국가정보원 ‘CSK 2024’ 개최...NCSC, ‘대한민국 사이버안보 정책 방향’ 발표
‘국가 망 보안정책 개선 로드맵’, ‘전 공공분야 국제표준암호 AES 허용 계획’도 공유
[보안뉴스 김영명 기자] 국가정보원과 국가보안기술연구소가 공동주최하는 CSK 2024(Cyber Summit Korea 2024)가 9월 10일부터 12일까지 코엑스 컨퍼런스룸에서 개최됐다. CSK 2024는 ‘A Step Ahead for Global Cybersecurity-At the Beginning of the AI, Quantum and Space Era’(글로벌 사이버 보안을 위한 한 걸음-인공지능, 양자 및 우주시대의 시작)를 주제로 개최됐다.
[이미지=gettyimagesbank]
행사 둘째 날 오후, ‘Strategy & Action’ 파트에서는 국가안보실 신용석 사이버안보비서관을 좌장으로 해 ‘전략 및 국제협업’ 세션이 진행됐다. 먼저 국가사이버안보센터(NCSC) 법제도과장이 ‘대한민국 사이버안보 정책 방향’에 대해, NCSC 관계자가 ’국가 망 보안정책 개산 로드맵(안)‘을, 마지막으로 NCSC의 또 다른 관계자가 ‘전 공공분야 국제표준암호 AES 허용 계획’을 주제로 발표를 이어갔다.
▲‘Strategy & Action’ 파트에서 국가안보실 신용석 사이버안보비서관이 발언하고 있다[사진=보안뉴스]
먼저 NCSC 과장은 “우리 정부의 사이버안보 전략의 변화를 보면, 북한 등의 공격이 꾸준히 이어졌지만 사이버안보 개념은 오랜 기간 정립되지 못했다”며 “실체적 위협 주체의 인식이 부족했고, 사이버안보 업무 입법례가 전무했다”고 말했다. 이어 “북한 등 사이버 위협의 주체는 가상자산 탈취와 국가기밀·첨단기밀 유출 등을 이어가고 비대면 사회로 전환하면서 사이버공간의 의존성 심화와 함께 주요국의 사이버안보 강화 및 국가간 협력이 증가하고 있다”고 말했다.
현행 법체계에 부합하는 국가 사이버안보 수행체계를 살펴보면 사이버안보 컨트롤타워는 국가안보실로 국가 사이버안보 업무 전반을 조율하고 중장기 정책방향의 수립·검토를 맡았다. 국가정보원은 실무 주관기관으로 국정원법에 근거해 해킹조직 등 사이버안보 정보 업무, 북한·외국 등의 안보침해행위를 확인하고 견제·차단하며 국민안전과 보호를 위한 대응조치를 담당하는 민·관 통합대응체계로 운영하고 있다. 개별부처는 소관 분야의 보안·보호를 담당하고 있다.
정부의 사이버안보 전략의 비전은 ‘사이버공간에서 자유, 인권, 법치의 가치를 수호하며 국제사회에 역할과 책임을 다하는 글로벌 중추국가’로 ‘공세적 사이버 방어 및 대응’, ‘글로벌 리더십 확장’, ‘건실한 사이버 복원력 확보’의 세 축 아래 5개 전략 과제로 진행되고 있다.
5대 전략 과제를 살펴보면 먼저 ‘공세적 사이버 방어 및 대응’에서는 △국제 및 국가배후 해킹조직 대응 정보·수사기관 활동, 군 사이버작전 역량·협업 강화 △해킹 행적 국내 디지털정보 수집, 해킹조직 근원지의 정찰·첩보활동 강화 법제도 개선 △해외발 허위정보 유포 탐지기술 개발, 영향력공작 대응 법제도 개선 등 △사이버범죄 수사 핵심기술 발굴 및 전문인력 양성 역량 제고 등이 있다. ‘글로벌 사이버 공조체계 구축’에서는 △자유민주주의 가치 공유 국가들과의 협력 강화 △북한 사이버위협에 국제사회 공조 주도 △국제 사이버범죄 수사 고도화 △랜섬웨어 확산 방지 등 국제규범 논의 및 신뢰구축조치 이행 활동에 적극 참여 등이 있다.
