[아이티데일리] 정부가 디지털 뉴딜의 일환으로 디지털 안심 국가 실현을 위한 ‘K-사이버 방역’ 정책을 마련, 추진한다. 국내 정보보안 산업의 지속 가능한 성장을 위해 기업을 육성하고, 혁신 기술 및 인재를 확보하는 등 디지털 경제 시대의 전략 산업으로 육성한다는 것은 반길 일이지만, 실효성 있는 정책이 돼야 한다는 목소리 또한 이어지고 있다.

디지털 경제 시대, ‘디지털 안심 국가’ 실현 위해 추진

‘K-사이버 방역’은 전 세계에서 코로나19(COVID-19)에 성공적으로 대응한 모델로 평가받는 ‘K-방역’처럼, 성공적인 전략을 수립한다는 의미에서 명명됐다.

구체적으로 ▲디지털 안심 국가 기반 구축 ▲민간 디지털보안 역량 강화 ▲정보보호산업 혁신 생태계 조성 등 3가지 추진 전략과 8가지 과제를 수립했다. 디지털 안심 국가 기반 구축을 위해서는 ①국가 사이버 대응 체계 고도화 ②디지털 융합 보안 강화 ③디지털 안전 법·제도 정비 등 3가지 과제를 추진한다.

먼저 사이버보안 얼라이언스를 구축해 민간의 주요 관제 기업들과 위협정보를 실시간으로 공유할 계획이다. ‘사이버보안 얼라이언스’는 기존 보안 기업들뿐만 아니라 집적정보통신시설 사업자, 클라우드 서비스 사업자, 웹 호스팅 업체 등 60여개 기업들이 참여할 수 있도록 대상을 확대한다. 이를 바탕으로 실시간 수집되는 정보를 통해 공격방식, 대상, 위험정도를 분석, 민간에 신속히 전파 공유함으로써 능동적인 위협 대응 체계를 구축한다는 전략이다.

또한 국민들이 많이 이용하는 웹사이트 및 도메인서버(통신 3사)에 대한 위협을 사전에 탐지하고 대응할 수 있도록 지원한다. 접속 빈도 및 파급력 등을 고려해 약 2만 개 웹사이트 전체페이지를 실시간 탐지한다는 계획이다.

전국 원스톱 대응 체계도 구축한다. 지방소재 기업 등 사각지대를 해소하기 위해 수도권 위주의 대응체계를 전국 단위의 대응 체계로 확대·개편한다. 이를 위해 한국인터넷진흥원에 사이버방역팀을 신설하고, 신고된 모든 사고현장에 파견해 조사뿐만 아니라 복구 및 재발 방지 대책 등 사고대응 전 주기를 지원한다. 더불어 전국 어디서든 침해사고 발생 시 원격에서 신속한 지원이 가능하도록 5G 사이버 대응망도 마련할 예정이다.

디지털 안전 역량 확보를 위해서는 국가 보안취약점 관리 체계를 구축한다. 국가적인 차원에서 수집한 보안취약점은 주요 기업, 기관, 국민들에게 실시간으로 공유하고, 보안업체와 연계해 보안패치를 개발·공급할 예정이다. 또한 민간의 사이버 대응 역량 강화를 위해 민관 사이버 협력팀을 운영한다.

이외에도 디지털 환경 변화를 반영하고, 부처간 협업을 강화할 수 있도록 정보보호 관련 법령을 정비할 예정이다. 구체적으로 민·관·군 대응체계를 법제화하고, 민간 및 공공부문 정보보호 역할과 기능을 정립한다. 더불어 ISMS 의무인증 기준 개선, 신고포상제 활성화 등 민간이 주도적으로 보안을 강화할 수 있도록 제도를 개선한다.

