세계 최고 수준의 디지털안심 국가 실현 목표로 2023년까지 6,400억 원 투자
[보안뉴스 이상우 기자] 5G, 인공지능 등 4차 산업혁명 확산과 비대면 경제 활성화 등으로 우리 삶은 빠르게 디지털로 전환되고 있다. 이에 따라 사이버위협은 특정 영역에 머무르지 않게 됐으며, 정보보호를 필요로 하는 영역은 산업과 사회 전반으로 확대되고, 무인상점 해킹, 인공지능을 활용한 공격 등 새로운 보안위협도 날로 증가하고 있다. 이러한 상황 속에서 기존 네트워크 및 PC 중심, 전문가를 통한 사고대응 위주의 정보보호로는 새로운 사이버위협 대응에 한계가 존재하기 때문에 정보보호 패러다임의 근본적인 변화도 필요하다.
[이미지=utoimage]
이에 정부는 디지털공간의 튼튼한 ‘방역체계’를 구축해 디지털경제 시대를 선제적으로 대비하고, 데이터댐 등 디지털뉴딜의 성공과 국민이 안전하고 신뢰할 수 있는 세계 최고의 디지털안심 국가를 실현하기 위한 정보보호 종합계획으로 ‘K-사이버방역 추진전략’을 수립했다.
과학기술정보통신부(장관 최기영, 이하 과기정통부)는 △디지털안심 국가 기반 구축(①사이버보안 대응체계 고도화, ②수요자 중심 디지털보안 역량 강화) △보안 패러다임 변화 대응 강화(③차세대 융합보안 기반 확충, ④신종 보안위협 및 AI 기반 대응 강화, ⑤디지털보안 핵심기술 역량 확보) △정보보호산업 육성 기반 확충(⑥정보보호산업 성장 지원 강화, ⑦디지털보안 혁신인재 양성, ⑧디지털보안 법제도 정비) 등을 3가지 전략을 통해 8대 과제를 선정하고, K-사이버방역을 본격적으로 추진한다.
△디지털안심 국가 기반 구축
①과기정통부는 집적정보통신시설(IDC), 클라우드 서비스 사업자, 웹호스팅 업체 등 주요 민간기업과 ‘사이버보안 얼라이언스’를 구축하고, 지금까지는 신고를 통해 수집하던 사이버위협 정보를 실시간으로 수집한다.
수집한 정보는 주요기업, 기관 및 일반국민 등 민간에 신속히 전파하고, 보안업체와 연계하여 보안패치 개발·보급을 지원할 계획이다. 또한, 많은 국민이 이용하는 웹사이트(약 2만 개)와 접속 빈도 및 파급력이 높은 주요 디지털 서비스에 대해서는 사전에 보안위협을 탐지하고, 침해사고 시 기술지원 등 대응을 강화한다.
이와 함께 전국 어디서든 침해사고가 발생하면 전문가를 사고현장에 파견해 침해사고의 원인분석·조사뿐만 아니라 복구 및 재발방지까지 모든 주기에 걸쳐 밀착지원하는 ‘전국 원스톱 침해대응 체계’를 구축한다. 이 과정에서 민간 보안업체와 연계해 기업에 대한 보안컨설팅을 실시하고, 보안강화를 위해 필요한 보안제품 및 솔루션 도입 등이 이루어질 수 있도록 지원할 계획이다.
특히, 원격에서도 피해기업과 지원기관(KISA 등) 사이에 고화질 화상회의를 통해 실시간으로 상황을 파악하고 원격에서 제어가 가능하도록 ‘5G 기반 사이버 대응망’을 구축할 계획이다. 또한, 평상시에도 정보보호 지원이 필요한 기업과 기관이 있을 경우 5G 기반 사이버 대응망을 통해 KISA에서 원격 보안진단 및 조치 지원을 추진한다.
