[화요특집-정보보안기술] 좌담회 토의 내용

참석자:정보보호센터 이철수 원장(사회자), 정보통신부 박정렬 정보보호과장, 은행연합회 윤용기 신용정보부장, 성균관대 원동호 교수, 펜타시큐리티시스템 이성만 실장

△사회자=정보보호산업 육성을 위해서는 우선 그만한 수요가 창출돼야 할 것으로 봅니다. 이에 대해 정부차원에서는 어떤 대책을 갖고 계시는지요.

△박정렬 과장=공공부문의 주요 프로젝트는 정보시스템 구축을 위한 수립단계에서부터 반드시 정보보호시스템을 갖추도록 법제화할 생각입니다. 최근 이같은 내용을 담아 「정보화추진위원회」에도 보고한 바 있으며 내년부터는 실제 사업에 적용할 수 있을 것입니다.

△사회자=하지만 계획을 수립하고 예산을 책정한다고 해서 정보보호시스템에 대한 수요보장 문제는 해결되지 않으리라는 게 일반적인 견해인 것 같습니다.

△윤용기 부장=맞습니다. 현재 금융기관의 상황을 보면 예산이 책정됐다고 해도 보안정책과 관련한 제도적인 걸림돌을 제거하지 않는다면 수요확보는 힘들 것입니다. 일반적으로 금융권에서는 예산을 확보해 보안제품을 도입하려 해도 안기부를 비롯한 관계기관의 승인을 얻어야 합니다. 이때 보안제품은 아무리 신뢰성이 검증됐다 하더라도 일단 외산은 안된다는 게 기관의 원칙입니다. 해외로부터의 정보악용 가능성 때문입니다. 또 채택하더라도 모든 소스코드를 공개하도록 강제하고 있습니다. 때문에 외산제품의 도입은 사실상 불가능한 실정입니다. 그렇다고 성능이 검증되지 않은 국산을 채택할 수도 없습니다. 국산제품의 안전성 보장이 힘들기 때문이죠.

△이성만 실장=특히 암호화 알고리듬에 대해 민감한데 재경부, 안기부 등에서는 이에 대한 확실한 대책을 마련하겠다고 언급은 하고 있지만 구체적인 시기나 절차 등도 불분명해 사실 금융권에서는 암호제품의 도입조차 힘든 상황입니다. 특히 공공 전산망의 경우 암호화 알고리듬을 지난 5월에 안기부에서 공급하기로 돼 있었습니다. 하지만 이에 대해 아직 아무런 확답이 없습니다.

결국 이같은 상황이 보안시장 수요는 예산확보의 문제보다 관련 정책상의 문제에 달려 있다는 것을 입증합니다.

△윤 부장=이같은 문제점을 해결하기 위해서는 업계가 공동으로 정부차원의 대책을 요구하거나 정통부가 물꼬를 트는 수밖에 없을 것 같습니다.

△박 과장=정보보호 제도, 정책에 관한 정부의 규제를 주로 말씀하시는데 현재 문제는 이조차 명확하지 않다는 것입니다. 관련 보안지침만 해도 재경부, 정통부, 안기부 등에서 개별적으로 규정하고 있어 때때로 법규정에 혼선을 초래할 수도 있는 것입니다. 논란의 여지가 있는 보안지침이 무엇인지부터 명확히 할 필요가 있습니다.

△사회자=정보보안과 관련한 법규정이 모호한 것은 사실입니다. 대부분의 보안실무 담당자들이 알고 있는 보안지침은 실은 일종의 관행인 경우가 많습니다. 하지만 보안관련 법규정 정비문제에 대해서는 확실한 대책이 있어야 합니다.

△이 실장=결국 이 문제의 해결을 위해 새로운 제도가 필요할 수도 있지만 주도할 기관을 명확히 하는 게 가장 중요한 게 아닌가 생각합니다. 주도기관은 역시 정보보호센터가 돼야 하는데 유독 정보보호정책과 관련해서는 안기부에 종속적인 것 같습니다. 또 정보화정책 전반에 대해 책임지고 있는 정통부도 정보보호와 관련해서는 안기부와 효율적인 역할분담이 이뤄지지 않고 있는 것 같습니다. 이같은 상황에서 실질적인 정보보호정책 내용의 수립을 담당하는 자문기관으로서 정보보호센터의 역할은 강조돼야 한다고 생각합니다.

△원동호 교수=그 부분에 대해서는 저도 동감합니다. 특히 공공부문과는 별개인 민간부문에 대해서는 정보보호정책에 관한 총괄적인 책임을 정보보호센터가 맡아 정보보안에 관한 실질적인 보증기관으로 역할을 해야 한다고 생각합니다.

△윤 부장=정보보호가 국가안보에 직결돼 있기 때문에 안기부의 취지는 이해합니다. 하지만 갈수록 민간 경제부문의 역할이 증대되고 있는 상황에서 민간부문의 보안정책만큼은 자율성을 인정하는 게 필요합니다. 이를 위해 정보보호센터가 주도하고 정통부가 지원하는 민간정보산업 육성책이 절실한 것입니다.