안전한 디지털 전환을 위해서는 ▲디지털 전환 보안 컨설팅 ▲소프트웨어 개발 및 공급망 보안 강화 ▲지능정보 보안 플랫폼 구축 등을 추진한다. 구체적으로 내년부터 비대면·디지털 환경 구축 전환시 설계, 개발, 운영 등 전 과정에 걸친 보안 컨설팅을 실시한다. 자체 역량이 부족한 영세기업을 대상으로는 보안 솔루션 도입 비용을 지원할 계획이다. 또한 국민들이 많이 이용하는 비대면 솔루션 및 무인서비스에 대해 보안 점검을 실시한다.

SW개발 및 공급망 보안 강화를 위해서는 2023년까지 비대면 솔루션, 다중 이용 서비스, 공공분야 소프트웨어를 대상으로 안전성 점검을 실시하고, 공급망 보안 도구를 보급할 예정이다. 지능정보 보안 플랫폼 구축을 위해 보안 위협 빅데이터 고도화 및 학습 데이터 개방을 추진한다. 보안 위협 정보의 수집대상을 주요 SNS, 다크웹, 비대면·디지털전환 분야 기업 등으로 확대하고, AI 등을 적용해 분석역량을 고도화한다. 또한 위협 정보를 민간에서 활용할 수 있도록 학습데이터 형태로 가공해 개방 및 공유한다.

민간 영역에서 사이버 보안 대응 능력을 강화하기 위한 정책도 추진된다. 기업의 규모 및 유형을 고려해 보안역량을 갖출 수 있도록 보안 취약점 진단 및 컨설팅 지원 등 맞춤형 지원을 제공한다. 또한 국민들의 보안 역량을 강화하기 위해 PC·IoT 디바이스에 대한 원격 보안 취약점 점검을 확대할 계획이다. 악성코드에 감염된 PC 및 IoT 기기가 탐지될 경우 모바일 전자고지 방식을 통해 이용자에게 개별적으로 통지하는 사이버 알림 서비스도 도입된다.

2022년에는 스미싱에 악용되는 전화번호를 차단하는 등 모바일 기반 사이버 위협 대응 역량도 강화한다. 악성앱 유포 전화번호 등 스미싱에 악용된 전화번호를 이용하지 못하도록 정보통신망법 개정을 추진할 방침이다.


정보보호 산업 혁신 생태계 조성한다

이번 K-사이버 방역 정책이 가장 높게 평가 받는 부분은 구체적인 정보보호 산업 육성 정책이 포함됐다는 점이다. 정부는 ▲산업 혁신 기반 조성 ▲전문인력 양성 ▲기술역량 제고 등으로 정책을 세분화했다.

먼저 정보보호 산업 혁신 기반을 조성하기 위해 물리보안 산업 기반 강화 및 디지털 보안 선도 기업 육성을 추진한다. 지능형 CCTV, 비대면 인증, 출동 보안 등 물리보안 기술을 통합·연계한 물리보안 플랫폼 개발 및 실증을 진행한다. 이를 위해 물리보안에 기반이 되는 영상보안 학습데이터를 구축 및 개방할 예정이다.

또한 우수 AI·비대면 보안 기업 100개를 선정해 집중 육성하고, 중소 보안 기업의 스케일업을 위해 제품개발 → 판로개척 → 해외 진출 등 단계별 지원을 강화할 계획이다. 또한 유망한 보안 기업의 제품을 우수 조달 물품으로 지정할 수 있도록 지원하고, 정보보호 제품에 대한 적정대가 산정 및 지급을 위한 기준을 마련할 방침이다.

보안 인력양성 인프라도 강화한다. 디지털 융합 신산업 및 비대면 서비스 등에 특화된 정보보호 특성화대학 및 융합보안 대학원을 확대한다. 현재 4개인 특성화대학은 2025년까지 2배로 늘릴 계획이며, 융합보안대학원도 12개까지 확대한다. 더불어 비대면·디지털 전환·데이터 등 분야별 전문인력 양성과 재직자 교육을 확대할 방침이다.

