“사이버위협의 가장 큰 피해자는 개인”…보안 투자와 산업 육성이 필요한 이유

고객정보 유출과 서비스거부(DDoS) 공격, 랜섬웨어 감염 등 사이버침해사고가 잇따르고 있다. 정부·공공기관, 대기업과 중소기업, 제조업과 유통·소매업, , 통신·인터넷·서비스 등 업종을 가리지 않고 사이버위협으로 인한 피해가 발생하고 있다.

갈수록 커지고 심각해지는 사이버위협을 대응, 극복하기 위한 방안을 모색하기 위한 자리가 마련됐다. 과학기술정보통신부는 9일 오후 경기도 성남시 지란지교시큐리티 사옥에서 ‘국민과 함께하는 위기의 사이버보안 현장 토론회’를 개최했다. 이번 토론회는 2023년 제3차 디지털 국정과제 연속 현장 간담회 일환으로 추진된 자리다.

과기정통부는 최근 LG유플러스 고객정보 유출 등 계속되는 사이버침해사고로 인한 국민들의 불안과 경제적 피해가 증가하고 있어, 이에 대한 불안과 정부 정책추진 희망사항을 듣고 관련 전문가들과 심도 있는 논의를 진행하기 위한 자리로 이번 간담회를 마련했다고 밝혔다.

이날 토론회에는 과기정통부 박윤규 제2차관, KISA 이원태 원장,, KISIA 이동범 회장, 정보보호학회 원유재 학회장, 지란지교시큐리티 윤두식 대표, 오내피플 조아영 대표, 엔씨소프트 신종회 최고정보보호책임자(CISO), 법무법인 세종 김지훈 전문위원, 국방부 이휘원 대위, 성신여대 융합보안학과 전소은 대학원생, 스틸리언 박찬암 대표, 과기정통부 정은수 정보보호산업과장 등 사이버보안 관련 산·학·연·관 전문가들이 참여했다. 가족이 스미싱 피해를 입은 경험을 가진 시민 심하늘씨 등 일반인, 학생, 현역 군인까지도 참여해 토론을 진행했다. 토론 사회는 순천향대 염흥열 교수가 맡았다.

사이버보안 위협 극복을 주제로 ▲새로운 사이버보안 위협에 대응하기 위한 방안 ▲사이버보안 혁신기업 육성방안 ▲사이버보안 인재 양성 방안 ▲기업의 사이버보안 인식제고 및 투자 확대 방안 등이 주도적으로 논의됐다.

기업·정부, 여전히 보안 투자에 소극적…“‘채찍’과 ‘당근’ 정책 모두 필요”

이동범 한국정보보호산업협회(KISIA) 회장(지니언스 대표)은 먼저 최근 발생하고 있는 “사이버 위협의 가장 큰 희생자들은 개인이며 국민”이라며, “개인들에게 사이버위협의 피해를 떠안고 있는 상황에서 기업과 정부가 책임을 다해 보안 투자에 적극적으로 나서 국민들이 받는 피해를 줄여야 한다”고 강조했다.

이 회장은 최근 침해사고가 발생한 LG유플러스를 언급하면서 “LG유플러스가 사이버공격 피해를 입었다고 하지만 더 큰 문제는 기업이 보유하고 있던 개인의 정보가 유출됐다는 것이다. 피해 기업보다 국민들이 더 큰 피해를 입게 된 것”이라며 “만일 국가 인프라가 침해당하면 가장 불편하고 피해를 겪는 것도 역시 개인, 국민”이라고 지적했다.

사이버위협이 증가하고 침해사고로 인한 개인, 국민의 피해가 크다는 점에서 정보보호 인식과 투자를 높이고, 정보보호 혁신 기업과 인재들을 육성하는데 더 힘을 기울여야 할 필요성이 있다는 것이다.

실제로 미국 바이든 행정부가 최근 공개한 국가 사이버 안보 전략 역시 이같은 문제인식을 바탕으로 여러가지 전략 과제가 마련됐다는 게 이 회장의 설명이다. 그는 “미국 바이든 행정부가 발표한 새로운 국가 사이버 안보 전략의 서문 맨 앞에는 바이든 대통령의 사이버보안 인식을 나타내주는 문구가 있었다”며 “우리 사회는 개인에게 너무나 많은 보안 책임을 지우고 있다. 사이버 보안의 책임을 재분배할 필요가 있고 이것은 산업계, 정부, 지역 사회가 협업을 통해서 효과적으로 만들어낼 수 있다는 것이다”라고 소개했다.

