사이버위협 탐지 대응 체계 고도화 구체화됐으나, 국산 핵심보안기술 자립도 낮아
내수시장 중심의 사업구조로 인한 글로벌 경쟁력은 여전히 낮은 수준
보안인력 처우문제 등 인력 수급 문제에 대한 적극적 해법 필요
한국사이버안보학회(KACS: Korean Association of Cybersecurity Studies, 회장 김상배)가 개최한 2024년 연례학술대회 세션 1-1 국가전략 라운드테이블에서는 ‘한국의 사이버 안보전략: 현황과 과제’를 주제로 서울대 김상배 교수가 좌장을 맡은 가운데, 국가안보실 신용석 사이버안보비서관, 하렉스인포텍 박종일 글로벌전략실장, 아주대 이원태 교수, 스텔스모어 최상명 CTO, 보안뉴스 김경애 팀장이 패널로 참석해 토론을 진행한 바 있다. 이에 <보안뉴스>는 정부, 군, 산업, 언론 관점에서 바라본 ‘한국의 사이버 안보전략: 현황과 과제’를 각각의 토론문을 통해 소개하고자 한다. 두 번째 소개할 토론문은 아주대학교 이원태 교수의 토론문이다.
[이미지=gettyimagesbank]
[보안뉴스= 이원태 아주대학교 교수] (Preface) 거창하고 어려운 주제를 짧게 얘기하기 어렵다. 다만, 한국사이버안보학회가 출범한지 1년 6개월 되고 했으니 지난 2년간 우리나라 사이버안보전략 추진 경험을 회고하는 형식으로, 그간을 평가해보고 향후 과제를 간략히 언급하고자 한다. 저는 인문사회과학, 특히 정치학이라는 학문적 배경을 갖고 있는데, 올해 처음으로 사이버보안 법제도 강의를 하고 있다. 강의를 준비하면서 사이버보안 생태계를 기술, 산업, 인력(사람), 법제도 4가지의 핵심 구성요소들 간의 상호작용으로 보고자 노력하는 중이다. 그런 관점에서 우리나라 사이버안보전략을 얘기하고자 한다.
1. 기술
(성과) 기술 측면에서는 많은 성과와 한계가 있었다. 무엇보다도 AI 기반의 악성코드 자동분석 기능 강화, 위협정보 자동수집 분석체계 구축 등 사이버위협 탐지 대응 체계의 지능화, 고도화를 위한 노력이 구체화됐다. 특히 제로트러스트 보안모델을 도입하거나 공급망 보안 체계를 강화하기 위한 기술적 제도적 노력들이 전개됐다. 통합보안관제의 지능화, 고도화로 한단계 더 발전하는 전환점이었다고 평가하고 싶다.
(한계) 그러나 날로 발전하는 생성형AI 신기술 활용한 지능형 사이버공격에 대한 대응체계는 여전히 미흡하다. 특히 국산 핵심보안기술의 자립도가 여전히 낮은 수준이다.
2. 산업
(성과) 2023년 정보보호산업 규모가 전년대비 4% 성장해 총매출액 16조 8천억원을 기록했고, 정보보호 기업 수도 1,708개로 7.2% 증가했으며, 정보보안 매출도 9.4% 증가한 6조 1,455억원, 물리보안 매출은 10조 6천8백억원을 달성했다. KISIA를 비롯해 많은 기업들이 노력한 덕분에 우리나라의 정보보호 산업은 지속적 성장세에 있다고 볼 수 있다. 사이버보안 펀드 400억 조성 계획은 이러한 흐름에 적극 정부가 부응한 훌륭한 선택이었다.
(한계) 그러나 2023년 기준으로 미국의 보안시장 규모 600억달러, 미국에 이어 2위권인 이스라엘은 자국시장 규모는 알려지지 않았지만 사이버보안 수출액 약 120억 달러(약 15.6조원)로 연간 10%씩 성장하고 있고 전세계 사이버보안 시장의 1/3을 차지하고 있는 것으로 알려져 있다. 이스라엘의 사이버보안 기업이 약 500개인데, 그중 기업가치 10억 달러 이상의 유니콘이 7개나 된다는 점에서 이스라엘의 보안시장 규모를 가늠해볼 수 있다.
