정부가 다중계층보안(MLS) 전환을 추진하면서 사이버 보안 체계가 전환점을 맞고 있다. 기존에 데이터를 업무망·인터넷망으로 구분한 것에서 나아가 MLS는 데이터 중요도에 따라 세 단계로 분류한다. 2006년 망분리 정책 도입 이후 18년 만에 말 그대로 일대 변혁이다.
변화의 파도를 일으킨 인물이 있다. 바로 김승주 고려대 정보보호대학원 교수다. 김승주 교수는 지난해 12월 20일 '대통령직속 국방혁신위원회' 3차 회의에서 윤석열 대통령에게 망분리 개선을 권의했고, 윤 대통령은 '망분리 제도 개선은 단순히 국방 분야뿐만이 아니라 우리나라 전체에 큰 영향을 미치는 사안인 만큼 국가안보실이 중심이 돼 개선안을 마련하라'고 직접 지시했다. 망분리 정책 개선의 출발점이다.
-윤 대통령에게 직접 망분리 개선을 제안한 이유는 무엇인가.
▲우리나라의 망분리 정책이 전 세계의 트렌드완 너무나도 동떨어져 있기 때문이다. 이제는 더 이상 인공지능(AI)·클라우드·원격근무를 논하지 않고는 국가나 기업이 생존할 수 없는 시대가 되고 있다. 그러나 우리나라가 운영해 왔던 획일적인, 즉 모든 내부 업무망을 인터넷과 단절시키는 식의 망분리 정책은 AI·클라우드 사용 및 원격근무를 원천적으로 불가능하게 한다. 더욱이 정보보호 인력이나 예산이 한정돼 있는 상태에서 모든 정보와 전산시스템을 똑같은 강도로 보호하는 것은 불가능하다.
-데이터 중심 보안의 핵심은 무엇이며, 기대효과는 무엇인가.
▲데이터 중요도 중심 보안의 핵심은 선택과 집중을 통해 데이터의 보호와 활용을 공존시키는 것이다. AI나 클라우드 사용 및 원격근무가 가능하게 될 것이며, 정보보호 예산 및 인력도 등급에 맞춰 효과적으로 집행될 수 있다.
-데이터 중심 보안을 구현하기 어렵다는 우려에 대해선 어떻게 생각하는가.
▲수년간 정리하지 않은 채 옷장에 뒤섞여 방치되던 옷들을 갑자기 정리하려니 엄두가 안 날 것이다. 하지만 4차 산업혁명과 AI 시대에 디지털 데이터는 기하급수적으로 더욱더 빨리 늘어날 게 자명하기에, 더 늦기 전에 옷장 정리, 즉 중요도 중심의 데이터 정리를 해야만 한다.
망분리 개선이 의무사항이 아니라는 점을 명확히 하고 싶다. 능력이 안 되는 기업은 현행의 획일적인 물리적 망분리를 그대로 유지하면 된다. 단, 과거와 같이 '국가안보실 또는 국가정보원이 못하게 해서 데이터 활용을 못한다'는 변명은 더 이상 할 수 없다.
이제 기업·기관은 데이터의 활용과 보호를 잘 공존시키는 기업과 보호만을 잘하는 기업, 보호도 활용도 못하는 기업으로 나눠 시장의 선택을 받게 되지 않을까 싶다. 당연히 카카오뱅크나 토스같이 메기 역할을 하는 기업도 나타날 것이다.
-데이터 중심 보안 구현 등 국내 사이버 보안의 질적 향상을 위한 제언은.
▲우리나라는 북한 때문에 상황이 다르다는 얘기를 하시는 분들이 많다. 그러나 객관적으로 봤을 때 미국이 해킹 공격을 더 많이 받을까, 아니면 우리나라가 해킹 공격을 더 많이 받을까. 미국도 제로 트러스트 개념을 기반으로 데이터 중요도 중심의 정보보호정책을 펴고 있다.
우리나라는 북한 떄문이 아니라 그동안 보안의 상당 부분을 주로 망분리에 의존했기 때문에 보안 관련 역량이 미국 등 선진국에 비해 확연히 떨어질 뿐이다.
이번 망 분리 개선으로 인해 정말로 보안 역량이 강한 기업과 그렇지 못한 기업이 확연히 나뉘질 것이다. 종국엔 대한민국의 정보보호 경쟁력을 강화할 것이다.
-끝으로 못 다한 말이 있다면.
▲자동차 사고를 방지하기 위해 차량 운행을 금지해야 한다는 식의 정보보호 인식은 더 이상 유지되기 어려울 것이다. 또 이러한 변화가 잠깐만 반짝했다 다시 예전으로 돌아갈 것이라고 생각한다면 큰 오산이라는 말씀을 드리고 싶다.
조재학 기자 2jh@etnews.com