디지털플랫폼정부의 3대 목표로 ‘편안한 국민, 혁신하는 기업, 과학적인 정부’ 제시
보안산업의 전략적 육성 위해 유망기업과 클러스터 지원
국가 사이버안보 대응역량 강화 위한 사이버공격 거버넌스 체계 정비
[보안뉴스 원병철 기자] 2022년 국정감사가 오는 10월 4일부터 24일까지 진행된다. 올해 과학기술정보통신부의 국정감사 주요 이슈는 △디지털플랫폼정부 추진현황과 쟁점 △보안시장 활성화 정책 △사이버공격 대응 거버넌스 구축 △인공지능 기술경쟁력 확보 정책 평가 △사물인터넷(IoT) 보안강화 등이다. 이에 <보안뉴스>는 미리보는 2022년 국정감사 시리즈 두 번째로 과학기술정보통신 분야 주요 이슈를 살펴본다.
[이미지=utoimage]
1. 디지털플랫폼정부 추진 현황과 쟁점
정부는 새로운 국정운영 패러다임으로 ‘디지털플랫폼정부’를 추진하고 있다. 디지털플랫폼정부는 ‘모든 데이터가 연결되는 디지털 플랫폼 위에서 국민·기업·정부가 함께 사회문제를 해결하고 새로운 가치를 창출하는 정부’를 의미한다.
제20대 대통령선거 공약집에는 ‘모든 정부부처를 하나로 연결해 신속하고 투명하며 효율적인 행정서비스를 제공하는 정부’를 제시하면서 범정부 공통 플랫폼에 데이터를 개방하고 빅데이터를 분석해 행정서비스를 제공하는 것을 강조했다.
제20대 대통령직인수위원회 디지털플랫폼정부 T/F는 이를 발전시켜 디지털플랫폼정부의 3대 목표로 ‘편안한 국민, 혁신하는 기업, 과학적인 정부’를 제시하고, 이를 실현하기 위한 5대 중점 추진과제를 제시했다. 또한 지난 9월 2일에는 대통령 직속 디지털 플랫폼 정부위원회를 출범하고 고진 위원장을 필두로 6개 분과 19명의 민간 전문가를 선임했다.
다만, 현재 상황에서 디지털플랫폼정부의 개념이 모호하고 기존 정책과의 관계가 불확실해 정책을 추진하는 과정에서 혼란이 발생할 우려가 있다. 특히 ‘디지털플랫폼정부’라는 개념적 모호성을 효과적으로 극복하는 방안 모색이 필요하며, 국민과 기업이 디지털플랫폼정부를 쉽게 이해하고 정책을 수용할 수 있도록 개념적 모호성을 조기에 해소하는 노력이 필요하다는 지적이다. 또한, 전자정부, 정부 3.0과 같은 기존의 정부혁신 사업과 디지털 플랫폼 정부와의 차별성·연계성 등을 종합적으로 제시하는 것도 필요하다는 의견이 있다.
아울러 기존 정책에 대한 평가를 바탕으로 디지털플랫폼정부의 세부 정책을 설계하는 것이 필요하다. 현장에서 작동하는 디지털플랫폼정부를 구현하기 위해서는 새로운 비전과 사업들만 나열할 것이 아니라 이미 추진하고 있는 데이터 개방, 데이터 통합, 플랫폼 활용 관련 정책의 성과와 한계를 평가하고 그 결과를 반영하는 것이 중요하다는 것. 그리고 디지털플랫폼정부위원회의 효과적인 운영을 위해서는 유사한 구성·역할·회의방식으로 운영됐던 기존 4차산업혁명위원회의 성과와 한계를 분석해 반영하는 노력이 필요하다는 의견이다.
2. 보안 시장 활성화 정책
전 세계적으로 사이버공격이 증가하면서 글로벌 빅테크 기업을 중심으로 인수합병을 통해 보안을 강화하고 있지만, 국내의 경우 보안 시장이 영세해 고도화된 사이버공격에 대한 대응이 어렵다는 지적이 제기돼 왔다. 국내 정보보호산업 매출액은 2014년 이후 연평균 9.1% 성장해, 2014년 7조 2,553억원에서 2020년 12조 2,243억원으로 증가했지만, 2020년 기준으로 자본금 50억 미만의 기업이 93.2%, 종업원 수 100인 미만의 기업이 89.4%로 국내 정보보호산업에서 영세기업이 대부분을 차지하고 있다.
윤석열 정부는 디지털 혁신을 가속하면서, 사이버 보안 산업도 함께 육성할 것을 국정과제로 제시한 바 있다. 보안산업을 전략적으로 육성해 2021년 기준 12조 6,000억원의 매출액에서 2027년에는 20조원으로 매출액을 증가시킴으로써 산업의 경쟁력을 강화할 계획이다.
