범정부 정보보호대책, 1600개 IT시스템 전수조사…“법적 근거·실행력 모두 시험대”

AI 지원·법제 보완 병행 없인 ‘보안 전수조사’ 실효성 한계

정부가 연이은 해킹 사고와 개인정보 유출 사태 이후 ‘범정부 정보보호 종합대책’을 내놓고, 공공·금융·통신 분야의 정보기술(IT) 시스템 1600개를 전수조사한다.

이번 조사는 단순한 서류 검증이 아닌 보안 체계 점검과 실제 해킹 시나리오 기반의 불시 침투 테스트까지 포함된다. 그러나 방대한 조사 대상과 인력 한계, 법적 근거의 불명확성이 겹치면서 “실효성과 정당성 모두 확보돼야 한다”는 지적이 잇따른다.

정부, IT 자산 파악 체계부터 점검 착수CISO 서명 의무화

과학기술정보통신부(장관 배경훈, 이하 과기정통부)는 본격적인 보안 전수조사에 앞서 ‘IT 자산 파악 체계’ 구축을 핵심 선결 과제로 제시했다.

정부는 지난달 국내 3만여개 기업 정보보호최고책임자(CISO)에게 공문을 보내 긴급 보안 점검을 요청하며, 각 기업의 전사 IT 자산 현황을 실사해 최고경영자(CEO) 서명을 받아 제출하도록 했다. 이는 조직이 보유한 하드웨어·소프트웨어·클라우드 등 IT 자산을 체계적으로 식별·목록화하는 절차로, 이번 전수조사의 밑그림이 될 예정이다.

배경훈 장관은 종합대책 브리핑해서 “IT 자산 파악이 이뤄져야 점검과 취약점 탐지 체계 구축이 가능하다”며 “공공기관뿐 아니라 민간 기업도 스스로 관리대장을 정비하고 책임자를 지정해 관리 수준을 높여야 한다”고 밝힌 바 있다.

오펜시브 보안 전문기업 엔키화이트햇(대표 이성권) 관계자는 “보안 점검의 시작은 결국 자산 파악에서 출발한다”며 “정부가 이번에 CISO 보고 체계를 강화하고 자산 현황을 서명까지 받아 확인하도록 한 건 좋은 흐름”이라고 말했다.

그는 “다만 실제로 이를 현장에서 이행하려면 자동화된 자산 관리 도구가 필요하다”며 “기업마다 시스템 구조가 달라 수작업으로는 정확한 파악이 어렵다. 인공지능(AI)이나 공격표면관리(ASM) 같은 기술적 보완이 병행돼야 한다”고 덧붙였다.

“AI 강국 외치면서 보안은 밑바닥국회 실행력·인재 모두 필요

과기정통부는 이번 대책에서 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융기관 261개, 정보보호관리체계(ISMS) 인증 민간기업 949개 등 총 1600개 핵심 IT 시스템을 점검 대상으로 지정했다.

류제명 과기정통부 제2차관은 “이번 점검은 단순한 서류 검증이 아니다”라며 “통신 3사의 경우 동의를 받아 실제 해킹 시나리오 기반 불시 점검 형식으로 추진할 것”이라고 밝혔다.

그러나 일각에서는 “인력과 기술이 따라주지 않으면 탁상행정이 될 수 있다”는 우려도 나온다.

29일 열린 국회 과학기술정보방송통신위원회 국정감사에서 김현 더불어민주당 의원은 “통신 3사의 정보보호 투자가 부실하고 정부 조사 권한도 미흡하다”며 “이런 상황에서 발표만으로는 국민이 안심하기 어렵다. 종합대책이 현장에서 제대로 작동할 때까지 면밀히 살펴보고 부족한 부분을 보완해야 한다”고 지적했다.

김 의원은 특히 KT 해킹 사태 이후에도 미지정 상태로 남아 있는 초소형 기지국(펨토셀) 문제와 ISMS 인증제도의 실효성을 지적하며 “중대한 법령 위반 시 인증 취소를 명시할 필요가 있다”고 강조했다.

같은 위원회 소속 이정헌 더불어민주당 의원은 인재 양성 부진을 문제로 꼽았다. 그는 “사이버 보안 10만명 인재 양성 사업을 추진하고 있다지만 실제로 양성된 신규 인력은 밑바닥 수준”이라며 “AI 강국을 도모해도 보안에 취약하면 사상누각이다. 이런 속도라면 100년이 걸릴 것”이라고 꼬집었다. 전수조사가 실질적 효과를 내려면 기술적 점검체계와 함께 보안 인력 확충, 제도 개선, 지속 가능한 운영 구조가 병행돼야 한다는 지적이다.

한편 통신업계에서는 정부의 불시 점검 계획이 실제로 추진 단계에 들어간 것으로 파악됐다. SK텔레콤 관계자는 “최근 KISA에서 통신 3사를 대상으로 불시 모의 침투 테스트를 진행할 예정이라며 협조 요청이 있었다”며 “3사 모두 이에 동의한 것으로 알고 있다”고 말했다.

29일 열린 과학기술정보방송통신위원회 종합 국정감사에서 김현 더불어민주당 의원이 제시한 자료 (사진=국회방송)

전수조사, AI 없인 불가능“AI 기반 자동 점검 도입해야

보안업계에서는 정부가 설정한 1600개 시스템 전수조사 계획이 “사람 손만으로는 불가능한 수준”이라며, AI 기반 자동 점검체계가 병행돼야 한다는 목소리도 나온다.

오펜시브 보안 전문기업 티오리(대표 박세준)는 이번 대책을 ‘AI 결합 보안 점검체계로의 전환 신호탄’으로 평가했다.

