인터넷 사이트 개인정보 유출, 지난 7.7 DDoS 사고 발생 등으로 대규모 피해가 연달아 발생함에 따라 정부부처의 정보보호 대응력이 더욱 중요해지고 있다. 특히 정보기술(IT)이 국민의 생활과 깊숙이 연결돼 정보보호가 미비하면 국민 생활의 기반을 뿌리채 뒤흔들 수 있다는 측면에서 ‘철통정보보호’이 더욱 절실히 요구되고 있는 상황이다.
‘정보통신의 미래를 생각하는 모임(회장 정태명 성균관대 컴퓨터공학과 교수)’은 서울 삼성호텔에서 ‘전자정부의 정보보호 현황과 미래’를 주제로 9월 정기토론회를 개최했다. 장광수 행정안전부 정보기반정책관의 주제 발표를 시작으로 박동훈 지식정보보호산업협회 회장(닉스테크 대표), 이명수 한국인터넷진흥원 침해대응센터장, 조규곤 파수닷컴 대표가 패널발표를 통해 전자정부의 정보 보호 현황을 조망하고 발전 방향에 대한 의견을 개진했다.
이번 토론회에 참석한 각계 전문가들은 진정한 국내 IT의 발전을 위해서는 정보 보호가 반드시 필요하다는 데 의견을 같이하고 새로운 도약을 위한 조건과 과제에 대해 심도깊은 논의를 주고 받았다.
◇ 정보보호 전문가 인력양성 ‘절실’ = 전문가들은 전자정부의 정보보호 발전을 위해서는 정보보호 전문가 인력양성이 무엇보다 시급하다고 지적했다. 정보보호 전문가의 범위도 불분명하고 해외에 비해 전문가들이 요소 요소에 적용돼 쓰이고 있는 사례가 적다는 것.
특히 정보보호 전문가들의 기용도가 낮다보니 젊은 인재들이 정보보호를 전공하고 싶어도 비전의 부재로 선택을 망설이고 이는 국내 정보보호의 취약점으로 이어지고 있다는 지적이다.
최운호 케이엘넷 상무는 “지난 2005년도 CIO 매거진에 따르면 미국은 정보보호 관련 직업의 구분과 직종이 약 70여가지를 넘는다”며 “한국인터넷진흥원(KISA)가 설립된지 10여년이 지났는 데 이 정도면 우리나라도 최소 10여가지 이상의 정보보호 관련 직종이 있어야 할 것”이라고 말했다.
이제호 성균관대 의대교수는 “과거 의료분야도 직종 구분이 세밀화되지 않아 환자의 목숨을 다루는 의료분야가 이래서 되겠냐는 각성을 통해 직무 분리를 강화했다”며 “IT분야도 국민의 생활과 밀접히 연결돼 의료분야 못지않게 개인의 생활을 위협하는 만큼 직무에 대한 세밀한 구분이 필요하다”고 목소리를 높였다.
행정안전부 정보기반정책관인 장광수 국장은 “지식경제부에서 정보보호와 관련된 인력양성 계획, 산업육성 계획 등을 수립, 수행해나가고 있다”며 “KISA 등에서도 정보보호 아카데미를 만들어 인력을 양성하는 등 각 방면에서 정보보호 전문가에 대한 수요를 맞추기 위해 노력중이니 좀더 시간을 갖고 지켜봐달라”고 당부했다.
◇정보보호관리책임자(CISO) 설정·IT콘트롤 타워 부재 심각=사고가 발생했을 때만 임기응변식으로 그때그때 대처하는 등 사고가 반복되는 느낌이라는 질타의 목소리도 높았다.
참석자들은 7.7 DDoS 사고가 발생했을 때 정보정보보호 심사관을 둔다고 하더니 사고가 조금 지나가고 나니 이에 대한 후속 조치가 없다며 정부의 답변을 요구했다. 특히 이번 기회에 이런 대형 사고가 반복되지 않도록 항구적인 제도를 만드 는데 집중해줄 것을 요구했다.
장 국장은 “CISO의 역할이 어디까지인 지, 정부의 컨트롤 타워를 어떻게 할 것 인지에 대해 정부도 심각하게 고민중이다. CISO의 역할에 대해서는 좀더 깊은 논의를 통해 좋은 대안을 내놓을 예정”이라고 말했다.
그는 또, “그간 정통부로 집중됐던 IT 관리 업무를 각 부처로 쪼개져 어려움이 있었던 게 사실이다. 하지만 앞으로는 정부부처간 벽을 허물고 최종적으로 국정원에서 총괄하고 방통위는 민간 분야 등을 맡아 협력체계를 구축해 지속적이고 유기적인 발전을 이루도록 협력해나갈 방침”이라고 강조했다.