②민간의 안전한 디지털 전환을 돕기 위해 비대면·디지털 환경을 구축하려는 기업에게는 보안컨설팅을 제공하고, 매년 1,300개 이상 중소기업에 대해서는 보안점검과 함께 보안솔루션 도입을 지원할 계획이다. 다중이용·공공서비스 분야 주요 소프트웨어(SW) 기업을 선별해 서비스 및 제품의 설계, 구현, 유통 등 단계별 안전성 점검과 공급망 보안 강화도 지원한다.
여기에 국민의 안전한 디지털 이용 환경 조성을 위해 원격교육, 화상회의 등 국민이 많이 이용하는 비대면 솔루션, 무인서비스, 개인 PC에 대한 보안점검을 지속 확대해 나가는 한편, PC나 IoT 기기에 대하여 개별적으로 위협정보를 알려주는 ‘사이버 알림 서비스’를 도입할 계획이다. 기존 이메일·PC 등을 통한 안내는 이용자가 이메일을 확인하지 않거나 PC를 사용하지 않는 경우 알림을 인지하지 못했는데, 향후에는 이러한 문제점을 해소할 수 있을 것으로 보인다.
또한, 모바일 환경에서 비대면·디지털 서비스 이용이 증가함에 따라 많은 국민이 이용하는 모바일 앱에 대해서는 통신3사와 함께 보안취약점 진단을 실시한다. 주요 모바일 앱 장터에서 내려받은 수가 많은 앱을 선정해 취약점을 진단하고, 보안이 취약한 경우에는 해당 앱 운영자와 이용자에게 신속히 안내 및 고지해 개선조치를 지원할 계획이다.
[자료=과학기술정보통신부]
△보안 패러다임 변화 대응 강화
③정부는 우선 스마트공장, 자율주행, 디지털헬스케어, 스마트시티 등 4대 디지털융합 산업분야 정보보호 강화를 위해 보안 가이드라인부터, 리빙랩(실증), 표준모델, 제도화(인증·평가) 등 체계적인 융합보안 프로세스를 구축한다. 이와 함께 관계부처 합동으로 융합보안 협의체를 운영하고, KISA 내에 ‘융합보안 침해대응 조직’을 신설하는 등 침해대응 전담기능을 강화한다. 특히, 향후 급증할 것으로 예상되는 4대 핵심 디지털 융합 인프라인 엣지컴퓨팅(MEC), 클라우드 서비스, 데이터 플랫폼, 양자내성암호 등에 대해서는 선제적으로 보안을 확보해 나갈 계획이다.
④또한, 정부는 신종 보안위협 및 AI 기반 대응 강화를 위해 보안위협 정보 수집대상을 주요 SNS, 다크웹, 원격교육·디지털헬스케어 등 비대면 서비스 기업까지 확대하고, 2025년까지 연간 18억 건 이상의 정보를 수집하는 등 대상과 규모를 대폭 확대한다. 여기에 인공지능 기술을 활용한 사이버공격 예측 모델 개발 등 분석역량을 고도화할 수 있도록 지능정보 보안 플랫폼을 구축한다. 특히, 지능정보 보안플랫폼을 통해 분석·가공된 모든 보안위협 정보는 학습데이터 형태로 적극 개방해 보안업체가 AI 및 빅데이터 등 지능화 기술을 적용한 보안 분야 신기술 개발 및 기존 보안제품 성능 개선에 활용할 수 있도록 지원한다.
⑤디지털보안 핵심기술 역량 확보를 위해 정부는 비접촉·원격인증, 차세대 물리보안, 지능형 사이버공격 대응 등 비대면·디지털전환 특성을 고려한 핵심 보안기술 개발(R&D) 투자를 대폭 확대하고, 개인·가명정보 및 데이터결합 등 데이터 저장·관리·유통 확대에 따른 데이터 생명 모든 주기에 걸친 보안기술 개발을 개인정보보호위원회와 공동으로 추진한다.