‘국가 핵심인프라 사이버 복원력 강화’로는 △제로트러스트 보안정책 추진 △다층보안체계(MLS) 중심 공공보안체계 개선 △ICT 공급망 보안정책 및 대응체계 확립 △주요정보통신기반시설, 국가정보자원관리원 등 보안관리 내실화 등이 있다. ‘신기술 경쟁우위 확보’에서는 △사이버보안 R&D 확대 △산·학·연 협업 기반 정보보호 산업 생태계 조성 △‘K-시큐리티 얼라이언스’ 구성 및 정보보호 산업 해외진출 활성화 △양자컴퓨팅 대응 암호체계 구축 등이 있다.
‘업무 수행기반 강화’로는 △민·관 합동 통합대응조직 역량 강화 및 사이버안보 정보협력 허브 고도화 △군 RMF 제도 발전 등 분야별 소관부처 책임 정립 △합동분석 등 민간 역량 활용 확대 △국제 사이버훈련센터 구축·군 전문인력 양성 등 국민 정보보호 인식 강화 등이 있다.
NCSC 과장은 “사이버안보 컨트롤타워인 대통령실 국가안보실과 국정원은 5대 전략과제와 29개 세부실천과제의 구체적인 실천계획을 마련하고 착실히 이행할 계획”이라고 밝혔다.
다음으로 국가정보원 국가사이버안보센터에서 ’국가 망 보안정책 개선 로드맵(안)’을 발표했다. 현재 망분리 정책은 국가 업무환경에 높은 보안성을 제공하지만, AI 및 클라우드 등 신기술 적용과 공공데이터 활용에 제약이 많다. 정부는 올해 1~4월에 국가 망 보안정책 개선 추진계획을 마련하고, ‘국가 망 보안정책 개선 TF’ 구성 및 다층보안체계 전환 로드맵(안)을 수립하면서 각계 현장 의견도 수렴했다.
개선 방안에서 추진 목표는 획일적인 망 분리 탈피, 다층보안체계 기반의 보안정책 패러다임 전환, 제약없는 정보 유통으로 신기술 융합 강화 및 스마트 업무환경 조성, 산학연관 전문가와 실효적인 정책 개발 및 기관 자율보안 개념 접목, 신속 추진하되 점진적인 제도변화로 안정적인 정책 안착, 다양한 산업부문의 경제 창출 및 시장 변화 반영 등으로 정했다.
다층보안체계 개념은 업무 중요도별로 기밀(Classified)·민감(Sensitive)·공개(Open) 등급으로 분류, 등급별 차등적 보안통제로 보안성 확보와 원활한 데이터 공유를 함께 달성할 수 있다. 다층보안체계 적용 절차는 ‘다층보안체계 적용 위한 정보서비스 현황 파악 및 분석’-‘업무 중요도에 따라 정보시스템 대상 C/S/O 등급 분류’-‘정보서비스 구성환경 모델링 및 모델링 평가’-‘보안원칙 따라 보안통제 선정’-‘등급분류·보안통제 적절성 평가·재조정’의 단계를 거친다.
망 보안정책 개선 로드맵의 추진과제는 ①인터넷 단말의 업무 효율성 제고 ②업무환경에서 생성형 AI 활용 ③외부 클라우드 활용 업무협업 체계 ④업무 단말의 인터넷 이용 ⑤공공 데이터의 외부 AI 융합 ⑥연구 목적 단말의 신기술 활용 ⑦개발 환경 편의성 향상 ⑧클라우드 기반 통합 문서체계 등으로 구성됐다.
국가사이버안보센터 관계자는 “정부는 올해까지 다층보안체계 기반을 마련하고 2025년 하반기까지는 다층보안체계 시행 및 고도화를, 2026년부터는 다층보안체계 전환 가속화를 추진한다”며 “세부 추진사항은 다층보안체계 관련 규정 개정, 클라우드 보안기준 재정립, 디플정위 주관 시범사업 추진, 공공부문 보안검증 제도 개편, (가칭)국가사이버안보 프레임워크 수립, 다층보안체계·보안통제기술 개발, AI·클라우드 연계 보안기술 개발, 사이버보안 실태평가 개편 등이 있다”고 말했다. 이어 “이번 개선안을 통해 디지털플랫폼정부 구현 기여, 다양한 시장 확대로 디지털 경제 창출, 다양한 민관 융합서비스 개발 및 우수한 대국민 공공서비스 제공, 행정업무 효율성·업무 협업 극대화 및 스마트오피스 실현 등의 효과를 거둘 수 있다”며 발표를 마쳤다.