과학기술정보통신부는 보안산업의 전략적 육성을 위해 유망기업 지원과 클러스터 지원을 내용으로 정책을 추진할 예정이다. 2022년부터 기업 성장지원, M&A 활성화, 인증제도의 개선을 통해 혁신제품의 시장진입을 촉진할 예정인데, M&A 활성화를 위해 정보보호기술 가치평가 모델을 개발하고 시범 적용할 계획이며, 인증제도의 경우 기능 중심의 인증체계를 구축하고 공공조달의 확대 근거를 마련하는 등의 정책을 추진할 예정이다.
지역거점으로서 판교 정보보호클러스터 모델을 단계적으로 확산함으로써(2027년까지 총 4개) 지역전략산업에 특화된 정보보호산업을 키울 예정이며, 현재 송파 중앙전파관리소 부지를 클러스터로 조성하기 위해 운영방안을 마련하는 중이다. 새 정부 출범 전 2022년 2월 과학기술정보통신부는 정보보호산업을 전략적으로 육성하기 위한 정책을 공식화한 바 있다.
문재인 정부 시기에 2025년까지 글로벌 일류 보안기업을 육성하고 5개 융합보안 거점을 중심으로 보안 시장을 창출하는 것을 내용으로 하는 ‘정보보호산업의 전략적 육성방안(22.2.10)’을 발표한 바 있다.
윤석열 정부도 사이버 보안산업을 육성하는 기조이기 때문에 과학기술정보통신부는 전 정부에서 마련된 정보보호산업 육성정책을 수정·보완해 새 정부의 기조에 맞게 일관적으로 추진하는 것이 필요하다. 정부의 산업정책 추진에 있어 정권교체시기에 이전 정부에서 추진하던 정책이 새 정부의 정책기조의 변화에 따라 동력을 상실하는 사례가 발생하기도 한다. 윤석열 정부의 경우 사이버 보안산업을 전략적으로 육성하는 기조를 유지하고 있다는 점에서 전 정부에서 추진한 사이버 보안산업 전략산업 육성정책의 추진 조직, 중점 지원대상, 투자 및 해외시장 진출 등에 있어 필요한 부분을 수정해 일관성 있게 정책을 추진하는 것이 필요하다는 지적이 나오고 있다.
3. 사이버공격 대응 거버넌스 구축
국내에서 국가 차원의 해킹, 디도스 공격 등 사이버공격에 대한 대응 체계는 국정원, 과학기술정보통신부, 국방부 등으로 나눠진 분권형 구조를 유지하고 있다. 공공부문에 대한 사이버공격은 국정원에서, 민간부문에 대한 사이버공격은 과학기술정보통신부에서, 국방부문에 대한 사이버공격은 국방부에서 각각 총괄해 담당하고 있다.
[이미지=utoimage]
공공 및 민간의 국가주요기반시설에 대한 사이버공격은 개별 정부 부처에서 보호 대책을 마련해 시행하고 있으며, 국정원, 과학기술정보통신부, 국방부가 개별 부처의 보호 대책에 대한 이행여부를 확인하고 있다. 현행 분권형 사이버공격 대응 거버넌스가 국가 차원의 통합적인 사이버공격에 대응하기에는 한계가 있어 이에 대한 개선이 필요하다는 지적이 있다.
최근의 사이버공격이 통신 및 네트워크 등 기반 시설, 주요 산업에 주도적 역할을 담당하는 민간 기업을 대상으로 해 이루어지고 있고, 이로 인한 국가 및 민간 시스템의 마비를 초래한다는 점에서 공공 및 민간을 포괄하는 사이버 대응 체제를 구축할 필요가 있다.
하지만 부처별로 분산된 사이버공격 대응체계는 통합적인 대응에 한계가 있으며, 이러한 부처별 사이버공격 대응을 조정하는 컨트롤타워가 없는 상황이다. 이로 인해 현행 분권형 사이버공격 대응거버넌스를 단일 부처가 통합해 담당하게 하거나 분권형 사이버공격 대응체계를 유지하되, 대통령실을 중심으로 부처 간 통합적 대응을 조정하는 컨트롤타워를 두는 방안이 제시돼 왔다.
윤석열 정부도 국가 사이버안보 대응역량 강화를 위해 현행 사이버공격 거버넌스 체계를 정비하기로 했다. 대통령 직속으로 ‘국가사이버안보위원회’를 설치하고, 컨트롤타워 운영체계 및 기관별 역할 등에 대한 법령 개정을 추진하고, 각 기관 간 협력을 활성화하고자 했다. 윤석열 정부가 추진하는 사이버공격 대응 거버넌스는 과거 정부가 추진한 정책과 유사성이 있는 것으로 통합형 체계와 분산형 체계를 결합한 것으로 볼 수 있다.