한편, 최근 급증하고 있는 랜섬웨어 위협대응 강화를 위해 국내외에서 발생하는 랜섬웨어 정보를 신속히 수집 및 공유하고, ‘랜섬웨어 예방·대응지침’을 보급해 중소·중견기업이 랜섬웨어로 인한 침해사고를 사전에 예방할 수 있도록 지원할 계획이다. 특히, 스미싱, 악성앱 유포, 가로채기 전화 등에 악용된 전화번호를 차단할 수 있도록 정보통신망법 개정도 추진해 나갈 계획이다.
△정보보호산업 육성 기반 확충
⑥정보보호산업 성장지원 강화를 위해 과기정통부는 지능형 CCTV, 비대면 인증, 생체인식 등 다양한 물리보안 기술들을 통합·연계한 ‘지능형 물리보안 플랫폼’을 개발해 실제 스마트빌딩, 스마트공장, 물류센터, 무인상점 등에 적용·실증하고 민간 확산을 유도해 나갈 계획이다. 지능형 물리보안 플랫폼이란 지능형 CCTV 영상, 비대면 인증·생체인식, IoT 센서 등을 연계·관리하고, 인공지능 기술로 분석해 이상상황 관제, 경비출동 등을 제공하는 통합 보안서비스다.
또한, 디지털보안 선도기업 육성을 위해 2023년까지 경쟁력 있는 AI·비대면 보안기술을 보유한 유망기업 100개 이상 발굴해 제품설계부터 성능개선(보안 학습데이터 제공 등), 사업화(실증), 시장창출(판로개척, 수요기업 매칭 등), 해외진출까지 단계별로 성장지원을 강화한다. 아울러, K-사이버방역 브랜드화를 통해 다양한 정보보호 수출 포트폴리오를 구성하고, 국가와 기업의 특성과 수요를 고려한 모듈형 수출 지원도 추진해 나갈 계획이다.
⑦혁신인재 양성을 위해서는 디지털융합 신산업, 비대면·AI 보안기술에 특화된 정보보호 특성화 대학을 오는 2025년까지 8개로, 융합보안 대학원을 12개로 확대 지정하고, 비대면·디지털전환 가속화에 따라 인력수요가 증대될 것으로 전망되는 디지털융합 산업분야의 현장 실무형 정보보호 전문 인력을 2023년까지 3,000명 이상 추가로 양성할 계획이다. 특히, 디지털경제의 핵심자원인 데이터의 안전한 보호를 위해 개인정보보호위원회와 공동으로 개인정보·데이터보안 전문교육을 확대해 나갈 예정이다.
⑧제도 정비는 보안에 대한 투자 촉진를 위해 ISMS 의무대상기업 등 정보보호 필요성이 큰 기업에 대한 정보보호 공시 의무화를 추진한다. 또한, 자발적 정보보호 활동이 우수하거나 정보보호 수준이 높은 기업에 대해 정부·공공분야 공모사업 참여시 인센티브 제공, 공공조달 연계 지원 등 정책적 지원을 강화해 나갈 계획이다.
이와 함께 디지털환경 변화를 반영하고 부처간 협업강화 등 국가 사이버보안 역량 강화를 위하여 정보보호기본법(가칭) 제정을 포함한 정보보호 관련 법령·제도를 정비한다. 또한, ISMS 의무인증 기준은 정보통신서비스부문 매출액에서 통신서비스판매업과 일반 매출액을 모두 반영하고, 기존에 운영하던 신고포상제 활성화를 위해서 취약점 신고에 따른 인센티브 제공에 대한 법적 근거를 마련하는 등 민간의 자발적인 보안강화를 유도할 수 있도록 관련 규제를 개선할 방침이다.
한편, 정부는 K-사이버방역 추진전략의 정책목표를 ITU가 발표하는 국가사이버 보안역량 수준(GCI) 5위 이내로 높이고, 민간 침해사고 발생률 1.5% 이하, 정보보호시장 16조원 이상으로 수립하고 이를 달성해 나갈 계획이다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>