◇ 정부·민간·개인의 유기적 협력앞서야=악성코드, 해킹 등의 문제를 뿌리뽑을 수 있도록 정부가 먼저 나서서 개인과 사업자 등을 지도해야한다는 의견도 나왔다.
이찬진 드림위즈 사장은 “개인사용자들, 특히 어린 학생들은 컴퓨터 정보보호에 대한 마인드가 없어 ‘액티브 X’ 등의 창이 뜨면 무조건 클릭하기 때문에 좀비 PC화되는 경향이 있다”며 “정부에서 초중고생들의 정보보호 교육을 강화하거나 네이버, 한게임 등 사용자들이 많이 찾는 사이트에 무료 백신을 배포하면 사고가 줄어들 것”이라고 주장했다.
이명수 한국인터넷진흥원 침해대응센터장은 “최근 한국인터넷진흥원에서는 네이트온, 네이버 등의 업데이트 시 이용자 PC를 검사해 악성코드의 유무를 판단해 제거하도록 하고 있다”며 “이를 통해 기존보다 10% 이상 좀비 PC를 없애는 데 성과를 내고 있어 향후 이런 예방조치를 보다 강화할 예정이다“고 밝혔다.
그는 또 “CISO 등 책임자를 둘 수 있는 기관에 대해서는 상대적으로 정보보호 취약성을 걱정할 것이 없지만 비용 때문에 이를 감당할 수 없는 중소업체들을 찾아서 조치를 취해줄 계획도 갖고 있다. 진흥원은 전국 180만 도메인을 매일 조사하고 악성코드를 찾아서 제거하는 작업을 지속적으로 수행할 예정이다”고 말했다.
한편 박동훈 지식정보보호산업협회 회장은 “백신 제품, 악성코드 제거 프로그램 등을 무료로 배포하라고 한다면 관련 사업을 하는 회사들은 모두 큰 타격을 입는다”며 “항상 새로운 해킹기법, 공격이 등장하기 때문에 바이러스가 없는 세상이란 있을 수 없다. 정보정보보호 사업이란 조금씩 늘 변화, 발전하는 공격에 대응하는 지속적인 사업이라는 점을 염두에 두고 일시적인 투자가 아닌 장기간에 걸친 투자 계획과 대응안을 세워달라”고 주문했다.
토론회를 진행한 정태명 성균관대 컴퓨터공학과 교수는 “우리가 진정한 IT 강국이 되기 위해서는 정보보호가 반드시 필요하다”며 “정부와 민간, 개인이 협력해서 리더쉽을 발휘해 진정한 IT코리아가 될 수 있는 힘을 이어가자”라며 토론회를 마무리했다.
◆주제발표-장광수 행정안정부 정보기반정책관
지난해 국가 정보화 지수 3위, UN 온라인 참여지수 2위, 브루킹스연구소 평가 1위 등 전자정부의 준비 지수는 한국이 단연 세계 으뜸이다. IT가 우리 경제의 버팀목이 되고 인터넷활용에 있어 세계 최고를 자랑하며 이를 기반으로 전자정부가 보다 힘을 받고 있다.
하지만 최근 7.7 DDoS 사태 등에서 보여지듯 전자정부를 위협하는 가장 큰 걸림돌은 정보보호의 허점이다. 스마트그리드, 유비쿼터스 등으로 변화돼 가는 환경에서 정보보호가 없다면 경제적 혼란은 불을 보듯 뻔하다. 우리나라가 제 2의 인터넷 강국이 되기 위해서는 이런 위험성을 우선적으로 제거해야 한다.
지난 7.7 DDoS 사태때 정부통합센터는 7방어(DDoS, 침입차단, 침입탐지) 3분석(유해트래픽, 취약성, 종합정보보호) 시스템으로 신속대응해 피해가 미미했는 데 청와대와 국회 등 개별관리 기관은 접속지연 등으로 피해가 발생했다. 이와같이 웹 사이트에 대한 체계적인 보호 대책이 부재하면 큰 피해를 입을 수 있다. 그간 네트워크 정보보호 중심으로 엔드 포인트에 대한 정보보호가 소흘했고 인터넷 트래픽 증가에 따른 대역폭 확보 등 변화된 주변 환경을 반영하지 못해 이런 사태를 초래했다.
또 전담조직이 중앙 19%, 지자체 56%로 사이버대응 조직 및 인력부재, 정보보호 예산 및 정보보호인프라의 부족, 국가 정보통신기반시설의 지정 및 보호체계 미흡, 관계부처간 정보공유 등 협조체계 미흡이라는 걸림돌을 우선 제거해야할 것이다.
정부는 표류하고 있는 개인정보보호법의 제정을 연내 완료하고 정보보호에 관련된 법을 재정비할 방침이다. 이와 함게 국민 PC에 백신프로그램 자동설치, 네트워크상에서의 대량 트래픽 차단 등으로 인터넷상 좀비 PC를 방지할 체계를 마련해 병원, 통신, 홍수통제 시스템 등 현재 109개 기반시설을 2012년까지 300여개로 확대 지정해 대국민 서비스를 강화할 예정이다.
