지난달 29일 국제전기통신연합(ITU)이 발표한 국제정보보호지수(GCI) 순위에서 우리나라가 조사 대상 194개국 가운데 4위를 차지했다. 2년 전보다 11단계 상승한 결과다.
정보보호산업인의 한 사람으로서 국제정보보호지수 4위라는 결과를 맞는 심정은 남다르다. 지금 우리 산업계는 코로나19 상황이 2년째 지속되면서 글로벌 진출 전략 수립과 수출 활동에 많은 어려움을 겪고 있다. 이 같은 시기에 이번 성과는 우리의 정보보호 수준과 역량을 나타내는 직간접 지표이자 유용한 홍보 수단이 된다.
일각에서는 국제정보보호지수와 정보보호 수준을 연계해서 판단하면 안 된다는 주장도 있다. 그러나 현대 경영학에서 자주 거론되는 '측정할 수 없으면 관리할 수 없고, 관리할 수 없으면 개선할 수도 없다'는 관점에서 보면 정확한 보안 수준 측정이 곧 보안 관리 강화와도 연계될 수 있다는 공식이 성립한다.
IBM 보안연구소가 발표한 '2021 X포스 위협 인텔리전스 인덱스 보고서'는 지난 2020년 의료·제조·에너지 업계에 가해진 사이버 공격이 2019년에 비해 2배 증가했으며, 금융·보험 업계 다음으로 가장 많은 공격을 받았다고 전했다. 이는 공격자들이 의료 지원이나 주요 공급망이 중단되면 버티기 어려운 조직을 표적으로 삼았음을 의미한다고 볼 수 있다. 이 같은 흐름은 앞으로도 지속 확대될 것으로 예상된다. 중요 정보 탈취, 금전적 이익이라는 목적이나 지능형지속위협(APT), 랜섬웨어와 같은 방식의 차이만 있을 뿐이다.
이와 관련해 해외에서는 랜섬웨어, 국내에서는 해킹사고 이슈가 각각 화두다. GCI 1위인 미국에서도 송유관 업체 콜로니얼 파이프라인, 축산 가공 업체 JBS 푸즈, 네트워크 관리 소프트웨어(SW) 개발사 카세야에 대한 랜섬웨어 공격이 연쇄적으로 발생했다. 국내에서는 복수의 항공·우주 관련 연구원과 방위 산업 관련 기업 및 기관이 APT 공격을 받아 내부정보가 유출되는 사고가 터졌다. 해킹사고 원인은 대부분 구성원의 보안 인식 부재나 관리 소홀 같은 사소한 부주의에서 비롯됐다. 보안 인식 개선 및 조직 정보보호 체계가 정립되지 않는다면 아무리 뛰어난 보안 전문가와 솔루션이 방어하더라도 취약점은 계속 생겨날 수밖에 없다.
정부는 지난 2019년에 '국가 사이버안보 전략'을 발표하면서 국가 핵심 인프라 안전성 제고, 사이버공격 대응 역량 고도화, 신뢰와 협력 기반의 거버넌스 정립, 사이버보안 산업 성장 기반 구축, 사이버보안 문화 정착, 사이버안보 국제 협력 선도라는 전략 과제를 제시했다. 후속 조치인 '국가 사이버안보 기본 계획'에서는 전략 과제를 뒷받침하기 위한 기관별 실행 계획을 18개 중점 과제 100개 세부 과제로 종합하고 내년까지 단계적 추진 계획을 수립했다.
지난해 6월에는 '제2차 정보보호산업진흥계획'을 발표하면서 디지털전환·비대면에 따른 정보보호 신시장 창출, 민간 주도의 사이버 복원력 확보를 위한 투자 지원 확대, 지속 성장 가능한 정보보호 생태계 조성을 중점 추진 과제로 제시하는 등 정보보호에 대해 지속적인 관심과 노력을 기울이고 있다.
이 같은 계획이 결과까지 순항하려면 지속적인 관심과 지원을 기반으로 한 촘촘한 관리는 필수다. 이를 뒷받침하는 정부 정보보호 거버넌스 체계가 정착돼 정권이나 정부 조직이 바뀌더라도 정보보호 정책과 전략은 연속성을 유지하면서 지속 연계·발전되기를 희망한다.
우리는 정보보호 전 분야에 걸쳐 자국 보안 솔루션을 보유하고, 국가 주요 정보통신 기반 시설에 국산 보안 솔루션을 공급하는 '자주·자력 보안'이라는 자부심을 품고 있다. 대한민국이 명실공히 세계 제1의 정보보호 강국으로서 '국제정보보호지수(GCI)' 1위를 달성하는 날이 앞당겨지도록 정보보호산업인들도 끊임없이 노력해 나갈 것이다.
윤두식 한국정보보호산업협회(KISIA) 수석부회장·지란지교시큐리티 대표 dsyoon@jiran.com