그에 비해 우리나라는 2023년 정보보호 산업 매출은 16조 8,310억 원(약 126억 달러)라고 했는데, 이는 미국 시장 규모의 1/5 정도로 더 이상 늘지는 않고 있다. 오히려 2023년 정보보호 수출액은 16.3% 감소한 1조 6,800억 원으로 나타났고, 보안산업 종사자 수도 7.0% 감소한 6만 308명으로 집계됐다. 지난 1~2년 사이에 수출이 줄고 보안종사자의 수가 줄었다. 좋지 않은 지표다.
우리나라 정보보호 산업의 ‘3무 현상’이란 말이 있는데, 국내 정보보호 산업에서 3가지가 없다는 뜻이다. 유니콘 기업 무(無), 글로벌 수출기업 무(無), 혁신적 스타트업 무(無)가 그 것이다. 특히, 유니콘 기업의 가치기준이 10억 달러(즉 약 1조 3,754억 원)인데, 국내 1위 정보보호 기업인 안랩의 시가총액은 약 6천억원 수준에 불과해 절반에도 미치지 못한다. 내수시장 중심의 사업구조로 인한 글로벌 경쟁력이 낮은 수준 여전하다는 뜻이다.
각종 규제와 인증 요건으로 스타트업의 시장진입 어려움도 계속 되고 있다. 이러한 고질적인 3무 현상을 극복하기 위해 2023년 과기정통부가 ‘정보보호산업의 글로벌 경쟁력 확보 전략’을 수립, 시행했지만, 그 효과는 아직 나타나지 못한 것 같아 아쉽다. 과기정통부를 넘어선 범부처 사이버안보전략의 틀에서 산업전략을 고민해야 할때가 아닌가 싶다.
3. 인력(사람)
(성과) 윤석열 정부의 ‘사이버 10만 인재 양성’이라는 국정과제 추진실적은 양호한 것으로 보인다. 지금까지 추진 현황을 알아봤더니 매년 목표를 충분히 달성하고 있는 것으로 나타났다. 단순히 수를 늘리기 위해 교육을 많이 시키는 것을 넘어 산학연 협력을 통한 실무형 인재양성체계로 질적 전환을 이루는 것 같아 다행스럽게 생각한다.
(한계) 다만, 10만 인재양성 체계에서 재직자가 6만, 신규인력이 4만인데, 여전히 화이트해커 등 고급 전문인력의 부족 현상은 지속되고 있다. 산업계 수요-공급 간 미스매치 문제도 여전히 제기되고 있다. 무엇보다도 보안인력에 대한 처우문제, 특히 인건비 및 보상수준이 낮은데 이 문제에 대한 적극적 해법이 필요하다.
4. 법제도(거버넌스)
(성과) 사이버안보전략에서 가장 어려운 부분이 바로 법제도이다. 고도화하는 사이버위협에 일사분란하게 대응하기 위한 체계를 법제도로 뒷받침해야 하는데 오랫동안 그러질 못했기 때문이다. 그런데 최근의 법제도적 대응에 두 가지 중요한 성과 또는 변화가 있었다. 이점은 인정해야 할 것 같다.
(1)‘사이버안보 기본법’이 부재해 통합적인 사이버안보 대응 체계에 한계가 있다는 지적이 오랫동안 있었는데, 이러한 상황에서도 ‘사이버안보 업무규정’을 개선해 국가사이버위기관리단’을 출범시키고, 민·관·군 협력 체계를 신속하게 구축한 것은 매우 주목할 만한 성과라고 생각한다. 이러한 조치는 사이버안보 기본법이 없는 상황에서도 기존 법령과 규정을 활용해 효과적인 대응 체계를 마련한 사례로 평가할 수 있다.
