국제 보안 평가기관 수장이 말하는 건강한 보안 강화 3단계

2020-10-29 14:50
  • 카카오톡
  • url
ISEC 2020에서 가상 기조 연설자로 나선 ITU의 사이버 보안 책임자 오비소 마르코
2013년부터 GCI를 진행해 오면서 확보한 노하우 공개...“진정한 변화 일으키려면”


[보안뉴스 문가용 기자] 보안종사자들 간 만남과 교류의 목마름이 해갈되고 있는 ISEC 2020 현장에서 국제전기통신연합(ITU)의 사이버 보안 부문 코디네이터인 오비소 마르코(Obiso Marco)가 영상 기조연설을 진행했다. 마르코는 2013년부터 ‘글로벌 사이버 보안 지수(GCI)’ 프로젝트를 진행했던 인물로, 국가별 보안 현황을 가장 정확하게 파악할 수 있는 위치에 있는 몇 안 되는 사람 중 하나다.


[이미지 = utoimage]

코로나 사태로 원격 강연을 진행한 그는 제일 먼저 ITU의 궁극적 목표가 전 세계 사람들을 이어주는 것이라고 선언하며, 그러한 목표를 이루기 위해 넘어서야 할 것 중 하나가 사이버 보안이라고 설명했다. 모든 사람들이 안전한 통신 생활을 영위하도록 하려면 여러 방면에서의 노력이 이루어져야 보안이 완성된다고도 강조했다. “그래서 2013년부터 GCI 보고서 발표를 위한 준비 작업에 착수한 것입니다.”

1. 보안을 평가하려면 꼭 살펴야 하는 다섯 개 영역
그가 언급한 ‘여러 분야’란 GCI가 표방하는 다섯 개 영역으로, 법, 기술, 조직, 역량, 협업을 말한다. 국가적 차원에서는 안전한 통신을 제공하기 위해서는 통신 환경에서의 사이버 보안과 관련된 법, 위협을 방비하고 대처할 수 있는 기술력, 실제 행동을 취하려고 했을 때 구심점이 되어주는 조직의 존재가 필요하다는 것이다. 또한 장기적인 역량 개발을 위한 노력과 보다 부드럽고 원활한 협업 체계 역시 필수적이라고 그는 강조했다.

“이 다섯 개 영역으로 보안의 전반적인 수준을 파악한다는 것에 대해 이견이 있을 수 있습니다. 다른 측정 방법이 존재하는 것도 사실입니다. 그러나 ITU 내부적으로는 이 다섯 가지 영역에서 기본적인 바탕이 이뤄져야 납득할 만한 수준의 보안 체제가 마련된다고 보는 편입니다. 법이 마련되어 있느냐? 기술력을 충분히 갖추고 있느냐? CERT와 같은 조직이 존재하느냐? 역량 개발을 위한 프로그램이 있느냐? 협업은 잘 이뤄지고 있느냐? 이걸 물어볼 수밖에 없다는 것입니다.”

그렇다고 GCI가 다섯 개의 질문으로 190이 넘는 ITU 회원국의 역량을 파악하는 건 아니다. “GCI는 총 82개 문항으로 이뤄져 있습니다. 이 질문들은 주기적으로 관리되고 시대의 흐름과 상황에 맞게 업데이트 됩니다. 질문들은 회원국들에게 전달되고, 회원국들이 답을 보내면 ITU 내부에서 분석 작업이 시작됩니다. 그런 후에 보고서가 나오죠. 현재는 약 160개국이 답변을 보내줍니다. 2013년에 처음 발족된 이 프로젝트는 2015년 첫 보고서의 형태로 발현됐습니다.”

2. 보안, 경제의 언어로 말하라
강연을 통해 그는 계속해서 “단순 평가가 GCI의 목적이 아니”라고 강조했다. “현 상태를 파악하고, 잘 되고 있는 케이스의 노하우를 비교적 잘 안 되고 있는 국가에 공유해 전체적인 보안 역량을 강화하는 것입니다. GCI는 전 세계 사람들을 이어주겠다는 ITU의 ‘안전 장치’와 같은 도구입니다.”