사이버위협에 대비해 취약점 점검주기를 기존 2년에서 1년으로 단축하고 모의훈련을 연 1회 실시할 예정이며 일정규모 이상의 기관, 서비스를 대상으로 정보보호 관리체계 평가 및 인증을 의무화할 방침이다. 또 청소년 대상 정보보호 및 정보윤리 교육을 강화하고 정보보호 학과 신설 등을 통해 전문인력을 확보할 방안을 마련중이다. 정보보호 유공자 시상, 해킹대회, 국제 컨퍼런스 등의 행사를 통해 개인이 실천할 수 있는 생활속 사이버안전도 구현하고 있다.
이렇게 정부는 정보보호 수요창출 및 기술개발 지원과 민간의 기술 및 서비스 개발, 개인의 생활속 사이버 안전생활 구현 등을 통해 건전한 정보보호 생태계를 구현하고 가치사슬이 발전해나갈 수 있도록 유도할 방침이다.
※패널 발표
◆박동훈 정보보호산업협회 회장(닉스테크 대표)
“산업계의 건강한 생태계 유지를 위해 정보보호 필수”
IT강국이라는 말을 흔히 쓰고 있지만 진정한 IT강국으로 가기위해서는 반드시 정보보호에 대한 투자가 뒤따라야한다.
산업기밀 누출, 개인정보 유출, DDoS 사태까지 일련의 사고를 맞으며 정보보호에 대한 공감대가 형성되고 있다. 결론은 산업 생태계가 건강하게 유지되기 위해서는 정보보호가 반드시 필요하다는 것이다. 특히 정보보호 산업을 일으키기 위해서는 정보보호 전문인력을 양성해야한다는 데 모두가 공감하고 있다. 교육, 인력 고용 안정 등 여러 방면에서 교육프로그램이 제공되고 전문 인력들이 정보보호 산업분야에서 비전을 찾을 수 있는 제반적인 여건을 마련해줘야 할 것이다.
그러기 위해서는 지속적인 투자가 필요하다. 미래 비전을 찾으려는 젊은이들에게 정보보호 산업에서 희망을 주어야한다. 정보보호 산업계가 건실한 토양위에서 발전하기 위해서는 여러 가지 정책들이 유기적으로 어우러지며 발전될 수 있기를 바란다.
◆이명수 한국인터넷진흥원 침해대응센터장
“보안 불감증 벗어나 예산?인프라 확충 시급”
7.7 DDoS 사건을 겪으면서 정보보호 분야가 너무 좁은 분야라 어려움이 많다는 것을 통감한다.
DDoS 사고와 같은 사건이 일어난 데는 우리들의 정보보호 불감증이 큰 몫을 담당했다. 아직까지 정보보호 예산은 2009년 5.5%로 선진국의 9%에 비해 절반 수준이며 정보보호시스템 인프라도 부족한 편이다.
그러나 우리 사회는 유비쿼터스화되어가고 있고 향후 스마트그리드 등이 적용되면 사회간접자본과 합쳐져서 정보보호가 더욱 중요시될 전망이다.
다이하드 4에서 신호등 체계를 해킹해 교통사고가 발생된 것처럼 만약 스마트그리드 시스템이 해킹되면 전국의 전력시스템에 혼란이 올 것이다. 정보보호는 그만큼 생활의 안정을 위해서 중요한 시스템으로 작용될 것이다.
◆조규곤 파수닷컴 대표
“사고 발생전 예방적 사고를 갖추자”
정보보호라는 것이 항상 사고가 터진 후에 그걸 막았어야하는데라고 후회하기 쉽지만 처음부터 예방이 중요하다는 것은 두말할 필요가 없다.
여러 분야의 기술들이 점차 발달해 사람의 몸에 들어가는 의료기기에 IT기술이 접목돼 U-헬스 등으로 발전되고 있는데 이런 의료용 IT기기를 해킹하게 되면 사람의 목숨을 위협받을 수도 있다. 이것은 매우 심각한 문제다.
우리는 컴퓨터 수준의 정보보호를 생각하기 쉽지만 전 영역에 걸쳐 정보보호를 고려해야한다. 사고가 날때마다 정보보호 전체를 다시 흩어보며 어디가 취약한지 점검하는 예방적인 사고를 갖춰야한다. 또한 지금은 정보보호라고 하면 외부의 해커에 대한 침해를 두려워하지만 최근 일련의 개인정보유출사건을 떠올려 보면 내부자에 의해 일어난 사고도 많다.
내부자 정보보호 등 정보보호의 주체가 어디인지도 고려하는, 좀더 큰 그림에서의 정보보호를 생각해봐야 한다.
장윤정기자 linda@etnews.co.kr
