가 살아남을 수 있도록 하는 방안을 고려해야한다는 설명이다.
■군-경찰, 사이버보안 정보공유 중요성 한 목소리
군과 경찰 사이버보안 담당자들은 정보공유의 중요성을 재차 강조했다.
사이버사령부 500센터장 김한성 대령은 "예를 들어 북한이 가상화폐 관련 해킹을 시도했다고 하면 이와 관련해 사이버사령부가 할 수 있는 역할이 없다"고 설명했다. 정보통신망법 상 주요 기반 시설 침해현황에 대해서도 우리 영역이 아니라 별도로 정보를 공유하거나 필요한 대응을 하지 못하는 일들이 있다는 설명이다.
김한성 대령은 "사이버 공간에서 위협, 테러, 공격, 전쟁상황에 신속히 대응하기 위해 민관군경의 총체적인 협업 대응체계를 위해 현재 훈령 보다 상위의 통합된 국가안전보장을 위한 명시적인 법령 제정이 필요하다"고 주장했다. 지금보다 더 긴밀한 정보공유체계를 가져갈 필요가 있다는 뜻이다.
경찰청 사이버안전국 사이버테러수사실 정석화 실장은 "2009년 이후 북한 사이버테러가 정부기관을 중심으로 하던 것에서 민간까지 옮겨온 상황"이라며 "수십만개 해킹 사건 10건 중 8건~9건이 모두 북한이 관련됐다"고 설명했다.
"실제로 국내 일부 전산시스템을 해킹해 IP주소를 세탁해 다른 곳을 해킹하는데 악용하는 것은 물론 외부 기관 발표에서처럼 7천여명 수준의 해커들이 아침부터 컴퓨터를 켜고 해킹 업무를 진행 중"이라고 말했다.
이 같은 공격에 대응하기 위해 정석화 실장은 "검경, 국정원, KISA, 사이버사령부 등이 각각 독립적으로 발전시켜왔던 프레임워크를 하나로 연결해 플랫폼으로 만드는 작업이 필요하다"고 주장했다.
프레임워크는 소프트웨어들이 서로 독립적이면서도 협업할 수 있는 체계를 구상하는 것을 말한다. 사이버보안 분야에서도 이들이 유기적으로 운영될 수 있는 플랫폼이 필요하다는 설명이다.
이에따라 그는 "사고조사나 예방에서는 민간분야를 과기정통부, 공공은 국가정보원, 국방은 국방부가 책임지고 민간/공공 분야 수사는 검경이, 국방은 군 수사기관이 각각 맡는 구조에서 이들을 모두 아우르는 플랫폼을 갖출 필요가 있다고 설명했다.
아예 각 영역 전문가들을 한 공간에 모아놓고 협업할 수 있는 구조를 만들어 실시간으로 민감정보까지 교류될 수 있도록 해야한다는 것이다.
미국의 경우 9.11 테러 이후 국토안보부 산하에 사이버보안 및 통신통합센터(NCCIC)가 이와 유사한 플랫폼 역할을 수행한다.
관련기사
- IoT 보안 비상…3년간 신고 700여건2017.09.25
- 블록체인 보안표준 만든다2017.09.25
- 북한발 국내 ATM 해킹 피의자 일당 검거2017.09.25
- KISA-한전, 에너지 신산업 사이버보안 공조2017.09.25
과학기술정보통신부 정보보호기획과 허성욱 과장은 "민간, 공공이 같은 사이버보안 원칙을 적용할 경우 민간 사찰 문제가 제기될 수 있다"며 신중한 입장이다.
이와 함께 "공공기관의 의무강화에 대해서는 많은 고민을 하고 있다"며 "사이버위협 대응체계를 고도화하기 위해 청와대 국가안보실 주도로 관계부처들과 초안을 만들고 조율하는 과정을 거쳐 시행계획을 만들 예정"이라고 밝혔다.