2) 또 다른 하나는 망분리 보안체계를 개선하는 결단을 내렸다는 점이다. 물리적 망분리에 안주하는 보안체계가 아니라 데이터의 중요도에 따라 위험관리 체계로 전환하는 중요한 정책결정이었다고 본다.
(한계) 그러나 장기적으로는 사이버안보 기본법 제정을 통해 보다 체계적이고 일관된 사이버안보 정책과 대응 체계를 구축하는 것이 필요하다. 여러 가지 이유가 있지만, 바로 인공지능의 파급력 때문이다. 인공지능(AI) 기술의 고도화는 사이버 보안 위협의 양상과 규모를 빠르게 변화시키고 있다. AI 기반 공격의 증가, 그에 따른 지능적 방어 체계 구축의 필요성 증가 등이 그런 예다.
국가안보실과 사이버안보비서관실이 컨트롤타워 역할을 잘 수행하고 있으나 현재의 사이버안보 업무 규정은 여전히 개별 기관의 협력을 강조하는 틀에 의존하고 있다. 그러나 앞으로 AI와 같은 고도화된 보안 위협에 대응하기 위해서는 민·관·군의 긴밀한 협력 체계가 필수적이고, 이를 위해 사이버안보 기본법을 통해서 보다 확고한 협력 구조와 법적 근거를 제공할 필요는 있다.
(마무리) 우리나라 사이버보안의 기술(AI·양자암호 등 신기술 R&D 투자 확대, 제로트러스트 기반 선제적 방어체계 구축), 산업(글로벌 유니콘 육성, 스타트업 생태계 활성화), 인력(산업 수요 기반의 실무형 교육 강화, 고급 전문인력 양성), 법제도(사이버보안 기본법 제정을 통한 통합 거버넌스 구축) 등 4가지 구성요소가 긴밀하게 연계되어 시너지를 발휘할 수 있도록 정부는 장기적 관점에서 국가 사이버보안 전략을 수립하고 민간의 자발적 참여를 유도하며, 주요국과의 사이버안보 동맹 강화를 통해 국가 사이버안보 역량을 제고해 나가야 할 것이다.
[글_ 이원태 아주대학교 교수/전 한국인터넷진흥원 원장]
내수시장 중심의 사업구조로 인한 글로벌 경쟁력은 여전히 낮은 수준
보안인력 처우문제 등 인력 수급 문제에 대한 적극적 해법 필요
한국사이버안보학회(KACS: Korean Association of Cybersecurity Studies, 회장 김상배)가 개최한 2024년 연례학술대회 세션 1-1 국가전략 라운드테이블에서는 ‘한국의 사이버 안보전략: 현황과 과제’를 주제로 서울대 김상배 교수가 좌장을 맡은 가운데, 국가안보실 신용석 사이버안보비서관, 하렉스인포텍 박종일 글로벌전략실장, 아주대 이원태 교수, 스텔스모어 최상명 CTO, 보안뉴스 김경애 팀장이 패널로 참석해 토론을 진행한 바 있다. 이에 <보안뉴스>는 정부, 군, 산업, 언론 관점에서 바라본 ‘한국의 사이버 안보전략: 현황과 과제’를 각각의 토론문을 통해 소개하고자 한다. 두 번째 소개할 토론문은 아주대학교 이원태 교수의 토론문이다.
[이미지=gettyimagesbank]
[보안뉴스= 이원태 아주대학교 교수] (Preface) 거창하고 어려운 주제를 짧게 얘기하기 어렵다. 다만, 한국사이버안보학회가 출범한지 1년 6개월 되고 했으니 지난 2년간 우리나라 사이버안보전략 추진 경험을 회고하는 형식으로, 그간을 평가해보고 향후 과제를 간략히 언급하고자 한다. 저는 인문사회과학, 특히 정치학이라는 학문적 배경을 갖고 있는데, 올해 처음으로 사이버보안 법제도 강의를 하고 있다. 강의를 준비하면서 사이버보안 생태계를 기술, 산업, 인력(사람), 법제도 4가지의 핵심 구성요소들 간의 상호작용으로 보고자 노력하는 중이다. 그런 관점에서 우리나라 사이버안보전략을 얘기하고자 한다.