▲‘Strategy & Action’ 파트에서 국가사이버안보센터(NCSC)에서 세 명의 발표자가 각각 발표를 이어갔다[사진=보안뉴스]
마지막으로 NCSC 관계자가 ‘전 공공분야 국제표준암호 AES 허용 계획’에 대해 발표했다. NCSC 관계자는 “우리나라는 사이버안보 강국인 만큼 이에 걸맞은 사이버안보 정책이 필요하다는 판단하에 산·학·연 의견을 추가해 AES를 허용하기로 했다”고 말했다. 이 관계자는 “국산 블록암호는 SEED, ARIA, HIGHT, LEA 등이 있고 데이터 보호용 블록암호에는 국산 암호만 허용하고 있다”며 “2005년 제도 시행 당시 외산 암호의 해독 가능성 우려로 불허했는데 이는 국내 산업 보호, 암호연구 활성화, 인력 양성 등 긍정적 효과를 가져왔다”고 강조했다.
이 관계자는 “AES 허용 로드맵을 살펴보면 올해 9월에 AES 허용을 발표하고, 2025년 상반기에는 ‘안전한 AES 암호모듈 구현방법론’을 제공하며, 내년 7월에는 AES 자가시험도구를 공개해 안전한 구현여부를 1차로 확인할 수 있는 온라인 서비스를 제공하고 하반기에 검증 수요 증가에 대비해 시험기관을 3개 이상 추가 지정하기로 했다”며 “2026년 1월에 AES의 사용을 허용하며 AES 탑재 암호모듈 대상 KCMVP 신청 접수와 함께 상반기에는 KCMVP를 획득한 AES를 탑재하고 주요 공공기관에 AES가 탑재된 제품을 도입할 계획”이라고 밝혔다.
[김영명 기자(boan@boannews.com)]
‘국가 망 보안정책 개선 로드맵’, ‘전 공공분야 국제표준암호 AES 허용 계획’도 공유
[보안뉴스 김영명 기자] 국가정보원과 국가보안기술연구소가 공동주최하는 CSK 2024(Cyber Summit Korea 2024)가 9월 10일부터 12일까지 코엑스 컨퍼런스룸에서 개최됐다. CSK 2024는 ‘A Step Ahead for Global Cybersecurity-At the Beginning of the AI, Quantum and Space Era’(글로벌 사이버 보안을 위한 한 걸음-인공지능, 양자 및 우주시대의 시작)를 주제로 개최됐다.
[이미지=gettyimagesbank]
행사 둘째 날 오후, ‘Strategy & Action’ 파트에서는 국가안보실 신용석 사이버안보비서관을 좌장으로 해 ‘전략 및 국제협업’ 세션이 진행됐다. 먼저 국가사이버안보센터(NCSC) 법제도과장이 ‘대한민국 사이버안보 정책 방향’에 대해, NCSC 관계자가 ’국가 망 보안정책 개산 로드맵(안)‘을, 마지막으로 NCSC의 또 다른 관계자가 ‘전 공공분야 국제표준암호 AES 허용 계획’을 주제로 발표를 이어갔다.
▲‘Strategy & Action’ 파트에서 국가안보실 신용석 사이버안보비서관이 발언하고 있다[사진=보안뉴스]
먼저 NCSC 과장은 “우리 정부의 사이버안보 전략의 변화를 보면, 북한 등의 공격이 꾸준히 이어졌지만 사이버안보 개념은 오랜 기간 정립되지 못했다”며 “실체적 위협 주체의 인식이 부족했고, 사이버안보 업무 입법례가 전무했다”고 말했다. 이어 “북한 등 사이버 위협의 주체는 가상자산 탈취와 국가기밀·첨단기밀 유출 등을 이어가고 비대면 사회로 전환하면서 사이버공간의 의존성 심화와 함께 주요국의 사이버안보 강화 및 국가간 협력이 증가하고 있다”고 말했다.
