'전화위복'이라는 말이 있다. '화가 바뀌어서 오히려 복이 된다'는 말로, 불행한 일이라도 노력하면 행복한 일로 바뀔 수 있다는 뜻이다.
정보보호업계에도 최근 전화위복이 된 이슈가 있다. 바로 랩서스그룹이 지난해 삼성전자, LG전자, 엔비디아 등 글로벌 대기업을 해킹한 사례다.
랩서스그룹은 사회공학적 해킹기법을 통해 내부자 정보를 파악, 내부 계정으로 대량의 기밀정보를 유출했다. 그 과정에서 네트워크 경계 기반 중심의 전통적인 보안모델은 한계를 드러냈으며, 글로벌 업계는 새로운 기술과 패러다임으로 대응하고 있다.
2023년은 방화벽(FW)·침입방지시스템(IPS)·안티바이러스(Anti-Virus) 등 기존 전통적 제품과 네트워크를 경계로 한 보안모델 한계에서 벗어나 인공지능(AI)·클라우드 등 혁신 기술을 바탕으로 제로 트러스트 아키텍처와 같은 새로운 보안 패러다임이 등장하고 있는 시점이다.
과학기술정보통신부도 이러한 세계적 흐름에 맞춰 지난해 11월 국가정보원과 협의, 혁신 정보보호제품이 국가·공공기관에 납품될 수 있도록 신속확인제를 통한 제도적 기반을 마련했다.
그동안 국가·공공기관 정보보호제품 도입을 위한 보안체계는 정보보호제품 유형별로 도입 기준이 정해져 있어서 해당 유형이 아니면 복잡한 검증 절차를 거쳐야만 제품 도입이 가능하던 한계가 있었다. 신속확인제도는 이러한 애로사항을 어느 정도 해소했다. 국가용 보안 요구 사항이 없는 혁신 제품도 보안점검과 기능시험만으로 '나'급 이하 기관에 납품이 가능진 것이다.
이 같은 상황에서 지난달 14일 첫 번째 신속확인제 제품이 등장했다. 에프원시큐리티가 개발한 'F1-WEBCastle V2022.07'은 호스트 기반 웹방화벽 제품이다. 기존 공통평가기준(CC) 인증으로 대표되는 보안인증제도 사각지대를 신속확인제를 통해 해소한 첫 번째 사례다.
이 제품은 네트워크에 설치되는 기존 제품과 달리 서버별로 설치되는 호스트 기반 웹방화벽이라는 특징이 있다. 특히 기존 인증체계에서 불가능하던 제품이 신속확인제를 통과, 국가·공공기관 납품이라는 판로를 개척했다는 점에서 큰 의미가 있다.
조 바이든 미국 대통령은 국가 사이버보안 개선 행정명령을 발표하면서 사이버 보안 현대화를 추진하고 있다. 미국은 제로 트러스트, 탐지·대응확장(XDR), 클라우드 서비스, 멀티 팩터 인증, S-BOM 등 새로운 기술과 패러다임을 적극적으로 받아들이며 보안체계 개선에 대해 발표했다.
특히 미국은 정보보호 위협이 단순히 사이버 상에만 머무르는 것이 아니라 국가안보 전체에 영향을 미치는 중요한 산업이기 때문에 국가 차원에서 선제적으로 대응하며 혁신을 주도하고 있는 점이 눈에 띈다.
미국 사례에서 보듯 이제는 기술이 곧 안보인 시대다. 정보보호산업의 위상이 그 어느 때보다 중요해진 시점에서 신속확인제 1호 기업이 등장한 것은 우리 정보보호산업에서 큰 의미가 있다. 1호 기업이 마중물이 돼 2호, 3호, 기업도 조속히 나오길 기대한다. 또 해당 기업과 제품이 우리 산업 전체의 혁신을 이끄는 발판이 돼 국내 정보보호산업 생태계 전체가 활력을 되찾길 기대해본다.
이동범 한국정보보호산업협회 회장 dblee@genians.com