그런 GCI의 조사를 통해 한 가지 명확해 진 건 국가의 보안 역량 강화가 국가 경쟁력과 직결된다는 사실이다. “다보스 포럼의 국가 경쟁력 지수와, GCI에서 조사된 결과를 같이 놓고 분석했을 때 분명한 관계성이 드러났습니다. 돈 많은 나라가 보안을 잘 한다는 게 아닙니다. 보안에 좀 더 신경을 쓰는 나라가 다른 조사 기관의 경쟁력 지표에서도 상위권을 유지하고 있었다는 겁니다. 즉 보안이 국가 차원에서의 경제적 역량과 밀접한 관계를 맺고 있다는 것이죠.”

CISO들에게 하는 조언 들 중 “일반 임원들에게 보안에 대해 설명할 때 ‘돈 액수’ 혹은 ‘경제의 언어’로 하라”는 것이 있다. GCI가 국가 차원의 보안 강화를 위해 마련된 도구로서 효력을 발휘하려면 이런 경제적 지표와의 연관성이 반드시 필요하다. 그래서 그런지 GCI를 접한 국가들 사이에서 변화가 일어나기 시작했다.

3. 일으킨 변화를 자랑스러워하라
“초기에는 사이버 보안 관련 법을 가진 국가가 그리 많지 않았습니다. 하지만 지금은 훨씬 많아진 상황이죠. 법안 준비를 위해 여러 나라에서 자문을 구하는 정부들도 늘어났습니다. 국제 프레임워크나 조직을 만들려는 움직임도 있습니다만, 그런 것의 필요성은 또 다른 논란이 될 수 있고 ITU의 영역 밖의 문제라 여기서는 다루지 않겠습니다. 하지만 국가 차원에서는 보안 정책과 프레임워크가 필요합니다. 처음에는 이런 장치를 갖춘 나라가 100개 미만이었습니다. 지금은 107개국까지 늘어났습니다.”


[이미지 = 보안뉴스]

또한 정책이 실제 상황 속에서 구체적으로 ‘실현’될 때에는 명문화 된 법이나 정책만으로 안 된다. 누군가가 그 명문화 된 글줄들을 가지고 행동을 시작해야 한다. 즉 구심점이 필요하다는 건데, 마르코 코디네이터는 “CERT가 그러한 책임을 맡은 조직들”이라고 설명했다. “CERT가 늘어나면 늘어날수록 정책 운영의 효율이 높아집니다. 산업별로 설립된 CERT가 서로 정보를 공유하면 더 빠르게 대응할 수도 있고요. 현재 CERT와 같은 기능을 하는 조직이 늘어나고 있다는 것도 GCI가 일으킨 긍정적인 변화라고 봅니다.”

그러나 아쉬운 건 아직 ‘대화’가 현저히 부족하다는 것이라고 그는 덧붙였다. “국가 간 수사 공조 등의 협력 체계는 크게 발전했습니다. GCI가 처음 시작됐을 때는 서로 다른 나라의 경찰들끼리 사이버 범죄를 같이 수사한다는 게 불가능해 보일 지경이었는데, 지금은 그 프로세스가 엄청나게 빨라졌죠. 그래서 성과도 많이 거두고 있고요. 그 점은 고무적입니다. 하지만 국가 내 정부 기관들과 민간 업체, 시민 단체 사이의 대화는 아직도 거의 일어나지 않고 있습니다. GCI는 대화를 시작할 때 사용할 수 있는 유용한 도구라는 것을 더 전파해야 하겠습니다.”

그러면서 마르코는 “요약하자면 CERT가 많아질수록, 프레임워크가 올바르게 수립될수록, 대중들을 위한 보안 교육 캠페인이 늘어날수록, 서로 다른 조직들 간 대화가 원활해질수록 국가 차원의 보안 전략이 건강하게 마련된다”고 강연을 맺었다. “GCI를 통해 ‘우리나라가 몇 등했다’만 볼 것이 아니라 다른 나라의 어떤 부분을 배워야하는지 살피는 것이 저희를 더 잘 활용하는 방법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기