[화요특집-정보보안기술] 좌담회 주제 발표

인터넷 전자상거래(EC)를 비롯한 첨단 정보통신 환경이 기존 산업 패러다임 자체에 일대 변혁을 가져오고 있다. 하지만 EC를 비롯, 모든 산업분야가 국경을 초월한 자유로운 교역을 전제로 하고 있는 상황에서 국내 정보보호 관련 정책 및 제도는 정보보호산업의 효율적 발전을 저해하는 걸림돌이 되고 있다는 지적이 곳곳에서 터져 나오고 있다. 특히 정보보호산업에 대한 정부의 지나친 간섭과 규제가 산업경쟁력도 약화시킨다는 우려의 목소리가 높다. 이에 본지에서는 국내 정보통신산업의 활성화와 정보보호산업의 경쟁력 강화 차원에서 「정보보호 정책, 제도의 문제점과 개선방향」이라는 주제로 관련 전문가들이 공통 해결책을 모색하는 자리를 마련, 지난 9일 좌담회를 가졌다. 좌담회는 주제발표, 자유토론의 순서로 진행됐다. 좌담회 주요내용을 정리한다.

<편집자>

정보보호산업 육성 방안-펜타시큐리티시스템 이성만 실장

정보보안산업은 국가 주도의 주력산업 분야로 육성해야 한다. 이를 위해서는 우선 공공 전산망 보안시스템의 구축과 관련, 정부 차원에서 기준과 지침의 마련이 필요하다.

국내의 경우 암호, 전자인증(CA), 전산망범죄 등과 관련한 정책 및 제도의 준비가 상당히 미흡한 실정이다. 단적으로 남아프리카공화국만 해도 최근 CA사업자를 선정해 전자상거래 환경에 대비하고 있는 상황이고 보면 우리의 수준을 알 수 있다.

정부 차원에서 제공하는 기술지원자금은 모든 분야에 균일하게 배당할 게 아니라 핵심적인 특화기술을 엄격한 기준으로 선정, 이에 대한 집중적인 지원이 있어야 한다. 이를 통해 정부와 업체가 공동이익을 창출하는 방안을 강구해야 할 것이다.

이와 함께 한국정보보호센터를 중심으로 한 주요기관이 업계의 기술수준을 향상시킬 수 있도록 최신 기술의 흐름 및 통계자료 분석, 기술전수 등을 수행해야 한다. 특히 정보보안과 관련해서는 정보보호센터가 주도적으로 국내 독자적인 표준화작업을 신속히 진행해야 한다. 세계적으로 이미 시큐리티다이내믹스와 같은 외국 업체는 자사의 암호 알고리듬인 RSA를 일정 지역이 아닌 세계 표준으로 안착시키는 작업을 벌이고 있다.

또 보안업체 대부분이 영세한 규모인 상황에서 시장형성과 신속한 제품개발을 위해 방화벽 등 보안제품의 인증이 지나치게 엄격해서는 곤란하다.

결론적으로 아직은 세계적으로도 정보보안 시장이 형성단계에 있고 국내 기술수준도 그다지 뒤지지 않아 국가가 산업육성에 적극 나선다면 얼마든지 경쟁력을 갖춰 나갈 수 있을 것이다.

선진국 사례로 본 개선 방향-성균관대 원동호 교수

전자상거래 등 개방된 네트워크 환경이 신뢰성을 담보하기 위해서는 시스템의 정보보호가 선행돼야 한다. 정보보호 대책에는 여러 가지가 있으나 가장 경제적이고 보안수준에 따라 효율적이고 계층적인 보안대책을 제공할 수 있는 방법이 「암호방식」을 이용하는 것이다.

암호방식을 이용한 정보보호의 활성화를 위해서는 정보보호 정책 및 제도를 국가 차원에서 실정에 맞도록 개선해야 하는데 특히 암호의 기밀성과 관련해서는 논란의 여지가 많다. 암호의 기밀성은 개인 표현의 자유와 프라이버시를 보장하는 「순기능」이 있는 반면 범죄 등에 악용, 공공질서를 파괴할 수 있는 「역기능」도 있다.

정보선진국인 미국의 경우 민간부문의 암호장비 사용을 허용함으로써 프라이버시를 보호하는 것을 원칙으로 삼고 있으며 적법한 절차에 따라 복호화 키에 대한 접근권을 갖는 것을 신중히 검토하고 있다.

영국은 암호사용에 대한 규제가 개인의 자유를 침해하므로 법률적으로 불가능할 뿐만 아니라 정보통신망의 경제적 가치를 손상시키는 것으로 판단, 압수, 수색, 정보공개 등에 관한 적절한 해법을 모색하고 있다.

프랑스는 일정한 보안규약만 따르면 암호장치, 서비스에 대한 아무런 규제가 없다.

국내에서도 이같은 세계적 추세를 감안, 보안정책과 관련한 규제완화의 필요성이 있으며 정보보호의 「순기능」과 「역기능」을 적절히 조화시킬 수 있도록 법, 제도를 정비해야 한다.

금융권 정보보호 정책 방향-은행연합회 윤용기 신용정보부장

금융전산화가 급속히 진전되고 인터넷이라는 개방환경과 금융망이 맞물리게 되면서 시스템의 안전성은 향후 금융산업 발전의 관건이 되고 있다. 이미 해외에서는 각종 금융전산망을 통한 금융사고가 빈발하고 있고 국내에서도 이같은 유형의 범죄가 고개를 들고 있다.