현재 윤석열 정부가 제시하고 있는 대통령 직속으로 국가사이버안보위원회를 설치하고, 동 위원회가 개별 부처의 사이버공격 대응 정책을 총괄 조정하는 안은 과거 정부에서 제출한 정부안과 유사하다. 박근혜 정부에서는 부처에 분산된 사이버공격 대응체계는 유지하되, 이를 총괄 조정하는 조직으로서 대통령 소속의 별도의 기구를 신설하는 안을 정부안으로 국회에 제출했으나, 통과되지는 못했다.
과학기술정보통신부는 새 정부의 사이버공격 대응체계 구축 기조를 구체화하기 위해 국정원, 국방부 등과 협의해 구체적인 정부안을 도출할 필요가 있다. 사이버공격 대응체계의 구축을 위한 거버넌스 정비 요구가 꾸준히 국회 국정감사에서 지적됐고, 새 정부는 사이버공격 대응을 위한 총괄 기구 설치를 기조로 제시했다. 국가 차원에서 사이버공격에 대응을 위한 총괄조정 기능을 수행하는 조직을 둘 경우, 일원화된 부처 통합형 조직(예: 사이버 보안청 신설)보다는 사이버공격에 대한 신속한 대응에 한계가 있을 수 있어 개별 부처 간 유기적인 협력이 필요하다. 따라서 과학기술정보통신부는 국정원과 국방부와 긴밀히 협력해 사이버공격 대응을 위한 컨트롤 타워가 설치될 경우, 부처 간 유기적인 협력체계 구축을 위한 구체적 방안을 마련할 필요가 있다는 의견이 있다.
4. 인공지능 기술경쟁력 확보 정책 평가
정부는 인공지능 기술경쟁력 확보를 위해 연구개발(R&D), 인공지능 융합(AI+X), 인력양성 정책 등을 추진하고 있다. 세부 과제들이 개별 사업 단위에서는 타당성이 높지만, 전체적으로 보면 유사한 내용의 정책들이 사업명을 달리해 추진돼 사업간 중복이 발생할 우려가 있다.
인공지능 융합 지원은 관련 부처와 협력해 인공지능 융합을 지원하는 AI+X 사업, 부처협업 기반 AI 확산 사업(화학물질 사고 대응, AI 기반 산림해충 방제), 인공지능 융합 클러스터 내의 자동차·헬스케어·에너지 AI 융합 사업 등 다양한 사업명으로 추진되고 있다.
연구개발과 인력양성 지원은 공통으로 대학(원)을 대상으로 하고 있어서 사업명은 서로 다르지만 그 내용은 유사하다. 기술경쟁력 지원 정책은 사업화를 통해 완성된다고 볼 수 있는데, 현재는 기술이 사업화로 확산하는 후속 과정이 충분하지 못해 인공지능 기업의 경쟁력이 낮은 문제가 발생한다. 또한, 인공지능 기술개발과 인력에 대한 투자가 많아서 기술수준은 높아지고 있지만, 기술의 사업화 환경이 충분하지 못하고 궁극적으로 기술이 기업으로 성장하지 못하는 문제가 발생한다.
분야·부처·부서별로 각각 추진되고 있는 인공지능 기술경쟁력 관련 정책들을 종합하고 체계적으로 구분해 지원 정책 간 유사성 혼동과 중복성을 줄이고, 각 지원 정책의 고유성을 높이는 노력이 필요하다.
현실적으로 인공지능 기술은 대학·연구기관의 연구실, 초기창업기업이 가지고 있는 경우가 많기 때문에 이러한 인공지능 연구실·스타트업이 중견기업으로 성장할 수 있는 환경도 균형적으로 마련하는 노력이 필요하다는 의견이다.
5. 사물인터넷(IoT) 보안 강화
정부는 사물인터넷(IoT)의 보안 강화를 위해 인증기준을 마련하고 침해대응을 강화했다. ‘인증기준’으로는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ △제48조의5의 정보통신망연결기기(IoT) 관련 침해사고 대응 △제48조의6의 IoT 보안인증 △시행령 제36조의2의 IoT 안전성 및 신뢰성 확보조치 등의 규정을 따르고 있으며, IoT 인증기준 등 인증에 필요한 사항을 인증고시로 제정했다.