1. 기술
(성과) 기술 측면에서는 많은 성과와 한계가 있었다. 무엇보다도 AI 기반의 악성코드 자동분석 기능 강화, 위협정보 자동수집 분석체계 구축 등 사이버위협 탐지 대응 체계의 지능화, 고도화를 위한 노력이 구체화됐다. 특히 제로트러스트 보안모델을 도입하거나 공급망 보안 체계를 강화하기 위한 기술적 제도적 노력들이 전개됐다. 통합보안관제의 지능화, 고도화로 한단계 더 발전하는 전환점이었다고 평가하고 싶다.
(한계) 그러나 날로 발전하는 생성형AI 신기술 활용한 지능형 사이버공격에 대한 대응체계는 여전히 미흡하다. 특히 국산 핵심보안기술의 자립도가 여전히 낮은 수준이다.
2. 산업
(성과) 2023년 정보보호산업 규모가 전년대비 4% 성장해 총매출액 16조 8천억원을 기록했고, 정보보호 기업 수도 1,708개로 7.2% 증가했으며, 정보보안 매출도 9.4% 증가한 6조 1,455억원, 물리보안 매출은 10조 6천8백억원을 달성했다. KISIA를 비롯해 많은 기업들이 노력한 덕분에 우리나라의 정보보호 산업은 지속적 성장세에 있다고 볼 수 있다. 사이버보안 펀드 400억 조성 계획은 이러한 흐름에 적극 정부가 부응한 훌륭한 선택이었다.
(한계) 그러나 2023년 기준으로 미국의 보안시장 규모 600억달러, 미국에 이어 2위권인 이스라엘은 자국시장 규모는 알려지지 않았지만 사이버보안 수출액 약 120억 달러(약 15.6조원)로 연간 10%씩 성장하고 있고 전세계 사이버보안 시장의 1/3을 차지하고 있는 것으로 알려져 있다. 이스라엘의 사이버보안 기업이 약 500개인데, 그중 기업가치 10억 달러 이상의 유니콘이 7개나 된다는 점에서 이스라엘의 보안시장 규모를 가늠해볼 수 있다.
그에 비해 우리나라는 2023년 정보보호 산업 매출은 16조 8,310억 원(약 126억 달러)라고 했는데, 이는 미국 시장 규모의 1/5 정도로 더 이상 늘지는 않고 있다. 오히려 2023년 정보보호 수출액은 16.3% 감소한 1조 6,800억 원으로 나타났고, 보안산업 종사자 수도 7.0% 감소한 6만 308명으로 집계됐다. 지난 1~2년 사이에 수출이 줄고 보안종사자의 수가 줄었다. 좋지 않은 지표다.
우리나라 정보보호 산업의 ‘3무 현상’이란 말이 있는데, 국내 정보보호 산업에서 3가지가 없다는 뜻이다. 유니콘 기업 무(無), 글로벌 수출기업 무(無), 혁신적 스타트업 무(無)가 그 것이다. 특히, 유니콘 기업의 가치기준이 10억 달러(즉 약 1조 3,754억 원)인데, 국내 1위 정보보호 기업인 안랩의 시가총액은 약 6천억원 수준에 불과해 절반에도 미치지 못한다. 내수시장 중심의 사업구조로 인한 글로벌 경쟁력이 낮은 수준 여전하다는 뜻이다.
각종 규제와 인증 요건으로 스타트업의 시장진입 어려움도 계속 되고 있다. 이러한 고질적인 3무 현상을 극복하기 위해 2023년 과기정통부가 ‘정보보호산업의 글로벌 경쟁력 확보 전략’을 수립, 시행했지만, 그 효과는 아직 나타나지 못한 것 같아 아쉽다. 과기정통부를 넘어선 범부처 사이버안보전략의 틀에서 산업전략을 고민해야 할때가 아닌가 싶다.