박세준 티오리 대표는 “1600개 시스템을 사람이 직접 점검하는 건 사실상 어렵다”며 “AI가 24시간 자동으로 점검하고 인간 해커의 사고 방식을 학습해 맥락 단위로 취약점을 찾는 기술이 필요하다”고 설명했다.

그는 이어 “전수조사가 징벌이 아닌 예방 목적이라면 AI 기반 실시간 탐지와 자가 신고 시스템을 함께 운영해야 한다”며 “공격자도 AI를 쓰는 시대에, 방어자 역시 AI를 적극 활용하지 않으면 대응 속도에서 밀릴 수밖에 없다”고 강조했다.

엔키화이트햇 관계자는 “정부가 불시 모의해킹을 검토하는 것은 실효성 측면에선 긍정적이지만, 법적 절차와 사전 고지 기준이 명확하지 않으면 분쟁 소지가 크다”고 말했다. 그는 “통신 3사처럼 대규모 네트워크를 다루는 기업은 서비스 중단 리스크가 높다”며 “점검 범위와 시기, 피해 발생 시 책임주체를 명확히 해야 한다”고 지적했다.

또 “지금처럼 정부가 주도하는 구조에서는 민간이 따라가기에 벅찬 부분이 있다”며 “자동화된 탐지 기술이나 위협 시뮬레이션 툴을 활용해 정부가 틀을 마련하고, 민간이 그 틀 안에서 자율 점검을 수행하는 역할 분담이 필요하다”고 강조했다. 아울러 “AI 기반 점검 시스템이 병행되면 인력과 시간 부담을 줄이면서도 전수조사의 품질을 유지할 수 있다”고 덧붙였다.

“ISMS, 현장 중심으로 전환인증 실효성 높이되 중복 규제 우려도

과기정통부는 이번 대책에서 정보보호관리체계(ISMS) 인증을 현장 중심으로 강화하고, 중대한 결함이 발견되면 인증 취소 및 재심사를 즉시 진행하겠다고도 밝혔다.

배경훈 장관은 종합대책 브리핑에서 “그동안 ISMS가 ‘인증을 위한 인증’이라는 비판이 많았다”며 “CISO의 실질적 통제권과 실행력을 중심으로 평가하겠다”고 말했다.

다만 업계에서는 인증제도 강화 필요성에는 공감하면서도 “중복 규제와 비용 부담이 커질 수 있다”는 우려도 나온다.

박세준 대표는 “현행 ISMS 제도는 일정 주기마다 문서 중심으로 평가받는 구조여서 ‘그때만 준비하면 된다’는 인식이 남는다”며 “실제 해킹 시나리오를 반영하지 못하고 기업의 비용 부담만 커지는 구조에서 벗어나야 한다”고 설명했다. 그는 “AI 기반 점검을 병행하면 상시 인증이 가능해지고, 형식적 심사 대신 실제 보안 운영 수준을 검증할 수 있을 것”이라고 강조했다.

아울러 “AI 기반 점검을 병행하면 기존 모의해킹 비용의 10분의 1 수준으로 상시 점검이 가능하다”며 “ISMS 심사체계에 자동화 모델을 도입하면 ‘상시 인증’ 체계로 발전시킬 수 있다”고 덧붙였다.

정부는 인증제도 개편을 통해 실효성을 높이되, 민간의 입장을 고려해 기업의 행정 부담을 줄이는 세부 시행안을 연말까지 마련할 계획이다.

법적 근거 없이 민간 조사?행정조사 한계, 기준 세워야

이외에도 정부의 전수조사 범위가 민간 영역까지 확장되면서 법적 근거와 절차적 정당성 확보 문제도 제기됐다.

배경훈 장관은 대책 브리핑에서 “정부가 민간 기업을 대상으로 점검할 때 발생할 수 있는 법적 논란을 최소화하기 위해 관계 부처와 협의해 제도적 미비점을 보완할 것”이라며 “필요 시 법 개정도 추진하겠다”고 밝힌 바 있다.

법조계는 정부의 전수조사가 행정조사의 한계를 넘지 않도록 명확한 법적 근거가 필요하다고 강조한다.

김경환 법무법인 민후 대표변호사는 “현행 개인정보보호법이나 정보통신망법에는 정부가 민간 기업의 정보시스템을 불시에 점검할 수 있는 조항이 제한적”이라며 “사전 통보 없이 침투 테스트를 시행한다면 헌법상 영업의 자유나 재산권 침해 논란이 발생할 수 있다”고 설명했다.

그는 또 “점검 과정에서 기업의 영업비밀과 고객정보가 노출될 가능성이 있는 만큼 조사 범위를 명확히 설정하고 목적을 분명히 해야 한다”며 “예방적 점검이라면 처벌보다 시정·자율개선 중심으로 운영돼야 한다”고 조언했다. 정부의 제도 보완 의지와 별개로 실질적인 법적 근거 확보가 병행돼야 현장에서의 혼란을 줄일 수 있다는 분석이다.

한국인터넷진흥원 한국인터넷법제포럼 의장을 맡고 있는 이상직 변호사는 “정부가 이번 대책을 내놓기 전부터 민간 전문가들과 논의를 거쳐 법적 한계점을 체계적으로 검토한 것으로 알고 있다”며 “단기·중기·장기 계획을 함께 설정했다는 점에서 단순한 선언이 아니라 실행 중심의 의지를 보인 것으로 평가된다”고 말했다.

이번 전수조사는 정부의 강력한 의지를 보여주는 상징적 조치지만 ▲법적 근거 미비 ▲인력·시간 제약 ▲민간 협력의 불확실성이라는 세 가지 과제를 안고 있다. 이러한 한계를 극복하기 위해 정부의 신중하고 체계적인 추진이 요구된다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.