[이미지=utoimage]
현재까지 175건이 IoT 인증을 받았고, 등급별로는 Lite 등급 120건(68.6%). Lite+ 등급 6건 (3.4%), Basic 등급 41건(23.4%), Basic+ 등급 8건(4.6%)이며, Standard 등급은 없다.
‘침해대응’ 측면에서는 기존 PC·서버 기반의 사이버 침해사고 탐지 및 대응영역을 사물인터넷(IP 카메라, 스마트가전 등) 환경으로 확대했다.
‘탐지확대’ 측면에서는 IoT 대상 보안위협 탐지시스템을 구축해, 신규위협 영역에 대한 탐지범위가 확대(IoT 기기 대상 신규위협 등 탐지 건수 2021년 4,909,750건)됐다.
‘대응강화’ 측면에서는 IoT 신규 취약점 및 악성코드 등 발견 시 제조사에게 보안패치 배포를 안내하도록 하고 통신사와 협력해 해킹 IP의 접속을 차단하는 등 확산 방지책을 마련했다.
‘홍보강화’로는 IoT 대량 수요기관, 제조기업 등이 보안인증 제품을 도입할 수 있도록 업무협력과 보안인식 제고 등 다양한 홍보를 추진했다.
‘기술지원’으로는 중소 IoT 제조·개발사를 대상으로 IoT 보안테스트베드 제공, 컨설팅(2021년 864건) 및 맞춤형 교육(2021년 618명) 실시, 보안 가이드라인 제공 등을 추진했다.
아울러, IoT 보안사고 중에서 일상생활과 가장 밀접한 사례인 아파트 월패드 해킹에 대응하기 위해 정부는 홈네트워크(장비, 기기) 전반에 대한 보안 체계를 정립했다. 이를 위해 이용자별 보안 수칙 준수를 안내(2021년 11월)했는데, 예를 들면 제조사에는 개발보안 적용, 암호정책 강화, IoT 보안인증, 펌웨어 업데이트 등을 안내했고, 관리사무소에는 홈네트워크 전문보안 서비스계약, 보안장비 운영 등을 안내했다. 또한, 이용자에게는 세대 단말기 초기 비밀번호 변경, 미이용 시 카메라 렌즈 가리기 등을 안내했다. 그리고 피해 아파트 리스트(704개 인터넷 IP) 파일 확보·분석 및 통신사 협조를 통해 피해 아파트에 관리서버의 ID/PW 변경을 요청하는 등 긴급 보안조치도 (2021년 11월)했다.
이와 함께 홈네트워크 보안을 강화하기 위해 홈네트워크 고시를 개정(2021년 12월)했다. ‘지능형 홈네트워크 설비 설치 및 기술기준(과기정통부, 국토부, 산업부 공동고시)’에 ①단지서버와 세 대별 홈게이트웨이간 망의 물리적 또는 논리적 망분리 ②홈네트워크장비 보안요구사항(기밀성, 무결성 등) 적용 등을 규정했다. 아울러 전국 20개 아파트 단지를 대상으로 보안관리 실태를 점검(2022년 6월)하고, ‘내서버 돌보미 서비스’ 신청을 받아 보안전문가를 현장에 파견했다.
공동주택을 대상으로는 홈네트워크 장비(월패드, 단지네트워크 장비, 단지서버, 관리자 PC 등)에 대한 보안설정, 보안업데이트 등 보안취약점을 점검하고 조치했다. 마지막으로 보안기업을 중심으로 ‘홈네트워크보안협의회’를 구성(2022년 6월)해 민간의 다양한 보안솔루션을 발굴하고 실증을 추진했다.
이처럼 인터넷에 연결된 기기가 증가하고, 보안위협의 수단이 다양화되는 상황이므로 IoT 보안기준과 운영방안에 대한 지속적인 점검과 효과적인 관리가 필요하다는 지적이 나왔다. 현재 IoT 인증 중에서 Lite 등급이 절반을 넘고, Standard 등급은 전혀 없는 등 등급별 활용도 편차가 큰 이유를 분석해 인증제도 개선에 반영할 필요가 있다는 것. 월패드 보안의 경우, 현재의 물리적·논리적 망분리 조치(고시 개정)만으로는 한계가 있으므로 다양한 월패드 보안 우려 상황에 대한 적극적인 대응 방안 모색이 필요하다는 지적도 있다.
국내 월패드 침해 사례는 ‘0000, 1111’ 등으로 설정된 초기 비밀번호 해킹으로 발생하기 때문에 정보통신망연결기기 등의 판매·설치 시점에서의 보호조치를 강화해야 하며, 기존 아파트의 경우에는 월패드 물리적·논리적 망분리가 쉽지 않기 때문에 기존 아파트의 월패드 업그레이드에 대한 지원 방안을 논의할 필요가 있다는 지적도 논의될 전망이다.