3. 인력(사람)
(성과) 윤석열 정부의 ‘사이버 10만 인재 양성’이라는 국정과제 추진실적은 양호한 것으로 보인다. 지금까지 추진 현황을 알아봤더니 매년 목표를 충분히 달성하고 있는 것으로 나타났다. 단순히 수를 늘리기 위해 교육을 많이 시키는 것을 넘어 산학연 협력을 통한 실무형 인재양성체계로 질적 전환을 이루는 것 같아 다행스럽게 생각한다.
(한계) 다만, 10만 인재양성 체계에서 재직자가 6만, 신규인력이 4만인데, 여전히 화이트해커 등 고급 전문인력의 부족 현상은 지속되고 있다. 산업계 수요-공급 간 미스매치 문제도 여전히 제기되고 있다. 무엇보다도 보안인력에 대한 처우문제, 특히 인건비 및 보상수준이 낮은데 이 문제에 대한 적극적 해법이 필요하다.
4. 법제도(거버넌스)
(성과) 사이버안보전략에서 가장 어려운 부분이 바로 법제도이다. 고도화하는 사이버위협에 일사분란하게 대응하기 위한 체계를 법제도로 뒷받침해야 하는데 오랫동안 그러질 못했기 때문이다. 그런데 최근의 법제도적 대응에 두 가지 중요한 성과 또는 변화가 있었다. 이점은 인정해야 할 것 같다.
(1)‘사이버안보 기본법’이 부재해 통합적인 사이버안보 대응 체계에 한계가 있다는 지적이 오랫동안 있었는데, 이러한 상황에서도 ‘사이버안보 업무규정’을 개선해 국가사이버위기관리단’을 출범시키고, 민·관·군 협력 체계를 신속하게 구축한 것은 매우 주목할 만한 성과라고 생각한다. 이러한 조치는 사이버안보 기본법이 없는 상황에서도 기존 법령과 규정을 활용해 효과적인 대응 체계를 마련한 사례로 평가할 수 있다.
2) 또 다른 하나는 망분리 보안체계를 개선하는 결단을 내렸다는 점이다. 물리적 망분리에 안주하는 보안체계가 아니라 데이터의 중요도에 따라 위험관리 체계로 전환하는 중요한 정책결정이었다고 본다.
(한계) 그러나 장기적으로는 사이버안보 기본법 제정을 통해 보다 체계적이고 일관된 사이버안보 정책과 대응 체계를 구축하는 것이 필요하다. 여러 가지 이유가 있지만, 바로 인공지능의 파급력 때문이다. 인공지능(AI) 기술의 고도화는 사이버 보안 위협의 양상과 규모를 빠르게 변화시키고 있다. AI 기반 공격의 증가, 그에 따른 지능적 방어 체계 구축의 필요성 증가 등이 그런 예다.
국가안보실과 사이버안보비서관실이 컨트롤타워 역할을 잘 수행하고 있으나 현재의 사이버안보 업무 규정은 여전히 개별 기관의 협력을 강조하는 틀에 의존하고 있다. 그러나 앞으로 AI와 같은 고도화된 보안 위협에 대응하기 위해서는 민·관·군의 긴밀한 협력 체계가 필수적이고, 이를 위해 사이버안보 기본법을 통해서 보다 확고한 협력 구조와 법적 근거를 제공할 필요는 있다.
(마무리) 우리나라 사이버보안의 기술(AI·양자암호 등 신기술 R&D 투자 확대, 제로트러스트 기반 선제적 방어체계 구축), 산업(글로벌 유니콘 육성, 스타트업 생태계 활성화), 인력(산업 수요 기반의 실무형 교육 강화, 고급 전문인력 양성), 법제도(사이버보안 기본법 제정을 통한 통합 거버넌스 구축) 등 4가지 구성요소가 긴밀하게 연계되어 시너지를 발휘할 수 있도록 정부는 장기적 관점에서 국가 사이버보안 전략을 수립하고 민간의 자발적 참여를 유도하며, 주요국과의 사이버안보 동맹 강화를 통해 국가 사이버안보 역량을 제고해 나가야 할 것이다.
[글_ 이원태 아주대학교 교수/전 한국인터넷진흥원 원장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
