ISAC 설립 의의와 기대효과

정부가 최근 세계적으로 급증하고 있는 사이버테러 방지를 위한 적극적인 지원에 나섰다. 정보통신부는 미국이 사이버테러를 막기 위해 설치, 운영중인 정보공유·분석센터(ISAC·Information Sharing and Analysis Center)를 토대로 상업성보다는 공익성을 추구하고 자립운영이 가능토록 독립채산제로 운영하는 등 국내 실정에 맞는 ISAC 설립을 본격화하기로 했다. 이는 유사업종을 하나로 묶어 취약점 및 침해요인과 이에 관한 정보를 제공하고 침해사고 발생시 실시간 경보와 분석을 수행함으로써 사이버테러의 가능성을 미연에 막거나 피해를 최소화할 수 있을 것으로 보인다.

◇설립추진 배경＝ISAC의 설립은 지난 2월 「사이버테러방지 관계장관회의」에서 처음 거론됐고 이후 입법 추진중인 「정보통신기반보호법」에 의거, 6월부터 본격적인 추진작업에 들어갔다.

ISAC는 사이버테러에 대한 대비 및 예방은 물론 탐지·대응을 통해 시민들의 시민적 자유와 사생활권, 사유 데이터를 보호하는 것이 목적이다. ISAC에서는 취약점 및 침해요인과 이에 대한 대응방안 정보를 제공하고 침해사고 발생시 실시간으로 경보·분석하는 업무를 중점적으로 수행하게 된다. 또한 부가적으로 침해사고를 대비한 대응체계를 운영하고 정보통신기반시설 보호시스템에 대한 시험, 정보보호교육 및 훈련 서비스 등을 제공한다.

이를 위해 정부는 해킹이나 바이러스 침해시 파급효과가 큰 금융과 통신분야 ISAC를 우선 설립, 운영하고 점차 분야를 확산시켜 나가기로 했다. 금융 ISAC는 금융감독원이, 통신 ISAC는 한국통신자연합회 주도하에 민간 자율적으로 설립, 추진된다. 특히 금융 ISAC는 올해말을 목표로 각 금융기관 의견 청취 및 설립추진을 위한 사무국 및 전담반을 구성, 이를 추진하고 있고 통신 ISAC는 내년 상반기중 설립을 목표로 설립 추진안 수립 및 관계기관 의견 청취를 추진중이다.

◇설립·운영방식＝ISAC는 민법상 사단법인 또는 사단법인의 부속조직 형태로 설립하되 최초의 조직구조는 기획, 정보교류, 침해사고 대응, 교육, 실험실습 등 5개 분야로 구성된다. 또한 분야별 특성 및 향후 발전가능성을 검토한 후 각 가입기관의 지분참여율을 정해 공동출자 형태로 초기 자본금을 마련해 설립된다. ISAC는 기본적으로 독립채산제 방식으로 운영된다. 특히 ISAC가 수행하는 업무의 대부분이 비수익사업 형태가 될 것이기 때문에 운영재원은 가입기관의 분담금으로 하는 것을 원칙으로 하되 부족분은 최소한의 수익사업을 통해 마련된 재원으로 충당하게 된다.

◇외국 ISAC 사례＝미국의 경우 지난 98년 5월 대통령훈령(PDD) 제63호를 제정해 자국내 주요 기반구조 보호에 필요한 대책을 수립하기로 하고 99년에 금융·통신·에너지·전력 등 4개 분야를, 지난 7월에는 정부·수송 분야의 ISAC를 구축, 운영중이다. 특히 미정부는 주정부 및 분야별 ISAC 설립을 유도중이며 오는 2001년 상반기까지 수십개의 ISAC를 전국적으로 설치, 운영할 예정이다.

유럽의 경우 미국의 금융 ISAC와 미국계 세계지점망을 갖춘 금융회사, 유럽 통신사업자 등이 유럽 ISAC 설립에 관한 논의를 진행, 월드와이드 ISAC 형태의 서비스를 준비중이다.

또한 스웨덴은 의회의 승인을 받아 정부·민간사업자의 컨소시엄으로 내셔널 ISAC를 추진중이고 영국은 신뢰성있는 「정보보호서비스사업자(TSSP)」를 선정해 정부·기업·민간이 동 사업자가 제공하는 서비스를 이용하는 체계를 구성, 정부 및 민간 통합 ISAC를 구상중이다. 일본에서도 통상성 산하 IPA(Information-technology Promotion Agency)가 재팬 ISAC 설립을 검토중이다. 일본에서는 미쓰비시의 주도로 해외 ISAC 설립 동향에 대한 구체적인 정보 검토를 마치고 정책 및 설립안을 준비중이다.

◇기대효과＝정통부는 ISAC를 통해 가입민간기업들의 정보시스템에 대한 취약성 분석과 평가를 실시함으로써 민간기업들의 사이버테러 대응체계를 구축할 수 있을 것으로 보고 있다.

따라서 ISAC가 설립되면 사이버테러에 대비한 민간기업의 대응능력이 높아져 이에 적극 대처할 수 있게 됨은 물론 정보보호 산업 수요를 촉발하는 계기가 마련될 전망이다.

또한 각종 사이버테러에 금융·통신기관이 독자적으로 대처할 경우 문제점으로 드러나는 비용 및 정보보호 전문인력 부족문제 등을 해소해 줄 수 있을 것으로 보인다.

<주문정기자 mjjoo@etnews.co.kr>