금융사고 방지를 위해 최신 정보보호 기술이 적용될 수 있지만 현재는 다음과 같은 정보보호 대책들이 있다. 우선 고객의 비밀번호 관리체계를 강화해야 한다. 이를 위해 1회용 비밀번호생성기(OTP)나 일부 은행이 도입, 운용중인 화자검증시스템 등의 보완장치를 마련할 필요가 있다.

또 인터넷을 통한 전자금융에 대해 고객의 요구가 점증하는 상황에서 이에 대한 해킹방지 대책을 신속히 수립해야 한다. 특히 대부분의 금융사고가 은행 내부자에 의한 조직적 범행임을 감안, 각종 감시시스템의 운용을 통한 내부관리체제를 강화할 필요가 있다.

이와 함께 현재 금융망 내에서 데이터 자체가 암호화되지 않은 상태로 저장, 전송되고 있는 상황을 개선하기 위해 금융망용 암호화 장비를 조속히 개발, 보급해야 한다.

이같은 금융망 정보보호 대책을 실행하는 데 무엇보다 문제가 되는 것은 재정경제부, 안기부 등 정책당국의 모호한 보안지침이라는 게 은행권 실무자들의 생각이다. 결국 고객을 보호하고 은행의 경쟁력을 확보하는 차원에서 은행권이 자율적으로 이를 해결할 수 있도록 하든지 혹은 정부차원의 확실한 기준과 대책을 제시해야 한다.

산업육성을 위한 정책 방향-정보통신부 박정렬 정보보호과장

국내 정보보호산업 발전을 위해서는 정보보호 기술개발 및 표준화 촉진, 정보보호 전문인력 양성, 보안업체의 지원과 육성을 위한 제도정비 등의 과제가 있다.

이같은 과제를 달성하기 위해서는 무엇보다 정보통신 기술개발 계획 수립시 정보보호 분야 기술개발비를 지속적으로 투입하는 것이 중요하다. 이같은 조치는 여타 정보통신 분야에 비해 상대적으로 취약한 정보보호 기술수준을 조기에 향상시키기 위해 필수적이다.

또 정보보호 분야의 전문인력을 양성한다는 취지에서 관련 대학(원)에 지원을 아끼지 말아야 하며 정보보호센터의 교육지원 역할도 강화할 필요가 있다. 이와 함께 정보통신 종사자들의 해외연수 및 학위취득은 물론 관련학회의 학술활동도 적극 지원할 생각이다.

정보보호 분야의 표준연구개발기관인 정보보호센터의 역할을 강화, 국내외 표준화 활동에 도움을 주는 것도 중요하다.

또 정보보호산업체에 대한 기술개발 투자를 적극 지원하고 관련제도의 정비 및 수요기반의 확충에도 중점을 둘 것이다. 특히 이와 관련, 「전산망 보급 확장과 이용촉진에 관한 법률개정안」도 올 정기국회에 제출, 시대적 추세에 걸맞게 개선할 계획이다.

이와 함께 정보보호시스템 도입을 공공부문이 주도할 수 있도록 정보화사업 추진시 정보보호 대책수립을 필수적으로 수행하도록 할 것이다.

논란이 많은 암호사용에 대해서도 OECD 등 선진국의 동향을 충분히 고려해 국제규범에 맞는 제도를 강구할 예정이다.

토론회 주요 쟁점에 대한 안기부의 답변

암호정책=국가 및 공공기관의 암호정책은 공개할 수 없는 사항이다. 민간분야는 정보시스템의 안전한 운용과 개인정보 보호를 위해 정당한 암호사용을 보장하는 한편 불법집단의 암호악용을 방지할 수 있도록 OECD 암호정책지침 등을 고려, 현재 산, 학, 연 전문가들로 구성된 「정보보호 정책방안 연구반」에서 세부정책을 수립중이다.

금융망보안= 금융전산망 보안에 대해서는 일반의 오해가 있다. 금융망보안을 총괄하는 기관은 재경부로서 안기부는 단지 보안성 검토의뢰가 들어오면 기술자문만을 담당할 뿐이다. 하지만 금융망이 국가안보 차원에서 중요한 「국가망」이라는 데는 정책변화의 여지가 없다.

정보보호센터의 위상과 역할= 정보보호센터는 설립근거를 명시하고 있는 정보화촉진기본법에 따라 「정보보호 관련 정책, 제도의 연구와 민수용 보안제품 평가」에 국한돼야 한다. 정보보호와 관련한 국가 전략적 차원의 영역은 안기부가 담당할 수밖에 없다.

정보보호관련 법규정의 재정비= 정부 각 부처가 개별적으로 마련, 운용중인 보안업무 세부규칙은 안기부법에 근간을 두고 있다. 따라서 공공기관은 소속기관이 정한 세부규칙에 따라 보안지침을 따르면 되므로 법규 재정비가 불필요함은 물론 내용면에서도 규정간에 상충하는 부분은 없다.

보안관련 국가전략 프로젝트= 21세기 정보사회에서의 정보전 등 사이버 위협에 대비, 국가안보 차원에서 대책을 마련중이다.