현행 법체계에 부합하는 국가 사이버안보 수행체계를 살펴보면 사이버안보 컨트롤타워는 국가안보실로 국가 사이버안보 업무 전반을 조율하고 중장기 정책방향의 수립·검토를 맡았다. 국가정보원은 실무 주관기관으로 국정원법에 근거해 해킹조직 등 사이버안보 정보 업무, 북한·외국 등의 안보침해행위를 확인하고 견제·차단하며 국민안전과 보호를 위한 대응조치를 담당하는 민·관 통합대응체계로 운영하고 있다. 개별부처는 소관 분야의 보안·보호를 담당하고 있다.
정부의 사이버안보 전략의 비전은 ‘사이버공간에서 자유, 인권, 법치의 가치를 수호하며 국제사회에 역할과 책임을 다하는 글로벌 중추국가’로 ‘공세적 사이버 방어 및 대응’, ‘글로벌 리더십 확장’, ‘건실한 사이버 복원력 확보’의 세 축 아래 5개 전략 과제로 진행되고 있다.
5대 전략 과제를 살펴보면 먼저 ‘공세적 사이버 방어 및 대응’에서는 △국제 및 국가배후 해킹조직 대응 정보·수사기관 활동, 군 사이버작전 역량·협업 강화 △해킹 행적 국내 디지털정보 수집, 해킹조직 근원지의 정찰·첩보활동 강화 법제도 개선 △해외발 허위정보 유포 탐지기술 개발, 영향력공작 대응 법제도 개선 등 △사이버범죄 수사 핵심기술 발굴 및 전문인력 양성 역량 제고 등이 있다. ‘글로벌 사이버 공조체계 구축’에서는 △자유민주주의 가치 공유 국가들과의 협력 강화 △북한 사이버위협에 국제사회 공조 주도 △국제 사이버범죄 수사 고도화 △랜섬웨어 확산 방지 등 국제규범 논의 및 신뢰구축조치 이행 활동에 적극 참여 등이 있다.
‘국가 핵심인프라 사이버 복원력 강화’로는 △제로트러스트 보안정책 추진 △다층보안체계(MLS) 중심 공공보안체계 개선 △ICT 공급망 보안정책 및 대응체계 확립 △주요정보통신기반시설, 국가정보자원관리원 등 보안관리 내실화 등이 있다. ‘신기술 경쟁우위 확보’에서는 △사이버보안 R&D 확대 △산·학·연 협업 기반 정보보호 산업 생태계 조성 △‘K-시큐리티 얼라이언스’ 구성 및 정보보호 산업 해외진출 활성화 △양자컴퓨팅 대응 암호체계 구축 등이 있다.
‘업무 수행기반 강화’로는 △민·관 합동 통합대응조직 역량 강화 및 사이버안보 정보협력 허브 고도화 △군 RMF 제도 발전 등 분야별 소관부처 책임 정립 △합동분석 등 민간 역량 활용 확대 △국제 사이버훈련센터 구축·군 전문인력 양성 등 국민 정보보호 인식 강화 등이 있다.
NCSC 과장은 “사이버안보 컨트롤타워인 대통령실 국가안보실과 국정원은 5대 전략과제와 29개 세부실천과제의 구체적인 실천계획을 마련하고 착실히 이행할 계획”이라고 밝혔다.
다음으로 국가정보원 국가사이버안보센터에서 ’국가 망 보안정책 개선 로드맵(안)’을 발표했다. 현재 망분리 정책은 국가 업무환경에 높은 보안성을 제공하지만, AI 및 클라우드 등 신기술 적용과 공공데이터 활용에 제약이 많다. 정부는 올해 1~4월에 국가 망 보안정책 개선 추진계획을 마련하고, ‘국가 망 보안정책 개선 TF’ 구성 및 다층보안체계 전환 로드맵(안)을 수립하면서 각계 현장 의견도 수렴했다.
