“주요정보통신기반시설 외에도 공공 전반에 CISO 지정 의무화해야”
[보안뉴스 강현주 기자] 공공부문 전반에 정보보호최고책임자(CISO)를 지정해 기업뿐 아니라 정부도 보안에 대한 책임과 대응을 강화해야 한다는 목소리가 높아지고 있다.
일명 ‘프랙’(Phrack) 보고서를 통해 대한민국 방첩사, 통일부, 외교부, 행안부 등 정부 부처들이 중국 또는 북한으로 추정되는 국가배후 해킹 공격을 당한 사실이 알려지면서 이 같은 주장이 힘을 얻고 있다.
6일 한국사이버안보학회(회장 손기욱) 주최로 열린 ‘2025 한국사이버안보학회 학술대회’에서 권헌영 고려대학교 정보보호대학원 교수가 좌장을 맡아 ‘사이버안보 위협 대응과 국가의 역할’이라는 주제로 ‘법제도 트랙’이 열렸다.
▲윤상필 고려대 정보보호대학원 교수가 주제 발표를 하고 있다. [자료: 보안뉴스]
이 자리에서 윤상필 고려대 정보보호대학원 교수는 ‘주요국의 사이버안보 위협 대응체계와 역량’을 주제로 발표하며 공공 기관 CISO 지정 필요성을 언급했다.
윤 교수는 “정보통신기반보호법에 따른 기관 외 공공부문 전반의 CISO가 부재한 상황이며, 전역에 CISO 의무화가 필요하다”고 말했다.
현재 정보통신기반보호법에 따르면 ‘주요정보통신기반시설’에 해당하는 기관들은 사실상 CISO 역할을 하는 정보보호 책임자를 지정하도록 규정하고 있다. 기업의 경우 정보통신망법에 따라 현재 약 3만여 기업들이 CISO를 지정하고 있다. 하지만 주요정보통신기반시설이 아닌 공공 기관들 역시 끊임없이 해킹의 대상이 되고 있어 보안 책임자가 필요하다는 얘기다.
윤 교수는 “정보통신기반보호법에 따른 정보보호 책임자가 CISO와 같은 역할을 하고 있지만 제한적인 면이 있고, 그 외 공공기관들의 경우 ‘전자정부법’에 CISO 지정을 의무화할 법체계가 추가될 필요가 있다”고 설명했다.
최근 공공기관이 해킹을 당했을 때 책임과 대응 주체를 명확히 할 필요가 있다는 목소리가 높아지고 있다. 공공 부문 전역 CISO 지정 의무화는 이와 일맥상통한 얘기다.
윤 교수는 “공공부문 해킹 사고에 대한 책임이 명확치 않고 기관장의 관심도 낮다는 문제점이 있다”며 “보안 현업 부서의 예산, 인력 등 자원과 권한도 부족한 실태”라고 말했다.
그는 “정부 기관의 보안 책임을 강화할 필요가 있다”며 “공공부문 전역에 CISO를 지정하고 사이버보안 관련 자원 배분, 감독 권한을 부여해 보안을 강화해야 한다”고 강조했다.
윤 교수는 공공부문 보안 강화 방안으로 △공공부문 사이버보안 역량과 성과평가 체계 연동(형해화 견제) △공공 및 금융, 통신, 에너지, 방산 등 핵심 분야 대상 수시 랜덤 해킹 및 취약점 제거 △인사,조직, 예산 등 행정 구현 핵심 요소와 사이버보안 정책 연동 등을 제시했다.
▲박정흠 고려대 정보보호대학원 교수가 주제 발표를 하고 있다. [자료: 보안뉴스]
이 날 법제도트랙에선 사이버안보 위협 대응을 위한 국가의 역할도 다뤄졌다.
박정흠 고려대 정보보호대학원 교수는 ‘대한민국 사이버안보 위협의 현상과 대응과제’라는 주제발표에서 정부와 기업 등 국가 전반 해킹에 대한 국가의 역할에 대해 논했다.
박 교수는 잇따른 국내 기업 및 정부 해킹 사고에 대해 “특정기관, 기업, 개인의 문제로 정리할 수 있는 상황이 아니라 종합적 대응 체계 개선과 구축이 필요하다”며 “국가 배후 해킹 등 안보에 대한 심각한 위협이 증가하고 있는 상황에서, 이를 지속적으로 추적할 수 있는 체계 구축에 투자해야 한다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] 공공부문 전반에 정보보호최고책임자(CISO)를 지정해 기업뿐 아니라 정부도 보안에 대한 책임과 대응을 강화해야 한다는 목소리가 높아지고 있다.
