인공지능과 디지털 전환의 흐름 속에 보안 업계가 눈여겨볼 국감 이슈는?
산업보안·사이버보안 관련 중점 주제는 ‘정보보호체계 구축과 공급망 보안 등’
[보안뉴스 조재호 기자] 2024년 국정감사가 10월 7일부터 25일까지 진행된다. 국정감사는 국민의 대표기관인 국회가 행정부를 비롯한 국가기관 전반을 감찰하고 비판하는 자리다. 국회가 입법과 예산심사 및 국정 통제기능을 효율적으로 수행하는 데 그 의의가 있다.
▲ [이미지=gettyimagesbank]
이에 앞서 국회입법조사처는 ‘2024 국정감사 이슈 분석 보고서’를 발간했다. 총 10권의 보고서는 이번 국정감사에서 다뤄질 585개의 중점 주제를 선정해 그 현황과 개선방안을 제시했다. <보안뉴스>에서는 올해 국감에서 논의될 주제 중 보안 업계가 주목해야 할 이슈들을 5개 영역으로 구분해 살펴봤다. 첫 번째 영역은 산업보안·사이버보안으로 정보보호체계, 인증, 제로트러스트, 공급망 보안 관련 이슈들이 눈길을 끈다.
정보보호 및 개인정보보호 관리체계 인증 제도 강화 : 과학기술정보통신부
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 「개인정보 보호법」에 따라 정보통신망의 안정성 확보와 개인정보 보호를 위해 조직이 수립한 일련의 조치와 활동을 평가해 인증하는 제도다.
정부는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합해 ISMS-P 인증 제도를 운영하고 있는데, 대규모의 개인정보를 보유한 기업이 ISMS 인증 의무 대상에서 제외되어 정보보호 사각지대가 발생할 우려가 있다는 지적이 나왔다.
지난해 감사원은 한국인터넷진흥원(KISA) 등을 대상으로 한 정기감사에서 새로운 산업 출현과 산업활동의 다양화에 따른 산업구조의 변화로 기업 대부분이 정보통신망을 이용해 개인정보를 수집·보유해 정보통신서비스 매출액만으로 인증 의무대상자를 지정하는 방식은 정보보호 사각지대가 발생해 제도보완이 시급하다는 의견을 내놨다. 아울러 ISMS-P 인증은 의무가 아닌 권고사항이라 개인정보보호 측면에서 문제가 되고 있다는 목소리도 나왔다.
이에 따라 과학기술정보통신부는 ISMS 인증 의무대상자 기준을 보완하고, 개인정보보호위원회는 ISMS-P 인증을 의무화하는 방안을 고려할 필요성이 제기됐다. 다만 ISMS에서 개인정보보호 실효성 강화를 추진하는 부분은 인증 의무대상자 기준 보완대책으로 작용하기 어려운 부분이 있다. ISMS-P 인증의 경우, 비용 부담이 크고 준비기간도 길어 산업계에 부담이 될 수 있어 면밀한 검토가 필요하다는 의견이다.
제로트러스트(Zero Trust) 확산 : 과학기술정보통신부
급격히 변화하고 있는 IT 환경에서 새로운 보안 모델로 제로트러스트(Zero Trust)가 주목받고 있다. 제로트러스트는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하고 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않고, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업 등의 정보 자산을 보호할 수 있는 보안모델이다.
미국 등 세계 주요국은 제로트러스트 기반의 보안 체계를 도입하고 있으며 우리 정부도 국가적 차원의 제로트러스트 도입・확산 계획을 밝히고, 관련 가이드라인을 발표하는 등 실증 지원사업을 추진 중이다. 그러나 현재 제로트러스트에 대한 인식수준이 낮고 제로트러스트 도입 기업에 대한 별도의 유인책이 없는 상황이다. 보안 수준을 높일 수 있지만 시스템 구현에 상당한 시간과 투자가 필요하기에 자발적 참여를 유도하기 위해서는 구체적인 대책이 필요하다.