[원병철 기자(boanone@boannews.com)]
보안산업의 전략적 육성 위해 유망기업과 클러스터 지원
국가 사이버안보 대응역량 강화 위한 사이버공격 거버넌스 체계 정비
[보안뉴스 원병철 기자] 2022년 국정감사가 오는 10월 4일부터 24일까지 진행된다. 올해 과학기술정보통신부의 국정감사 주요 이슈는 △디지털플랫폼정부 추진현황과 쟁점 △보안시장 활성화 정책 △사이버공격 대응 거버넌스 구축 △인공지능 기술경쟁력 확보 정책 평가 △사물인터넷(IoT) 보안강화 등이다. 이에 <보안뉴스>는 미리보는 2022년 국정감사 시리즈 두 번째로 과학기술정보통신 분야 주요 이슈를 살펴본다.
[이미지=utoimage]
1. 디지털플랫폼정부 추진 현황과 쟁점
정부는 새로운 국정운영 패러다임으로 ‘디지털플랫폼정부’를 추진하고 있다. 디지털플랫폼정부는 ‘모든 데이터가 연결되는 디지털 플랫폼 위에서 국민·기업·정부가 함께 사회문제를 해결하고 새로운 가치를 창출하는 정부’를 의미한다.
제20대 대통령선거 공약집에는 ‘모든 정부부처를 하나로 연결해 신속하고 투명하며 효율적인 행정서비스를 제공하는 정부’를 제시하면서 범정부 공통 플랫폼에 데이터를 개방하고 빅데이터를 분석해 행정서비스를 제공하는 것을 강조했다.
제20대 대통령직인수위원회 디지털플랫폼정부 T/F는 이를 발전시켜 디지털플랫폼정부의 3대 목표로 ‘편안한 국민, 혁신하는 기업, 과학적인 정부’를 제시하고, 이를 실현하기 위한 5대 중점 추진과제를 제시했다. 또한 지난 9월 2일에는 대통령 직속 디지털 플랫폼 정부위원회를 출범하고 고진 위원장을 필두로 6개 분과 19명의 민간 전문가를 선임했다.
다만, 현재 상황에서 디지털플랫폼정부의 개념이 모호하고 기존 정책과의 관계가 불확실해 정책을 추진하는 과정에서 혼란이 발생할 우려가 있다. 특히 ‘디지털플랫폼정부’라는 개념적 모호성을 효과적으로 극복하는 방안 모색이 필요하며, 국민과 기업이 디지털플랫폼정부를 쉽게 이해하고 정책을 수용할 수 있도록 개념적 모호성을 조기에 해소하는 노력이 필요하다는 지적이다. 또한, 전자정부, 정부 3.0과 같은 기존의 정부혁신 사업과 디지털 플랫폼 정부와의 차별성·연계성 등을 종합적으로 제시하는 것도 필요하다는 의견이 있다.
아울러 기존 정책에 대한 평가를 바탕으로 디지털플랫폼정부의 세부 정책을 설계하는 것이 필요하다. 현장에서 작동하는 디지털플랫폼정부를 구현하기 위해서는 새로운 비전과 사업들만 나열할 것이 아니라 이미 추진하고 있는 데이터 개방, 데이터 통합, 플랫폼 활용 관련 정책의 성과와 한계를 평가하고 그 결과를 반영하는 것이 중요하다는 것. 그리고 디지털플랫폼정부위원회의 효과적인 운영을 위해서는 유사한 구성·역할·회의방식으로 운영됐던 기존 4차산업혁명위원회의 성과와 한계를 분석해 반영하는 노력이 필요하다는 의견이다.
2. 보안 시장 활성화 정책
전 세계적으로 사이버공격이 증가하면서 글로벌 빅테크 기업을 중심으로 인수합병을 통해 보안을 강화하고 있지만, 국내의 경우 보안 시장이 영세해 고도화된 사이버공격에 대한 대응이 어렵다는 지적이 제기돼 왔다. 국내 정보보호산업 매출액은 2014년 이후 연평균 9.1% 성장해, 2014년 7조 2,553억원에서 2020년 12조 2,243억원으로 증가했지만, 2020년 기준으로 자본금 50억 미만의 기업이 93.2%, 종업원 수 100인 미만의 기업이 89.4%로 국내 정보보호산업에서 영세기업이 대부분을 차지하고 있다.
윤석열 정부는 디지털 혁신을 가속하면서, 사이버 보안 산업도 함께 육성할 것을 국정과제로 제시한 바 있다. 보안산업을 전략적으로 육성해 2021년 기준 12조 6,000억원의 매출액에서 2027년에는 20조원으로 매출액을 증가시킴으로써 산업의 경쟁력을 강화할 계획이다.
