시간이 갈수록 해킹공격 사례가 증가하고 있고 그 방법 또한 지능화하고 있지만 국가기관 및 공공기관 보안관제 수준은 기대 이하인 것으로 지적됐다. 이에 따라 기관의 보안관제 도입을 강제화하는 법·제도적 보완장치와 더불어 보안관제를 국방 분야의 3선 방어체계처럼 대폭 강화해야 한다는 주장이 제기됐다.
22일 국가정보원이 발간한 ‘2010 국가정보보호백서’ 분석 결과에 따르면 사이버 공격에 대비해 보안관제를 적용한 기관은 전체 기관의 66%에 불과한 것으로 나타났다. 2009년 14.1%보다 크게 높아진 수치지만 기관 셋 중 하나는 허점을 그대로 노출하고 있는 셈이다.
이는 기관의 보안관제를 강제화할 수 있는 법·제도적 장치에 마련되지 않았기 때문이다. 현재 국내에서 사이버 공격 상황을 인지하고 공유하기 위한 보안관제 업무 수행 법적 근거는 대통령 훈령인 ‘국가사이버안전관리규정’에 포함돼 있다. 하지만 이는 법적 강제력이 없는 행정규칙에 불과하다. 따라서 국가 차원의 종합보안관제를 수행할 국가사이버위기관리법 제정 등 법적 근거 마련이 시급하다.
박휘락 국민대 정치대학원 교수는 “보안관제 시스템을 구축하지 않을 경우 사이버공격을 인지하고 정보를 공유할 수 있는 능력에서 큰 부분이 사각지대로 남아 있다는 것을 의미한다”며 사이버공간에 대한 종합 방어체계 구축으로 ‘단계별 중첩 보안관제’ 개념을 제안했다. 박 교수가 제안한 ‘단계별 중첩 보안관제’는 국방 분야의 물리적 공간 3선 방어개념과 유사하다.
국방 분야 3단계 보안관제 체계는 군단 및 각 군사령부 침해사고대응팀(CERT)에서 올린 정보를 각 군 본부 CERT가 취합하고, 이는 다시 국방 CERT 및 사이버사령부로 연결되는 구조다. 이 같은 3단계 보안관제 체계를 국가, 민간 분야에 적용해 보안관제센터→부문 보안관제센터→국가보안관제센터로 이어지는 3단계 체계를 구축하면 정보 공유 및 사이버공격 탐지에 획기적인 변화를 이룰 수 있다는 주장이다.
박 교수는 △보안관제 정보를 공유하기 위한 정보 공유 시스템 구축 △사이버 공격 탐지 정보 표준화 △상호운용성 확보를 위한 법적 근거 확보 △상황인지를 위한 시각화 기반 기술 등을 적용하자고 강조했다
상황 인지를 위한 시각화 기반 기술은 한국전자통신연구원이 개발한 네트워크에서 보안상황을 보다 빠르고 객관적으로 인지할 수 있는 ‘시각화 기반의 효율적인 네트워크 보안 상황 분석 방법’을 말한다. 이를 국가 보안관제에도 적용하자는 주장이다.
조창섭 이글루시큐리티 연구소장도 “올해 최초로 공공 보안관제 서비스업체 지정을 앞두고 공공 분야 관제 사각지대가 다수 사라질 것으로 기대되지만 이 역시 예산이 받쳐주지 못한다면 무용지물에 불과하다”고 말했다.
장윤정기자 linda@etnews.com