개선방안으로는 홍보 및 인식 제고를 위한 사업을 추진하고 도입기업에 대한 인센티브 제공 방안이 꼽힌다. 현재 제로트러스트에 대한 인식수준이 낮은 상황으로 개념과 도입 효과 등에 적극적인 홍보와 함께 도입 절차·방법 등에 대한 정보를 제공하고 정보보호 및 개인정보보호 관리체계 인증 수수료 일부를 감면하거나 정보보호 공시제도에 제로트러스트 관련 사항을 포함하여 가점 등의 혜택을 확대하는 방법이 있다.
중소기업의 정보보호 강화 : 과학기술정보통신부
과학기술정보통신부와 한국인터넷진흥원은 지역 중소기업의 정보보호 수준을 제고하고 사이버침해사고 예방·대응 역량 강화하며 정보보호 산업 활성화를 위해 지난 2014년부터 ‘지역 중소기업 정보보호 지원’ 사업을 추진하고 있다.
그러나 2024년도에는 해당 사업비가 105억원에서 58억원으로 대폭 감소하면서 지원대상 중소기업 수가 1,500개사에서 700개사로 축소되어 지역 중소기업의 정보보호 역량 강화에 차질이 우려된다는 지적이 있다. 중소기업도 개인정보보호 관리체계(ISMS-P) 인증에 대한 인식수준이 낮은 상황으로 지난해 인증제도 인식조사에 따르면 대기업 23.8%, 중기업 6.9%, 소기업 4.8% 수준이다.
이에 국회입법조사처는 고도화되는 해킹 위협에서 중소기업을 보호하고 사이버 안전망을 강화하기 위해 지원사업에 대한 적정한 지원규모에 대한 분석이 필요하고 지난 7월 시행된 ISMS 간편인증 제도가 시행됐는데, 중소기업의 인식수준이 낮은 상황임을 감안해 제도 도입 효과를 극대화하기 위해 적극적인 홍보로 보다 많은 중소기업의 참여를 유도할 필요가 있다는 설명이다.
사물인터넷(IoT) 보안인증 활성화 : 과학기술정보통신부
사물인터넷(IoT) 이용이 증가함에 따라 개인정보 침해 등의 보안 위협도 높아지고 있다. 정부는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따라 정보통신망 연결기기 등에 대해 IoT 제품, 앱이 일정 수준 이상의 보안 요구조건을 갖추도록 정보보호인증 제도를 시행하고 있다.
그러나 IoT 보안인증 실적이 전반적으로 저조하고 인증 유형·분야별로 인증건수의 편차가 큰 상황이다. 3년간 평균 인증 실적은 79건에 불과하고 총 3단계의 인증유형 중 라이트·베이직 등급에 집중되어 스탠다드는 전무한 상황이다.
인증 활성화 방안으로는 IoT 보안인증 강제화 및 소규모 IoT 제품에 대한 간편인증 제도 도입 및 보안인증 관련 인센티브 확대, 해외 주요국과의 협력체계 구축 등이 꼽힌다. 지난 3년간 인증 실적에서 0건의 스탠다드와 함께 분야별 실적에서 금융분야 0건, 가전분야 2건, 제조·생산분야와 통신분야는 4건에 불과한 상황으로 저조한 유형·분야에 대해서는 인증실적을 제고해야 한다는 의견이다.
소프트웨어(SW) 공급망 보안 강화 : 과학기술정보통신부
디지털 제품・서비스에서 소프트웨어(SW)의 비중이 높아지고, 모든 디지털 제품과 서비스가 네트워크로 연결됨에 따라 SW 보안 취약점을 악용하거나 SW 공급망에 침투하여 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 늘어났다.
미국, 유럽 등 주요국은 SW 공급망 공격에 체계적으로 대응하기 위해 SW 구성요소 명세서(SBOM) 도입 등 제도화를 추진하고 있다. 우리 정부도 2023년 실증사업을 진행하고 2024년 ‘SW 공급망 보안 가이드라인’을 발표하는 등 SW 공급망 보안 강화를 위해 대응하고 있으나 비교적 대응 속도가 느리다는 지적이다.