과학기술정보통신부는 보안산업의 전략적 육성을 위해 유망기업 지원과 클러스터 지원을 내용으로 정책을 추진할 예정이다. 2022년부터 기업 성장지원, M&A 활성화, 인증제도의 개선을 통해 혁신제품의 시장진입을 촉진할 예정인데, M&A 활성화를 위해 정보보호기술 가치평가 모델을 개발하고 시범 적용할 계획이며, 인증제도의 경우 기능 중심의 인증체계를 구축하고 공공조달의 확대 근거를 마련하는 등의 정책을 추진할 예정이다.
지역거점으로서 판교 정보보호클러스터 모델을 단계적으로 확산함으로써(2027년까지 총 4개) 지역전략산업에 특화된 정보보호산업을 키울 예정이며, 현재 송파 중앙전파관리소 부지를 클러스터로 조성하기 위해 운영방안을 마련하는 중이다. 새 정부 출범 전 2022년 2월 과학기술정보통신부는 정보보호산업을 전략적으로 육성하기 위한 정책을 공식화한 바 있다.
문재인 정부 시기에 2025년까지 글로벌 일류 보안기업을 육성하고 5개 융합보안 거점을 중심으로 보안 시장을 창출하는 것을 내용으로 하는 ‘정보보호산업의 전략적 육성방안(22.2.10)’을 발표한 바 있다.
윤석열 정부도 사이버 보안산업을 육성하는 기조이기 때문에 과학기술정보통신부는 전 정부에서 마련된 정보보호산업 육성정책을 수정·보완해 새 정부의 기조에 맞게 일관적으로 추진하는 것이 필요하다. 정부의 산업정책 추진에 있어 정권교체시기에 이전 정부에서 추진하던 정책이 새 정부의 정책기조의 변화에 따라 동력을 상실하는 사례가 발생하기도 한다. 윤석열 정부의 경우 사이버 보안산업을 전략적으로 육성하는 기조를 유지하고 있다는 점에서 전 정부에서 추진한 사이버 보안산업 전략산업 육성정책의 추진 조직, 중점 지원대상, 투자 및 해외시장 진출 등에 있어 필요한 부분을 수정해 일관성 있게 정책을 추진하는 것이 필요하다는 지적이 나오고 있다.
3. 사이버공격 대응 거버넌스 구축
국내에서 국가 차원의 해킹, 디도스 공격 등 사이버공격에 대한 대응 체계는 국정원, 과학기술정보통신부, 국방부 등으로 나눠진 분권형 구조를 유지하고 있다. 공공부문에 대한 사이버공격은 국정원에서, 민간부문에 대한 사이버공격은 과학기술정보통신부에서, 국방부문에 대한 사이버공격은 국방부에서 각각 총괄해 담당하고 있다.
[이미지=utoimage]
공공 및 민간의 국가주요기반시설에 대한 사이버공격은 개별 정부 부처에서 보호 대책을 마련해 시행하고 있으며, 국정원, 과학기술정보통신부, 국방부가 개별 부처의 보호 대책에 대한 이행여부를 확인하고 있다. 현행 분권형 사이버공격 대응 거버넌스가 국가 차원의 통합적인 사이버공격에 대응하기에는 한계가 있어 이에 대한 개선이 필요하다는 지적이 있다.
최근의 사이버공격이 통신 및 네트워크 등 기반 시설, 주요 산업에 주도적 역할을 담당하는 민간 기업을 대상으로 해 이루어지고 있고, 이로 인한 국가 및 민간 시스템의 마비를 초래한다는 점에서 공공 및 민간을 포괄하는 사이버 대응 체제를 구축할 필요가 있다.
하지만 부처별로 분산된 사이버공격 대응체계는 통합적인 대응에 한계가 있으며, 이러한 부처별 사이버공격 대응을 조정하는 컨트롤타워가 없는 상황이다. 이로 인해 현행 분권형 사이버공격 대응거버넌스를 단일 부처가 통합해 담당하게 하거나 분권형 사이버공격 대응체계를 유지하되, 대통령실을 중심으로 부처 간 통합적 대응을 조정하는 컨트롤타워를 두는 방안이 제시돼 왔다.
윤석열 정부도 국가 사이버안보 대응역량 강화를 위해 현행 사이버공격 거버넌스 체계를 정비하기로 했다. 대통령 직속으로 ‘국가사이버안보위원회’를 설치하고, 컨트롤타워 운영체계 및 기관별 역할 등에 대한 법령 개정을 추진하고, 각 기관 간 협력을 활성화하고자 했다. 윤석열 정부가 추진하는 사이버공격 대응 거버넌스는 과거 정부가 추진한 정책과 유사성이 있는 것으로 통합형 체계와 분산형 체계를 결합한 것으로 볼 수 있다.