이외에도 정부는 비대면·원격·무인 서비스 등 비대면 및 디지털 전환 특성을 고려한 보안 기술에 투자를 확대한다. 구체적으로는 비접촉/원격 식별·인증, 데이터 익명·가명화, 양자암호, 제로트러스트 등의 기술에 투자할 계획이다. 국가·공공인프라 및 자율주행, 스마트시티 등 융합 인프라를 보호하기 위한 보안 기술 확보에도 나선다. 한국전자통신연구원 및 한국인터넷진흥원 등을 통해 개발한 결과물을 주요 정보통신기반시설에 적용해 실증하고, 성과 검증 후 단계적 확대 도입을 추진한다.


보안 업계, 산업 육성 정책은 환영…참신함·혁신성은 글쎄

보안 업계에서는 K-사이버 방역 정책을 환영하고 있다. 국가적인 위협 인텔리전스 공유를 위한 ‘사이버보안 얼라이언스’ 구축은 물론, 정보보호 산업의 지속 성장 요소를 고려해 정책을 만들고 있다는 점을 높이 평가하고 있다. 다양하고 넓은 분야를 대상으로 3가지 전략에 따라 주요 과제를 촘촘하게 선정했다는 점도 고무적이라는 평가다. 더불어 전략 수행 과정에 있어, 국가 보안취약점 관리체계 구축 등 정부와 민간의 역할을 나눠 실효성 있는 결과를 도출하기 위한 노력이 엿보인다는 긍정적인 평가도 이어졌다.

하지만 정책의 참신함이나 혁신성은 부족하다는 평가도 뒤따랐다. 코로나 확산에 따라 단기에 다양한 분야의 과제를 도출하다 보니 과제의 참신함과 혁신성은 다소 부족할 수밖에 없었을 것이라는 평가다.

또한 데이터 3법 등 변화된 유관 법·제도 등을 실증할 수 있는 정책적 과제 등이 없다는 것도 아쉬운 점으로 꼽힌다. 클라우드 및 비대면 환경에 대한 실효성 있는 과제 발굴이 부족했다는 점도 지적되고 있다.

보안 업계에서는 수립된 전략과 과제의 추진에 있어 정부와 민간의 역할을 명확히 구분해 효율적이고 실효성이 있어야 한다고 강조했다. 예를 들어 원격진단 분야의 경우 정부의 적극적인 역할은 자칫, 관련 시장의 축소 및 혼란을 야기할 수 있다는 것이다. 더불어 방어 중심의 대응 체계 고도화와 함께 선제적인 대응 체계를 위한 과제를 명확하게 추진할 수 있는 방안이 필요하다고 덧붙였다.

한편으로는 ‘방역’이라는 단어를 사용한 것에 의문을 표하는 경우도 있었다. 전세계적으로 주목받은 ‘K-방역’ 모델과 같이 사이버 보안에서도 글로벌 모델을 개발하겠다는 취지는 이해되지만 실질적으로 방역과의 연관성을 찾기 어렵다는 것이다.

K-사이버 방역이 성공하기 위해서는 민·관·학계의 협력이 더욱 강조될 것으로 생각된다. 현장에서 실제로 적용 가능한 정책이 되기 위해서는 민·관·학계의 논의가 더욱 활발해져야 한다는 것이다. 지속적인 논의를 통해 정책의 목표를 구체화하고, 각자의 역할 또한 명확히해 협력할 수 있는 체계를 만들어야 할 것으로 보인다.

결국 K-사이버 방역 정책을 마련, 추진함에 있어 가장 중요한 것은 ‘명확함’이라고 생각된다. 정부와 민간의 역할, 보호 대상, 보안 활동의 내용 등을 명확히 하고, 과제 또한 시장에서 실질적인 효과를 거둘 수 있도록 추진돼야 할 것이다. 민·관·학계의 지속적인 논의를 통해 ‘K-사이버 방역’ 정책이 이슈성에서 그치는 것이 아니라, 지속될 수 있는 정책이 되기를 기대한다.