이에 SW 공급망 보안을 강화하기 위한 제도화 추진이 필요하다는 의견이다. 글로벌 SW 공급망 보안에 대응하고 무역장벽을 극복하기 위해 정부가 SBOM 제도화에 나서 관련 사업예산을 확보하고 정부 차원의 정책적 지원을 강화할 필요가 있다는 것이다.
다만, 안전한 SW 공급망 구현을 위해 시간과 비용을 추가로 투자해야 하고 개발 비용이 증대되는 등 SW 산업에 부정적인 영향도 미칠 수 있으므로 제도화 방법 등에 대해서는 산업계 등과의 논의 및 의견 수렴이 필요하다.
자동차 사이버보안 기준 도입과 과제 : 산업통상자원부
자동차 산업이 소프트웨어 중심 자동차(SDV)로 전환되고 무선통신으로 차량과 인프라(V2I), 차량 간(V2V) 정보를 주고받는 커넥티드카 시대가 도래함에 따라 관련 국제기준을 바탕으로 자동차 제작사의 사이버보안 및 소프트웨어 업데이트 안전 관리를 의무화 하기 위해 「자동차관리법」이 개정됐다.
개정된 법안은 안전관리 조치 의무화를 주된 내용으로 한다. 그러나 관련한 인증 기준·절차·방법, 안전관리 준수사항 등 실질적이고 구체적인 사항은 하위 법령인 「자동차관리법 시행령」 등으로 정할 예정이다.
기존의 자동차 안전 평가 분야는 한번 만들어진 평가 방법이 자주 변경되지 않지만 사이버보안과 관련해서는 새로운 위협과 공격 방법 등이 지속적으로 등장할 것으로 예상되는 만큼 선제적 대비가 중요하다는 의견이다. 아울러 「자동차관리법 시행령」과 「자동차관리법 시행규칙」 등이 법률의 목적을 충실히 달성할 수 있도록 제정되는지 지속적인 모니터링이 필요하다.
[조재호 기자(sw@boannews.com)]
산업보안·사이버보안 관련 중점 주제는 ‘정보보호체계 구축과 공급망 보안 등’
[보안뉴스 조재호 기자] 2024년 국정감사가 10월 7일부터 25일까지 진행된다. 국정감사는 국민의 대표기관인 국회가 행정부를 비롯한 국가기관 전반을 감찰하고 비판하는 자리다. 국회가 입법과 예산심사 및 국정 통제기능을 효율적으로 수행하는 데 그 의의가 있다.
▲ [이미지=gettyimagesbank]
이에 앞서 국회입법조사처는 ‘2024 국정감사 이슈 분석 보고서’를 발간했다. 총 10권의 보고서는 이번 국정감사에서 다뤄질 585개의 중점 주제를 선정해 그 현황과 개선방안을 제시했다. <보안뉴스>에서는 올해 국감에서 논의될 주제 중 보안 업계가 주목해야 할 이슈들을 5개 영역으로 구분해 살펴봤다. 첫 번째 영역은 산업보안·사이버보안으로 정보보호체계, 인증, 제로트러스트, 공급망 보안 관련 이슈들이 눈길을 끈다.
정보보호 및 개인정보보호 관리체계 인증 제도 강화 : 과학기술정보통신부
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 「개인정보 보호법」에 따라 정보통신망의 안정성 확보와 개인정보 보호를 위해 조직이 수립한 일련의 조치와 활동을 평가해 인증하는 제도다.
정부는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합해 ISMS-P 인증 제도를 운영하고 있는데, 대규모의 개인정보를 보유한 기업이 ISMS 인증 의무 대상에서 제외되어 정보보호 사각지대가 발생할 우려가 있다는 지적이 나왔다.