현재 윤석열 정부가 제시하고 있는 대통령 직속으로 국가사이버안보위원회를 설치하고, 동 위원회가 개별 부처의 사이버공격 대응 정책을 총괄 조정하는 안은 과거 정부에서 제출한 정부안과 유사하다. 박근혜 정부에서는 부처에 분산된 사이버공격 대응체계는 유지하되, 이를 총괄 조정하는 조직으로서 대통령 소속의 별도의 기구를 신설하는 안을 정부안으로 국회에 제출했으나, 통과되지는 못했다.
과학기술정보통신부는 새 정부의 사이버공격 대응체계 구축 기조를 구체화하기 위해 국정원, 국방부 등과 협의해 구체적인 정부안을 도출할 필요가 있다. 사이버공격 대응체계의 구축을 위한 거버넌스 정비 요구가 꾸준히 국회 국정감사에서 지적됐고, 새 정부는 사이버공격 대응을 위한 총괄 기구 설치를 기조로 제시했다. 국가 차원에서 사이버공격에 대응을 위한 총괄조정 기능을 수행하는 조직을 둘 경우, 일원화된 부처 통합형 조직(예: 사이버 보안청 신설)보다는 사이버공격에 대한 신속한 대응에 한계가 있을 수 있어 개별 부처 간 유기적인 협력이 필요하다. 따라서 과학기술정보통신부는 국정원과 국방부와 긴밀히 협력해 사이버공격 대응을 위한 컨트롤 타워가 설치될 경우, 부처 간 유기적인 협력체계 구축을 위한 구체적 방안을 마련할 필요가 있다는 의견이 있다.
4. 인공지능 기술경쟁력 확보 정책 평가
정부는 인공지능 기술경쟁력 확보를 위해 연구개발(R&D), 인공지능 융합(AI+X), 인력양성 정책 등을 추진하고 있다. 세부 과제들이 개별 사업 단위에서는 타당성이 높지만, 전체적으로 보면 유사한 내용의 정책들이 사업명을 달리해 추진돼 사업간 중복이 발생할 우려가 있다.
인공지능 융합 지원은 관련 부처와 협력해 인공지능 융합을 지원하는 AI+X 사업, 부처협업 기반 AI 확산 사업(화학물질 사고 대응, AI 기반 산림해충 방제), 인공지능 융합 클러스터 내의 자동차·헬스케어·에너지 AI 융합 사업 등 다양한 사업명으로 추진되고 있다.
연구개발과 인력양성 지원은 공통으로 대학(원)을 대상으로 하고 있어서 사업명은 서로 다르지만 그 내용은 유사하다. 기술경쟁력 지원 정책은 사업화를 통해 완성된다고 볼 수 있는데, 현재는 기술이 사업화로 확산하는 후속 과정이 충분하지 못해 인공지능 기업의 경쟁력이 낮은 문제가 발생한다. 또한, 인공지능 기술개발과 인력에 대한 투자가 많아서 기술수준은 높아지고 있지만, 기술의 사업화 환경이 충분하지 못하고 궁극적으로 기술이 기업으로 성장하지 못하는 문제가 발생한다.
분야·부처·부서별로 각각 추진되고 있는 인공지능 기술경쟁력 관련 정책들을 종합하고 체계적으로 구분해 지원 정책 간 유사성 혼동과 중복성을 줄이고, 각 지원 정책의 고유성을 높이는 노력이 필요하다.
현실적으로 인공지능 기술은 대학·연구기관의 연구실, 초기창업기업이 가지고 있는 경우가 많기 때문에 이러한 인공지능 연구실·스타트업이 중견기업으로 성장할 수 있는 환경도 균형적으로 마련하는 노력이 필요하다는 의견이다.
5. 사물인터넷(IoT) 보안 강화
정부는 사물인터넷(IoT)의 보안 강화를 위해 인증기준을 마련하고 침해대응을 강화했다. ‘인증기준’으로는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ △제48조의5의 정보통신망연결기기(IoT) 관련 침해사고 대응 △제48조의6의 IoT 보안인증 △시행령 제36조의2의 IoT 안전성 및 신뢰성 확보조치 등의 규정을 따르고 있으며, IoT 인증기준 등 인증에 필요한 사항을 인증고시로 제정했다.
[이미지=utoimage]
현재까지 175건이 IoT 인증을 받았고, 등급별로는 Lite 등급 120건(68.6%). Lite+ 등급 6건 (3.4%), Basic 등급 41건(23.4%), Basic+ 등급 8건(4.6%)이며, Standard 등급은 없다.
