"정보보호 업무가 속해 있는 정보보호네트워크정책관이 설립된 것은, 정보보호 정책 우선 순위가 높은 핵심 정책으로 추진하겠다는 의미를 내포하고 있습니다."
박윤규 과학기술정보통신부 정보보호네트워크정책관은 기자와 만나 이같이 언급했다.
정보보호정책관으로 존재했던 정보보호 단독 부처가, 조직개편 이후 네트워크 업무가 합쳐진 정보보호네트워크정책관으로 탄생했다. 이에 대한 업계의 곱지 않은 눈초리를 정책 추진으로 해소하겠다는 발언이다.
박윤규 정보보호네트워크정책관은 국가안보실 사이버안보비서관에서 근무한 이후 지난달부터 다시 정보보호 분야를 담당하고 있다. 사이버안보비서관 시절에는 평창 동계올림픽 당시 50여대 서버에 사이버 침해가 발생하자, 유관기관 합동으로 위기 대응 체계를 갖추는 데 일조하기도 했다.
정보보호네트워크정책관으로 부임한 현재는 5G 상용화 이후 사이버 위협이 몰릴 IoT·융합보안 강화와 최고정보보호책임자(CISO)·정보보호 및 개인정보보호관리체계 인증(ISMS-P)·주요 정보통신기반시설 등 각종 정보보호 제도들의 실효성 확립, 인공지능(AI) 기반의 사이버위협 탐지·대응 시스템 고도화 등에 집중하고 있다.
보안업계의 애로사항 해소에도 적극적인 의지를 보였다. 업계 숙원인 제값 받기, 기업의 해외 진출을 지원하는 현지 전문가 멘토링, 스타트업 제품 사용 확대, 부족한 고급 인력 확보 등을 외치는 업계 목소리에 귀기울이겠다는 것이다. 이를 위해 중장기적으로 현장과 소통하는 자리를 지속적으로 만들고 해결 방안을 모색하겠다고 밝혔다.
다음은 박윤규 과기정통부 정보보호네트워크정책관과의 일문일답.
-과기정통부가 이번 조직 개편의 의의 중 하나로 정보보호 담당 부처가 수석국이 됐다는 것을 강조하고 있다. 구체적으로 무엇이 바뀌나.
"정보보호가 속한 정보보호네트워크정책관이 네트워크정책실의 수석·총괄국으로 배치됐다. 네트워크정책실 소속 3개국에 대한 조직과 인사, 예산 등 총괄 업무에서 정보보호 정책이 우선적으로 고려된다는 것이다."
-정보보호 전담 부서가 네트워크 부서와 병합된 것을 두고, 업계에서는 CISO 겸직 금지 정책과 모순되는 행보로 보는 시선이 있다.
"정보보호네트워크정책관은 5G 등 신규 네트워크를 구축할 때 보안을 내재화해 사이버·물리 공간의 동시 다발적 위협에 대응하고, 정보보호 산업 성장을 도모하기 위해 신설됐다. 이는 초연결 환경에 대비해 세계 주요국이 추구하는 네트워크 보안 정책의 방향과도 부합하는 변화다. 미국의 경우 국토안보부 산하에 ‘사이버인프라보안청(Cybersecurity and Infrastructure Security Agency)’을 지난해 11월 설치해 사이버·물리 네트워크 위험에 동시 대응할 수 있도록 거버넌스를 구성했다.
민간 부문의 정보보호최고책임자(CISO) 겸직 금지 제도와는 결이 다르다. CISO 겸직 금지 제도는 개인정보 보호, 청소년 보호 등 유사 업무와 분리해 독립된 정보보호 역할과 책임을 수행하는 담당자를 지정해 사이버보안을 강화하자는 차원에서 마련된 제도라 동일 선상에 두고 보긴 어렵다."
-내년 예산 중 5G+ 핵심 서비스 보안 강화 예산이 신규로 편성됐다. 바이러스 대응 체계 고도화 예산도 36억원 늘어났다.
"스마트공장, 스마트시티, 자율주행차, 디지털 헬스케어, 실감 콘텐츠 등 5대 분야별 특화된 보안모델을 개발, 실증하기 위해 신규 예산을 편성됐다. 이 예산은 향후 3년간 총 200억원이 집행된다. 스마트 산단 등 실증 현장에 보안시험 리빙랩도 구축해 문제가 생기면 신속히 해결할 수 있도록 할 예정이다.
해킹·바이러스 대응체계 고도화 사업은 범 국가적으로 인터넷망의 사이버 침해 사고에 대한 조기 탐지와 분석, 신속한 사고 대응을 통한 안전한 사이버 환경을 조성하는 사업이다. 증액된 35억원은 인공지능(AI) 기반 침해사고 예방과 대응력 강화 사업에 투자된다. AI 기반 사이버위협 탐지 대응 환경 구축, AI 기반 침해 사고 분석 체계 구축, 사이버보안 분야 AI 학습 지원 환경 등이 추진될 예정이다."
-초연결이 화두가 되면서 IoT 보안에 대한 KISA에서는 IoT 기기에 대해 일괄적으로 취약점을 검토하는 방안도 고민해야 한다는 입장이다. 이에 대해 긍정적으로 검토하고 있나. 그 외에도 법제 개선 측면에서 시급하다고 느끼는 사항이 있다면.
"법적 필요성은 공감한다. 다만 권한의 오남용으로 인한 국가 감시, 사생활 침해 등의 우려가 발생하지 않도록 제한적 범위 설정이 필요하고, 사후 통제 장치 등에 대해 국민적 공감대가 먼저 마련돼야 한다.
관련기사
- [보안 결산] 초연결 시대…해커들, PC 밖 세상 공략중2019.12.27
- "무선 해킹 대비 안하면 사이버전쟁 안전 보장 못해"2019.12.27
- 글로벌 OT 사이버공격 기승…국내 대기업도 노렸다2019.12.27
- 2020년 사이버공격, SNS·모바일로 뻗어나간다2019.12.27
현행 정보통신망법은 정보통신서비스 제공자의 정보통신망 안정성 확보 조치만을 규정하고 있고, 정보통신망 연결 기기 등에 대한 정보보호 대책이 부재하다. 이에 대응하기 위한 정보통신망법 개정안이 발의돼 있다. IoT 기기 등에 대해 정보보호 지침과, 침해 사고가 발생하면 관련 기관에 피해 확산 방지 조치를 요청하는 등 방안을 세우도록 하고, 정보보호 인증도 실시할 수 있게 하는 내용이 담겨 있다.
이 외에도 5G 시대의 기술 환경 변화와 국내외 법제 수요를 반영해 사이버보안 분야 일반법인 정보통신망법 전반에 대한 실효성과 개정 방향을 검토하려 한다."