지난해 감사원은 한국인터넷진흥원(KISA) 등을 대상으로 한 정기감사에서 새로운 산업 출현과 산업활동의 다양화에 따른 산업구조의 변화로 기업 대부분이 정보통신망을 이용해 개인정보를 수집·보유해 정보통신서비스 매출액만으로 인증 의무대상자를 지정하는 방식은 정보보호 사각지대가 발생해 제도보완이 시급하다는 의견을 내놨다. 아울러 ISMS-P 인증은 의무가 아닌 권고사항이라 개인정보보호 측면에서 문제가 되고 있다는 목소리도 나왔다.
이에 따라 과학기술정보통신부는 ISMS 인증 의무대상자 기준을 보완하고, 개인정보보호위원회는 ISMS-P 인증을 의무화하는 방안을 고려할 필요성이 제기됐다. 다만 ISMS에서 개인정보보호 실효성 강화를 추진하는 부분은 인증 의무대상자 기준 보완대책으로 작용하기 어려운 부분이 있다. ISMS-P 인증의 경우, 비용 부담이 크고 준비기간도 길어 산업계에 부담이 될 수 있어 면밀한 검토가 필요하다는 의견이다.
제로트러스트(Zero Trust) 확산 : 과학기술정보통신부
급격히 변화하고 있는 IT 환경에서 새로운 보안 모델로 제로트러스트(Zero Trust)가 주목받고 있다. 제로트러스트는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하고 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않고, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업 등의 정보 자산을 보호할 수 있는 보안모델이다.
미국 등 세계 주요국은 제로트러스트 기반의 보안 체계를 도입하고 있으며 우리 정부도 국가적 차원의 제로트러스트 도입・확산 계획을 밝히고, 관련 가이드라인을 발표하는 등 실증 지원사업을 추진 중이다. 그러나 현재 제로트러스트에 대한 인식수준이 낮고 제로트러스트 도입 기업에 대한 별도의 유인책이 없는 상황이다. 보안 수준을 높일 수 있지만 시스템 구현에 상당한 시간과 투자가 필요하기에 자발적 참여를 유도하기 위해서는 구체적인 대책이 필요하다.
개선방안으로는 홍보 및 인식 제고를 위한 사업을 추진하고 도입기업에 대한 인센티브 제공 방안이 꼽힌다. 현재 제로트러스트에 대한 인식수준이 낮은 상황으로 개념과 도입 효과 등에 적극적인 홍보와 함께 도입 절차·방법 등에 대한 정보를 제공하고 정보보호 및 개인정보보호 관리체계 인증 수수료 일부를 감면하거나 정보보호 공시제도에 제로트러스트 관련 사항을 포함하여 가점 등의 혜택을 확대하는 방법이 있다.
중소기업의 정보보호 강화 : 과학기술정보통신부
과학기술정보통신부와 한국인터넷진흥원은 지역 중소기업의 정보보호 수준을 제고하고 사이버침해사고 예방·대응 역량 강화하며 정보보호 산업 활성화를 위해 지난 2014년부터 ‘지역 중소기업 정보보호 지원’ 사업을 추진하고 있다.
그러나 2024년도에는 해당 사업비가 105억원에서 58억원으로 대폭 감소하면서 지원대상 중소기업 수가 1,500개사에서 700개사로 축소되어 지역 중소기업의 정보보호 역량 강화에 차질이 우려된다는 지적이 있다. 중소기업도 개인정보보호 관리체계(ISMS-P) 인증에 대한 인식수준이 낮은 상황으로 지난해 인증제도 인식조사에 따르면 대기업 23.8%, 중기업 6.9%, 소기업 4.8% 수준이다.
이에 국회입법조사처는 고도화되는 해킹 위협에서 중소기업을 보호하고 사이버 안전망을 강화하기 위해 지원사업에 대한 적정한 지원규모에 대한 분석이 필요하고 지난 7월 시행된 ISMS 간편인증 제도가 시행됐는데, 중소기업의 인식수준이 낮은 상황임을 감안해 제도 도입 효과를 극대화하기 위해 적극적인 홍보로 보다 많은 중소기업의 참여를 유도할 필요가 있다는 설명이다.