‘침해대응’ 측면에서는 기존 PC·서버 기반의 사이버 침해사고 탐지 및 대응영역을 사물인터넷(IP 카메라, 스마트가전 등) 환경으로 확대했다.
‘탐지확대’ 측면에서는 IoT 대상 보안위협 탐지시스템을 구축해, 신규위협 영역에 대한 탐지범위가 확대(IoT 기기 대상 신규위협 등 탐지 건수 2021년 4,909,750건)됐다.
‘대응강화’ 측면에서는 IoT 신규 취약점 및 악성코드 등 발견 시 제조사에게 보안패치 배포를 안내하도록 하고 통신사와 협력해 해킹 IP의 접속을 차단하는 등 확산 방지책을 마련했다.
‘홍보강화’로는 IoT 대량 수요기관, 제조기업 등이 보안인증 제품을 도입할 수 있도록 업무협력과 보안인식 제고 등 다양한 홍보를 추진했다.
‘기술지원’으로는 중소 IoT 제조·개발사를 대상으로 IoT 보안테스트베드 제공, 컨설팅(2021년 864건) 및 맞춤형 교육(2021년 618명) 실시, 보안 가이드라인 제공 등을 추진했다.
아울러, IoT 보안사고 중에서 일상생활과 가장 밀접한 사례인 아파트 월패드 해킹에 대응하기 위해 정부는 홈네트워크(장비, 기기) 전반에 대한 보안 체계를 정립했다. 이를 위해 이용자별 보안 수칙 준수를 안내(2021년 11월)했는데, 예를 들면 제조사에는 개발보안 적용, 암호정책 강화, IoT 보안인증, 펌웨어 업데이트 등을 안내했고, 관리사무소에는 홈네트워크 전문보안 서비스계약, 보안장비 운영 등을 안내했다. 또한, 이용자에게는 세대 단말기 초기 비밀번호 변경, 미이용 시 카메라 렌즈 가리기 등을 안내했다. 그리고 피해 아파트 리스트(704개 인터넷 IP) 파일 확보·분석 및 통신사 협조를 통해 피해 아파트에 관리서버의 ID/PW 변경을 요청하는 등 긴급 보안조치도 (2021년 11월)했다.
이와 함께 홈네트워크 보안을 강화하기 위해 홈네트워크 고시를 개정(2021년 12월)했다. ‘지능형 홈네트워크 설비 설치 및 기술기준(과기정통부, 국토부, 산업부 공동고시)’에 ①단지서버와 세 대별 홈게이트웨이간 망의 물리적 또는 논리적 망분리 ②홈네트워크장비 보안요구사항(기밀성, 무결성 등) 적용 등을 규정했다. 아울러 전국 20개 아파트 단지를 대상으로 보안관리 실태를 점검(2022년 6월)하고, ‘내서버 돌보미 서비스’ 신청을 받아 보안전문가를 현장에 파견했다.
공동주택을 대상으로는 홈네트워크 장비(월패드, 단지네트워크 장비, 단지서버, 관리자 PC 등)에 대한 보안설정, 보안업데이트 등 보안취약점을 점검하고 조치했다. 마지막으로 보안기업을 중심으로 ‘홈네트워크보안협의회’를 구성(2022년 6월)해 민간의 다양한 보안솔루션을 발굴하고 실증을 추진했다.
이처럼 인터넷에 연결된 기기가 증가하고, 보안위협의 수단이 다양화되는 상황이므로 IoT 보안기준과 운영방안에 대한 지속적인 점검과 효과적인 관리가 필요하다는 지적이 나왔다. 현재 IoT 인증 중에서 Lite 등급이 절반을 넘고, Standard 등급은 전혀 없는 등 등급별 활용도 편차가 큰 이유를 분석해 인증제도 개선에 반영할 필요가 있다는 것. 월패드 보안의 경우, 현재의 물리적·논리적 망분리 조치(고시 개정)만으로는 한계가 있으므로 다양한 월패드 보안 우려 상황에 대한 적극적인 대응 방안 모색이 필요하다는 지적도 있다.
국내 월패드 침해 사례는 ‘0000, 1111’ 등으로 설정된 초기 비밀번호 해킹으로 발생하기 때문에 정보통신망연결기기 등의 판매·설치 시점에서의 보호조치를 강화해야 하며, 기존 아파트의 경우에는 월패드 물리적·논리적 망분리가 쉽지 않기 때문에 기존 아파트의 월패드 업그레이드에 대한 지원 방안을 논의할 필요가 있다는 지적도 논의될 전망이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