개선 방안에서 추진 목표는 획일적인 망 분리 탈피, 다층보안체계 기반의 보안정책 패러다임 전환, 제약없는 정보 유통으로 신기술 융합 강화 및 스마트 업무환경 조성, 산학연관 전문가와 실효적인 정책 개발 및 기관 자율보안 개념 접목, 신속 추진하되 점진적인 제도변화로 안정적인 정책 안착, 다양한 산업부문의 경제 창출 및 시장 변화 반영 등으로 정했다.
다층보안체계 개념은 업무 중요도별로 기밀(Classified)·민감(Sensitive)·공개(Open) 등급으로 분류, 등급별 차등적 보안통제로 보안성 확보와 원활한 데이터 공유를 함께 달성할 수 있다. 다층보안체계 적용 절차는 ‘다층보안체계 적용 위한 정보서비스 현황 파악 및 분석’-‘업무 중요도에 따라 정보시스템 대상 C/S/O 등급 분류’-‘정보서비스 구성환경 모델링 및 모델링 평가’-‘보안원칙 따라 보안통제 선정’-‘등급분류·보안통제 적절성 평가·재조정’의 단계를 거친다.
망 보안정책 개선 로드맵의 추진과제는 ①인터넷 단말의 업무 효율성 제고 ②업무환경에서 생성형 AI 활용 ③외부 클라우드 활용 업무협업 체계 ④업무 단말의 인터넷 이용 ⑤공공 데이터의 외부 AI 융합 ⑥연구 목적 단말의 신기술 활용 ⑦개발 환경 편의성 향상 ⑧클라우드 기반 통합 문서체계 등으로 구성됐다.
국가사이버안보센터 관계자는 “정부는 올해까지 다층보안체계 기반을 마련하고 2025년 하반기까지는 다층보안체계 시행 및 고도화를, 2026년부터는 다층보안체계 전환 가속화를 추진한다”며 “세부 추진사항은 다층보안체계 관련 규정 개정, 클라우드 보안기준 재정립, 디플정위 주관 시범사업 추진, 공공부문 보안검증 제도 개편, (가칭)국가사이버안보 프레임워크 수립, 다층보안체계·보안통제기술 개발, AI·클라우드 연계 보안기술 개발, 사이버보안 실태평가 개편 등이 있다”고 말했다. 이어 “이번 개선안을 통해 디지털플랫폼정부 구현 기여, 다양한 시장 확대로 디지털 경제 창출, 다양한 민관 융합서비스 개발 및 우수한 대국민 공공서비스 제공, 행정업무 효율성·업무 협업 극대화 및 스마트오피스 실현 등의 효과를 거둘 수 있다”며 발표를 마쳤다.
▲‘Strategy & Action’ 파트에서 국가사이버안보센터(NCSC)에서 세 명의 발표자가 각각 발표를 이어갔다[사진=보안뉴스]
마지막으로 NCSC 관계자가 ‘전 공공분야 국제표준암호 AES 허용 계획’에 대해 발표했다. NCSC 관계자는 “우리나라는 사이버안보 강국인 만큼 이에 걸맞은 사이버안보 정책이 필요하다는 판단하에 산·학·연 의견을 추가해 AES를 허용하기로 했다”고 말했다. 이 관계자는 “국산 블록암호는 SEED, ARIA, HIGHT, LEA 등이 있고 데이터 보호용 블록암호에는 국산 암호만 허용하고 있다”며 “2005년 제도 시행 당시 외산 암호의 해독 가능성 우려로 불허했는데 이는 국내 산업 보호, 암호연구 활성화, 인력 양성 등 긍정적 효과를 가져왔다”고 강조했다.
이 관계자는 “AES 허용 로드맵을 살펴보면 올해 9월에 AES 허용을 발표하고, 2025년 상반기에는 ‘안전한 AES 암호모듈 구현방법론’을 제공하며, 내년 7월에는 AES 자가시험도구를 공개해 안전한 구현여부를 1차로 확인할 수 있는 온라인 서비스를 제공하고 하반기에 검증 수요 증가에 대비해 시험기관을 3개 이상 추가 지정하기로 했다”며 “2026년 1월에 AES의 사용을 허용하며 AES 탑재 암호모듈 대상 KCMVP 신청 접수와 함께 상반기에는 KCMVP를 획득한 AES를 탑재하고 주요 공공기관에 AES가 탑재된 제품을 도입할 계획”이라고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