사물인터넷(IoT) 보안인증 활성화 : 과학기술정보통신부
사물인터넷(IoT) 이용이 증가함에 따라 개인정보 침해 등의 보안 위협도 높아지고 있다. 정부는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따라 정보통신망 연결기기 등에 대해 IoT 제품, 앱이 일정 수준 이상의 보안 요구조건을 갖추도록 정보보호인증 제도를 시행하고 있다.
그러나 IoT 보안인증 실적이 전반적으로 저조하고 인증 유형·분야별로 인증건수의 편차가 큰 상황이다. 3년간 평균 인증 실적은 79건에 불과하고 총 3단계의 인증유형 중 라이트·베이직 등급에 집중되어 스탠다드는 전무한 상황이다.
인증 활성화 방안으로는 IoT 보안인증 강제화 및 소규모 IoT 제품에 대한 간편인증 제도 도입 및 보안인증 관련 인센티브 확대, 해외 주요국과의 협력체계 구축 등이 꼽힌다. 지난 3년간 인증 실적에서 0건의 스탠다드와 함께 분야별 실적에서 금융분야 0건, 가전분야 2건, 제조·생산분야와 통신분야는 4건에 불과한 상황으로 저조한 유형·분야에 대해서는 인증실적을 제고해야 한다는 의견이다.
소프트웨어(SW) 공급망 보안 강화 : 과학기술정보통신부
디지털 제품・서비스에서 소프트웨어(SW)의 비중이 높아지고, 모든 디지털 제품과 서비스가 네트워크로 연결됨에 따라 SW 보안 취약점을 악용하거나 SW 공급망에 침투하여 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 늘어났다.
미국, 유럽 등 주요국은 SW 공급망 공격에 체계적으로 대응하기 위해 SW 구성요소 명세서(SBOM) 도입 등 제도화를 추진하고 있다. 우리 정부도 2023년 실증사업을 진행하고 2024년 ‘SW 공급망 보안 가이드라인’을 발표하는 등 SW 공급망 보안 강화를 위해 대응하고 있으나 비교적 대응 속도가 느리다는 지적이다.
이에 SW 공급망 보안을 강화하기 위한 제도화 추진이 필요하다는 의견이다. 글로벌 SW 공급망 보안에 대응하고 무역장벽을 극복하기 위해 정부가 SBOM 제도화에 나서 관련 사업예산을 확보하고 정부 차원의 정책적 지원을 강화할 필요가 있다는 것이다.
다만, 안전한 SW 공급망 구현을 위해 시간과 비용을 추가로 투자해야 하고 개발 비용이 증대되는 등 SW 산업에 부정적인 영향도 미칠 수 있으므로 제도화 방법 등에 대해서는 산업계 등과의 논의 및 의견 수렴이 필요하다.
자동차 사이버보안 기준 도입과 과제 : 산업통상자원부
자동차 산업이 소프트웨어 중심 자동차(SDV)로 전환되고 무선통신으로 차량과 인프라(V2I), 차량 간(V2V) 정보를 주고받는 커넥티드카 시대가 도래함에 따라 관련 국제기준을 바탕으로 자동차 제작사의 사이버보안 및 소프트웨어 업데이트 안전 관리를 의무화 하기 위해 「자동차관리법」이 개정됐다.
개정된 법안은 안전관리 조치 의무화를 주된 내용으로 한다. 그러나 관련한 인증 기준·절차·방법, 안전관리 준수사항 등 실질적이고 구체적인 사항은 하위 법령인 「자동차관리법 시행령」 등으로 정할 예정이다.
기존의 자동차 안전 평가 분야는 한번 만들어진 평가 방법이 자주 변경되지 않지만 사이버보안과 관련해서는 새로운 위협과 공격 방법 등이 지속적으로 등장할 것으로 예상되는 만큼 선제적 대비가 중요하다는 의견이다. 아울러 「자동차관리법 시행령」과 「자동차관리법 시행규칙」 등이 법률의 목적을 충실히 달성할 수 있도록 제정되는지 지속적인 모니터링이 필요하다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