이 회장은 특히 “기업과 정부는 아직도 보안 투자에 적극적으로 나서지 않고 있다”며 “LG유플러스는 사고를 당한 후에야 보안에 연간 1000억원의 투자를 하겠다고 발표했다. 시가 총액 2~3조 규모의 제조업도 랜섬웨어 침해사고를 당해 3~4일 동안 업무가 정지된 사례가 있는데, 사고 조사를 하기 전까지 보안 투자 비용을 쓰지 않았다”고 말했다.

LG유플러스가 지난 2021년 정보보에 투자한 규모는 292억원으로, 동종업계 통신사인 KT 1021억원, SK텔레콤 627억원에 비해 크게 적었다. 침해사고가 발생한 이후 LG유플러스는 재발방지 대책을 내놓으면서, 연간 정보보호 투자액을 현재의 3배 수준인 1000억원 규모로 확대한다고 발표했다.

기업과 조직의 적절한 투자를 이끌어내기 위해서는, 정부가 제로트러스트, 소프트웨어 자재명세서(SBOM) 등의 가이드라인을 다양하게 만들어 투자를 견인해야 한다는 점을 해법으로 제시했다. 또 채찍뿐 아니라 당근을 줄 수 있는 지원 정책도 필요하다고 제안했다.

아울러 화이트해커뿐 아니라 사이버공격무기를 방어할 수 있는 기술과 체계를 만들 수 있는 사이버보안 인재를 양성해야 하고, 혁신적인 신기술을 개발해 시장에 원활하게 공급할 수 있도록 정부가 환경을 조성해줘야 한다는 점도 강조했다. 이 점에서 정부가 최근 시행한 정보보호제품 신속확인제는 업계에 도움이 될만한 정책이다.

이 회장은 “사이버보안 인식 제고와 투자를 확대하기 위해 정부가 시행한 정보보호관리체계(ISMS-P) 인증, 정보보호 공시제도, 최고정보보호책임자(CISO) 제도는 시행하고 수개월, 1~2년이 지나면서 효과를 보고 있는 것을 느낀다. (정보보호) 시장을 형성하는데 있어 큰 도움이 되고 있다”며 “규제가 없었을 땐 아무런 투자를 안했던 기업들이 이런 제도를 통해 조금씩 투자하고 있다. 하지만 일정 규모 이상의 규모에게만 해당돼 모든 기업의 투자를 이끌기에는 어려운 점이 있다”고 평가했다.

그는 “기업의 보안 투자에 대한 세제 혜택을 부여하는 등 작은 기업들도 관심을 갖고 보안에 투자할 수 있는 당근 정책도 준비할 필요가 있다”고 덧붙였다.

이밖에도 “정보보호 스타트업들이 많이 등장해 성장할 수 있도록 하는 것은 물론, 정보보호산업이 지속적으로 경쟁력을 확보하기 위해 사이버보안 전용 펀드가 필요한 시점”이라고 강조했다.

이 회장은 최근 “사이버보안 전용 펀드는 우수 기술을 가진 스타트업들이 충분히 투자를 받아서 성장할 수 있고, 기존에 성장한 업체들은 투자와 인수합병(M&A)으로 스케일업 할 수 있도록 사이버보안 관련 펀드가 필요하다”고 설파하고 있다. 이같은 펀드는 지속적인 정보보호산업 경쟁력 확보를 위한 효과적인 마중물 역할을 할 것이란 기대다.

이원태 KISA 원장 역시 세제 혜택 등 지원 정책에 공감했다. 이 원장은 “정보보호 투자 혁신이나 활성화 관점에서 규제나 의무를 부과하는 방법에서 벗어나 시장적 관점에서 초점을 맞출 필요가 있다”며 “높은 수준의 정보보호 기술을 갖춘 기업들이 인수합병(M&A)을 활성화해 서로 자유롭게 합종연횡 할 수 있는 기반을 조성할 수 있도록 이동범 회장이 제시한 모태펀드가 그 대안이 될 수 있다. 정부도 지금까지는 보안 기업에 대한 자금이나 세제 지원에 소극적이었지만 좀 더 적극적으로 고민해 정책적 역할을 할 필요가 있다. KISA도 좀 더 고민해보겠다”고 답했다.

이와 함께 이 원장은 “그동안 보안 대응체계를 확산 구축해왔음에도 여전히 사각지대가 너무 많다. 그 점에서 클라우드 기반 구독형 서비스형보안(SECaaS)을 무상으로 지원하는 정책이 필요하다”며 “보안 수준을 제공하는데 있어 민간 기업의 역할이 커졌다. 민·관 협력 기반 사이버침해대응체계도 구축할 필요성이 있다”고 제안했다.