△사회자=정부의 관련부처가 협의해 정보보호 정책에 대한 전반적인 체계를 조속히 마련해야 할 것 같습니다. 이제 국내 정보보호 기술을 획기적으로 향상시킬 수 있는 방안에 대해 논의를 진행해야 할 것 같습니다.

△이 실장=기술력 확보문제는 결국 업계, 학계의 책임이 아닌가 생각합니다. 국내업체들도 지난해 방화벽 제품을 필두로 이제 암호관련 제품, 침입탐지시스템 등을 속속 갖춰가고 있습니다. 양적인 면에서는 아직 선진국에 뒤지지만 기술개발 진척속도를 고려할 때 얼마든지 따라잡을 수 있는 상황이라 판단됩니다. 각종 협회나 단체를 통해 민간업체들이 기술, 자금 등을 지원받는 방법이 기술력 향상의 현실적인 대안일 듯합니다.

△원 교수=정보보호기술 향상을 위한 방안을 찾기 위해 현재 표준화가 진행중인 국산 전자서명알고리듬(KCDSA)의 경우에서 시사점을 얻을 수 있을 것 같습니다.

최근 미국은 새로운 표준 암호화 알고리듬으로 AES를 제안하고 여기에 민간인들의 제한없는 공모를 요청한 바 있습니다. 이같은 표준화 작업이 활성화된다면 우수한 성능의 제품을 확보할 수 있는 것은 물론 산업활성화에도 촉발제가 될 수 있을 것으로 보입니다.

정부차원에서 정보보호기술 확보를 위해 제시할 수 있는 대책은 결국 개별기술에 대한 표준화 작업이 진행될 수 있도록 지원하는 것이라 생각합니다.

△박 과장=정통부에서도 정보보호분야의 표준화를 위해 각종 프로젝트와 예산을 기획하고 있습니다. 하지만 미국의 경우도 AES 표준선정을 위해 몇년째 작업중이듯이 국내 기술저변만 확대된다면 이같은 표준화 작업을 바로 진행할 수 있을 것입니다.

△이 실장=국내 기술저변이 아직 미흡하다고 지적하셨지만 현재 나와있는 국산 암호화 알고리듬만 해도 5가지나 됩니다. 물론 전반적으로는 기대에 못미치지만 국가적 표준화 작업이 수행된다면 업체의 기술력 확보를 촉진할 수 있을 것이라 생각합니다.

△사회자=공공기밀이 보장돼야 할 보안제품의 경우는 공모가 불가능할지라도 민간이 널리 사용할 제품은 공모형식으로 조달하는 게 효과적인 것 같습니다. 어쨌든 업계의 기술저변 확대와 정부의 표준화 작업은 병행해 추진돼야 하는 일이라 생각합니다.

끝으로 최근에 와서 논의가 무르익고 있는 「정보전」에 대해 토론을 해봤으면 합니다. 사실 정보보호가 이전까지는 산업적인 측면에 머물렀지만 앞으로는 군사력과 마찬가지로 「국가수호전략」이 되지 않을까 싶습니다.

△원 교수=제2차세계대전에서 암호공격이 상당한 힘을 발휘했던 점을 감안한다면 앞으로 정보사회에서 한 국가가 지닌 정보보호기술은 곧바로 군사력으로 직결된다고 할 수 있습니다. 이제는 우리도 정보보호 전략을 국가간 정보전의 차원에서 준비하는 것이 필요하다고 생각합니다.

△이 실장=맞습니다. 얼마전 신문보도에서도 나왔듯이 현재 당장이라도 사이버 테러를 감행할 수 있는 국가가 전세계에서 10개국에 달한다는 사실은 우리를 바짝 긴장하게 합니다.

지금에 와서 정보기술은 제2의 군사력입니다. 비단 공격적인 관점을 떠나더라도 사이버 공격자에 대한 역추적(역해킹) 기술은 확보할 필요가 있습니다. 힘의 논리가 지배하는 세계질서에서 적어도 상대방과 동등한 정도의 힘은 보유해야 하는 것이지요.

△사회자=사실 현재 대부분 국가의 사회간접자본(SOC) 인프라가 정보통신이라는 뼈대로 얽혀 있는만큼 지금이라도 최신 정보기술을 활용해 사이버 테러를 감행할 경우 국가의 운영 자체가 마비될 수 있습니다. 약간 앞선 생각일 수 있지만 정보전에 대비해 국가 전반적인 정보통신 인프라에 대한 총체적 대비책이 마련돼야 합니다.

△이 실장=정보전에 대비하기 위해서는 선진국과 마찬가지로 우리도 정보보호 기술과 관련한 국가전략 프로젝트가 입안, 집행돼야 합니다. 또 현재 국가 정보인프라에 대한 총체적인 진단이 필요합니다. 바로 이같은 과제를 수행할 주체가 바로 정보보호센터가 돼야 할 것이라고 생각합니다.

△사회자=결론적으로 정보보호산업의 초기단계에서 이를 육성하기 위해서는 정부의 역할이 중요한 것 같습니다. 관련 법, 제도의 정비는 물론 핵심 정보보호 기술에 대한 집중지원이 필요한 시점이라는 데 의견을 함께 하는 것 같습니다.

<정리=서한기자>