[보안뉴스 이소미 기자] 보안 취약점 대응체계와 국내 망분리 개선방안, 그리고 개정 개인정보보호법 등 최근 우리나라에서 가장 큰 이슈가 되고 있는 보안정책에 대해 논의하는 자리가 마련됐다.
[이미지=gettyimagesbank]
4월 말 개최된 NetSec-KR 2024에서 ‘사이버보안 정책’과 관련해 주요 이슈가 되고 있는 △보안 취약점 △국내 망분리 개선방안 △개정 개인정보보호법 정책 방향 등이 다뤄졌다. 사이버보안 정책 가운데 첫 번째 주제로 ‘AI 보안을 위한 취약점 선제대응체계 : CVD(A path towards Coordinated Vulnerability Disclosure)’에 대해 한국인터넷진흥원(KISA) 이태승 연구위원이 발표를 진행했다. 이 연구위원은 CVD의 글로벌 동향과 법제화 사례 등을 통해 CVD 국내 도입 필요성을 강조했다. 특히 ‘취약점 라이프 사이클’에 해당하는 ‘발견-신고-조치-공개’ 과정 설명과 함께 ‘보안 취약점 협력 대응 제도’와 ‘보안취약점 처리 방침’에 대해 구체적으로 소개했다.
이어 “화이트 해커(Security Researcher)에 대한 법적 보호(Safe Harbor)와 양성 및 활성화를 위해 반드시 도입해야 하는 제도가 CVD”라면서, “이미 미국·유럽은 법제화를 통해 적용 중으로 미국의 경우 연방기관 CVD 도입이 핵심이며 유럽도 정보통신망법에 대한 CVD 전략 수립을 하도록 돼 있다”고 덧붙였다. 또한 OECD 역시 Digital Security Policy Framework로 현재 진행 중이라는 게 이 연구위원의 설명이다.
따라서 국내도 해외처럼 CVD 도입을 통해 화이트해커 지원을 제도권 안으로 수용하고 기업들의 수출 활성화 및 국내 시장 보호에 도움을 줄 수 있어야 한다고 설명했다. 이는 △화이트해커의 선의(good-faith)의 보안연구 △보안취약점 처리방침(VDP : Vulnerability Disclosure Policy) 준수·수립·공개 △CVD 제도 운영기관(coordinator) 지정 등의 3가지 요소가 상호보완적으로 작용할 수 있을 때 큰 효과를 발휘할 것이라고 전했다.
이어 서울대학교 이석윤 교수는 ‘국가 공공 망분리 개선 사이버보안 정책 발전방안’에 대한 발표를 진행했다. 해당 발표를 통해 국가 공공분야의 망분리 개선을 포함해 데이터 보호·활용에서 상충되는 문제 해결을 위한 보안정책을 제안하는 자리를 가졌다. 이 교수는 “이미 수년 전부터 제기돼 온 문제로 망분리, 개인정보보호 문제 등으로 인해 데이터 공유 및 활용이 제한돼 왔다”며, “현재 국가안보실과 국가정보원이 합동으로 망분리 개선대책을 수립 중에 있으며 특히 정부가 추진 중인 ‘디지털 플랫폼’은 클라우드 기반으로 AI 데이터의 안전한 활용과 클라우드 전환이 기본 골자가 된다”고 설명했다.
이어 이 교수는 미국의 클라우드 정책을 소개하고 데이터 중요도에 따른 클라우드 보안 대책의 차등화에 대해 설명했다. 다만 이 교수는 “가장 위협이 되는 공격집단은 일반 해커가 아닌 국가 단위·배후 해킹 세력으로 다양한 기술적·관리적 보안대책 운영에도 불구하고 막아내지 못하는 게 현실”이라며, “하드웨어·소프트웨어 공급망 공격뿐만 아니라 클라우드·네트워크 보안 영역도 안전지대가 아니므로 여러 난제들을 해결해야만 한다”고 덧붙였다.
이와 관련해 이석윤 교수는 클라우드의 안전한 활용을 위한 보안대책으로 △데이터 중요도에 따라 차등 적용한 등급제 도입 △정보보호 제품 등 등급 보안 강도에 맞춰 검증하는 정책 △하드웨어·소프트웨어 공급망 보안 대책 강화 등을 제시했다.
▲(왼쪽부터)KISA 이태승 연구위원, 서울대학교 이석윤 교수, 개인정보보호위원회 김직동 과장[사진=보안뉴스]
마지막으로는 개인정보보호위원회의 김직동 과장이 ‘개인정보보호법 개정 주요 내용 및 개인정보 주요 정책방향’을 주제로 발표를 진행했다. 지난해 9월 15일부터 시행된 개인정보 보호법 개정안의 주요 내용 및 기대효과에 대해 설명했다.
특히 이번 개정으로 통합·폐지·완화되는 등 변경된 주요 사항으로, 다가오는 디지털 경제 성장 견인을 위한 이동형 영상기기(CCTV)의 범위를 고정형에 국한시키지 않고 자율주행차·드론·배달로봇 등을 활용할 수 있는 범주에 포함되도록 했다는 점이다. 또한 온라인 기업과 분리되던 정보통신서비스 특례 규정을 일반 규정과 일원화해 모든 개인정보처리자 대상으로 ‘동일행위-동일규제’ 원칙이 적용되도록 했다.
이와 함께 ‘안전성 확보 조치 기준’과 관련해 중복 규정을 일원화시키면서 보다 다양한 보안 기술이 허용될 수 있도록 개인정보 전송·저장 시 암호화 기술 외에도 ‘이에 상응하는 조치’로 통합·완화됐다. 또한 유출 통지 및 신고 중복 규정도 통합되면서 유출 시 휴일을 포함한 72시간 내에 통지하도록 변경됐으며, 민감·고유식별정보 및 해킹 등에 의한 유출은 1건이라도 의무 신고 대상이 됐다. 이 외에도 산업계 현장 목소리를 반영한 ‘유효기간제 규정 삭제’ 등 개인정보 처리자와 정보주체 간 활동에 대해 개선·강화된 점들을 소개했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>