일명 ‘프랙’(Phrack) 보고서를 통해 대한민국 방첩사, 통일부, 외교부, 행안부 등 정부 부처들이 중국 또는 북한으로 추정되는 국가배후 해킹 공격을 당한 사실이 알려지면서 이 같은 주장이 힘을 얻고 있다.
6일 한국사이버안보학회(회장 손기욱) 주최로 열린 ‘2025 한국사이버안보학회 학술대회’에서 권헌영 고려대학교 정보보호대학원 교수가 좌장을 맡아 ‘사이버안보 위협 대응과 국가의 역할’이라는 주제로 ‘법제도 트랙’이 열렸다.
▲윤상필 고려대 정보보호대학원 교수가 주제 발표를 하고 있다. [자료: 보안뉴스]
이 자리에서 윤상필 고려대 정보보호대학원 교수는 ‘주요국의 사이버안보 위협 대응체계와 역량’을 주제로 발표하며 공공 기관 CISO 지정 필요성을 언급했다.
윤 교수는 “정보통신기반보호법에 따른 기관 외 공공부문 전반의 CISO가 부재한 상황이며, 전역에 CISO 의무화가 필요하다”고 말했다.
현재 정보통신기반보호법에 따르면 ‘주요정보통신기반시설’에 해당하는 기관들은 사실상 CISO 역할을 하는 정보보호 책임자를 지정하도록 규정하고 있다. 기업의 경우 정보통신망법에 따라 현재 약 3만여 기업들이 CISO를 지정하고 있다. 하지만 주요정보통신기반시설이 아닌 공공 기관들 역시 끊임없이 해킹의 대상이 되고 있어 보안 책임자가 필요하다는 얘기다.
윤 교수는 “정보통신기반보호법에 따른 정보보호 책임자가 CISO와 같은 역할을 하고 있지만 제한적인 면이 있고, 그 외 공공기관들의 경우 ‘전자정부법’에 CISO 지정을 의무화할 법체계가 추가될 필요가 있다”고 설명했다.
최근 공공기관이 해킹을 당했을 때 책임과 대응 주체를 명확히 할 필요가 있다는 목소리가 높아지고 있다. 공공 부문 전역 CISO 지정 의무화는 이와 일맥상통한 얘기다.
윤 교수는 “공공부문 해킹 사고에 대한 책임이 명확치 않고 기관장의 관심도 낮다는 문제점이 있다”며 “보안 현업 부서의 예산, 인력 등 자원과 권한도 부족한 실태”라고 말했다.
그는 “정부 기관의 보안 책임을 강화할 필요가 있다”며 “공공부문 전역에 CISO를 지정하고 사이버보안 관련 자원 배분, 감독 권한을 부여해 보안을 강화해야 한다”고 강조했다.
윤 교수는 공공부문 보안 강화 방안으로 △공공부문 사이버보안 역량과 성과평가 체계 연동(형해화 견제) △공공 및 금융, 통신, 에너지, 방산 등 핵심 분야 대상 수시 랜덤 해킹 및 취약점 제거 △인사,조직, 예산 등 행정 구현 핵심 요소와 사이버보안 정책 연동 등을 제시했다.
▲박정흠 고려대 정보보호대학원 교수가 주제 발표를 하고 있다. [자료: 보안뉴스]
이 날 법제도트랙에선 사이버안보 위협 대응을 위한 국가의 역할도 다뤄졌다.
박정흠 고려대 정보보호대학원 교수는 ‘대한민국 사이버안보 위협의 현상과 대응과제’라는 주제발표에서 정부와 기업 등 국가 전반 해킹에 대한 국가의 역할에 대해 논했다.
박 교수는 잇따른 국내 기업 및 정부 해킹 사고에 대해 “특정기관, 기업, 개인의 문제로 정리할 수 있는 상황이 아니라 종합적 대응 체계 개선과 구축이 필요하다”며 “국가 배후 해킹 등 안보에 대한 심각한 위협이 증가하고 있는 상황에서, 이를 지속적으로 추적할 수 있는 체계 구축에 투자해야 한다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