윤두식 지란지교시큐리티 대표는 사이버공격과 해킹 기술이 신기술과 결합돼 빠르게 진화하고 있는 상황에서 이에 대응할 방어 기술을 연구·개발하는 민간 사이버보안 산업을 육성해야 한다는 점을 강조했다.

윤 대표는 “해킹이 비즈니스화가 되면서 피해를 무기로 돈을 요구하고 있고, 해킹을 아주 쉽게 하도록 만들어주는 툴도 서비스화돼 해킹 기술 장벽이 낮아지고 있다. 앞으로 챗GPT나 딥페이크같은 신기술을 이용하면 사람들을 속이고 공격하는 방법도 더욱 쉬워질 것”이라며 “보안업체들이 굉장히 많은 노력을 함에도 불구하고 해킹 기술이 발전하는 속도를 보안업계가 쫓아가기가 굉장히 어려운 상황이다. 법제화가 필요한 정부 정책은 더욱 늦어질수밖에 없다. 기술, 관리 외에 정책적 대응 측면에서 정부가 보안 예산과 인력을 지속적으로 늘려나가면서 보안 산업 자체를 키워야 현재 일어나는 문제들을 효과적으로 해결할 수 있을 것”이라고 의견을 말했다.

과기정통부 “민간 사이버보안 역량 중요…안전한 세상 만드는데 힘 기울이겠다”

간담회에 참석한 박윤규 과학기술정보통신부 제2차관은 “공공과 민간이 모두 중요하지만, 국가 전체적으로 사이버보안 역량에 있어 대부분의 정보자원이 있는 민간 쪽에 튼튼한 방어막이 구성되어 있어야 국가 전체적으로 안전한 디지털 경제를 만들 수 있다. 사이버보안이 강한 국가도 민간 기업이나 인력의 역량이 우수한 국가가 사이버보안 문제도 잘 대응하고 해결해가고 있다”며 민간의 사이버보안 역량이 국가 전체의 사이버보안 경쟁력으로 이어질 것이라는 점을 강조했다.

박 차관은 “최근 LG유플러스 사건을 시작으로 사이버공간에서 다양한 형태의 사건 사고가 있어 정부로서는 민간의 시설과 서비스이긴 하지만 대단히 무거운 책임감을 가지고 대처하고 있다”며 “과기정통부가 전체 민간의 사이버보안 역량을 신속히 높이는데 관심을 갖고 있고, 조금 더 힘을 기울여 지원 사업을 추진하겠다. 관심 갖고 움직이기 시작한 제로트러스트와 공급망 보안 분야에서 정부가 주도적 역할을 하겠다”고 했다.

또 최근 정보통신망법 개정으로 시행된 침해사고 발생 기업에 대한 취약점 점검과 대책 이행 의무화 방안을 언급하며 “민간 기업에게 취약점이 발견돼 고치라고 하더라도 권고에 불과하다보니 안고치더라도 넘어가게 된다. 권고 수준에 그치던 것을 이행하도록 하는 과제가 있다. 민간 분야에 규제가 도입되는 것에 대한 부담감이 없지는 않지만 국회와 협력해 더 안전한 세상을 만들기 위해 노력하겠다”고 의지를 나타냈다.

산업계가 요구한 모태펀드나 세제 혜택 지원에 대해서는 “확답할 수는 없지만 논의를 계속해가도록 하겠다”고 답했다.

박 차관은 정부 차원에서 사이버보안의 중요성을 높이 여기고 있다는 점도 강조했다. 그 사례로 “윤석열 대통령이 지난해 정보보호의 날 행사에 참석한 것”을 들며, “그 자체로도 정부가 사이버보안에 대해 어떻게 생각하고 있는지 상징적으로 보여준다”고 말했다.

간담회를 마무리하면서도 “정부가 발표한 12개 국가 전략기술에 사이버보안이 포함된다. 그만큼 국가적으로 굉장히 중요한 부분으로 생각하고 있다”라면서 “연구개발(R&D)와 기술개발 측면만 강조되고, 시장화와 산업화하는 부분에서는 수준에 미미치 못한다면 이의 간극을 메울 필요가 있다”고도 덧붙였다.

과기정통부는 “정부의 사이버보안 정책들이 국민의 일상과 산업 현장에 자연스럽게 스며들어 실질적인 효과를 발휘할 수 있도록 산･학･연･관이 함께 힘을 합칠 수 있도록 노력하겠다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network