K-RMF, 우리 방산과 우주 보안을 위한 위험관리 체계
러-북 밀착과 함께 급증하는 북한 해킹그룹의 사이버공격
보안업계 인력 부족, 새로운 접근 방식이 절실한 상황
범정부 차원의 사이버안보 계획, 부처별 총 100대 실천과제 구성
[보안뉴스 조재호 기자] 거안사위(居安思危), 올해 1월 삼성증권이 새해 금융시장을 가장 잘 나타낸 사자성어로 꼽은 단어다. 편안할 때도 위태로울 때의 일을 생각하라는 뜻으로 위기를 늘 염두에 두고 대비하라는 교훈을 담고 있다. 유럽과 중동 지역의 갈등으로 불안한 국제 정세와 공급망 재편의 영향으로 경기침체가 이어졌다. 아울러 세계 인구의 절반이 넘는 사람들이 투표하는 슈퍼 선거의 해로도 꼽히기도 했다. 인공지능(AI)의 영향력 확대와 함께 더욱 가속화된 디지털 전환 흐름도 빼놓을 수 없다. 요컨대 2024년은 사회 전반의 불확실성이 그 어느 때보다 커졌던 해로 개개인의 안전을 시작으로 사회 전반의 보안 의식을 재고할 수 있었다.
[이미지=gettyimagesbank]
K-RMF, 우리 방산과 우주 보안을 위한 위험관리 체계
IT 기술의 발달로 소프트웨어 비중이 늘어나며 무기체계를 다루는 프로그램의 보안 중요성이 커지고 있다. SW를 악용한 사이버공격의 증가와 방위산업에 대한 북한의 위협도 늘어났기 때문이다. 이와 관련해 미국 국방부는 F-35 운영 국가인 한국과 영국, 이스라엘, 호주, 일본 등에 미국 RMF(Risk Management Framework) 표준을 준수토록 강조하고 있다.
RMF는 방산 분야 사이버 보안 위협을 관리하기 위한 위험관리 체계로 사이버 위협 정도를 평가하고 진단할 수 있는 프레임워크로 기술 보호를 비롯해 전반적인 K-방산 경쟁력을 확보할 수 있다. RMF는 △프로세스 준비 △체계 보안분류 선정 △보안통제항목 선정 △보안통제항목 구현 △보안통제항목 평가 △인가 △모니터링까지 총 7단계로 구성된 위험관리 프로세스를 제시한다.
준비 단계를 제외한 6단계를 정보체계의 폐기 전까지 반복 수행한다. 이때 보안통제 항목이란, 보안 요구사항을 의미하며 약 1,189개의 항목으로 구성됐다. 요구사항은 정보체계에 악영향을 끼칠 수 있는 수준을 파악해 낮음·중간·높음 단계로 구분된다. 다만, RMF를 따라 위험관리를 진행하더라도 사이버 보안 성숙도 모델 인증(CMMC)처럼 별도의 인증이 제공되지 않는다. 이는 제품 개발 프로세스에서 보안을 체계적으로 도입할 수 있도록 돕는 도구이며, 인증 제도는 아니다.
이와 관련해 국내 실정에 맞는 무기체계 사이버 보안 제도 정립의 필요성이 대두됨에 따라 K-RMF가 개발됐다. K-RMF는 국방정보체계를 포함해 SW가 내장된 모든 무기와 전력지원체계의 사이버보안을 체계적으로 검증하고 관리하는 제도다. 국방부는 K-RMF를 2024년 7월부터 소요 제기되는 중기 무기체계부터 적용하고, 2026년부터 전면적으로 시행하는 것을 목표로 하고 있다.
아울러 우주 분야 보안 강화를 위한 방안으로도 RMF가 제시되고 있다. 이는 RMF가 포괄적이고 유연한 체계로 방산을 비롯해 우주, IoT, 제어 시스템 등 모든 유형의 시스템에 기술·규모에 상관없이 적용될 수 있기 때문이다. 최근 러시아-우크라이나 전쟁에서 통신 및 전력시설이 마비됐을 때, 스타링크의 지원으로 인터넷을 사용했던 점을 감안하면 우주 분야를 노리는 사이버공격을 인지하고 위협을 판단해 대응할 수 있는 역량을 갖추는 것도 매우 중요한 과제로 꼽힌다.
[이미지=gettyimagesbank]
러-북 밀착과 함께 급증하는 북한 해킹그룹의 사이버공격
최근 북한 해킹그룹들이 한국을 비롯한 세계 여러 나라에 사이버공격을 감행하고 있어 주의가 요구된다. 한국에서는 국세청과 경찰청을 사칭해 스피어피싱 공격을 진행했고, 국내 방산업체와 반도체 제조사를 대상으로 악성코드를 퍼트리기도 했다.
미국에서는 NASA를 비롯한 군사기지 등 11개 기관을 공격했는데, 상황이 이렇게 흘러가자, 미국 FBI·NSA·CISA 등과 한국 국정원·경찰청, 그리고 영국 NCSC가 공동으로 ‘사이버 보안 권고문’을 발표했다. 또한, 미국 FBI는 북한 정찰총국 해킹그룹 소속 ‘림종혁’을 현상수배하고 현상금 1,000만달러(약 140억원)을 내걸었다.
안다리엘은 평양과 신의주에 기반을 두고 있는 북한 정찰총국 3국 산하 국가 배후 해킹조직이다. 이 조직은 한국과 미국을 겨냥한 사이버공격에 전문화된 첩보 활동과 랜섬웨어 활동이 특징인데, 방산·항공·우주·핵·공학 단체들의 주요 군사정보와 지적 재산을 노린다. 이외에도 의료 및 에너지 산업도 이들의 주된 목표다. 북한의 핵과 국방력 강화를 위해 국방 및 민간 계약 사항이나 자재명세서, 프로젝트 정보. 설계도면, 엔지니어링 문서들 수집한다.
전 세계를 겨냥한 북한 해킹그룹의 사이버공격이 지속적으로 이어지는 가운데, 미국 방위 계약업체를 해킹해 군용 항공기 및 인공위성 재료와 관련한 정보 유출 사건의 핵심 공격 인물에 대한 수배령이 내려졌다. 지난 8월 미국 FBI는 북한 국적의 림종혁이 캔자스주 연방 지방법원에서 컴퓨터 해킹 및 돈세탁 공모 등의 혐의로 기소돼 연방 체포 영장이 발부됐다고 밝혔다. 림종혁은 랜섬웨어를 이용해 미국 병원과 의료회사 컴퓨터에 침입해 자금을 탈취했다.
캔자스의 한 병원은 지난 2021년 5월 랜섬웨어 공격을 풀기 위해 비트코인으로 10만 달러를 지급한 뒤 FBI에 이를 알렸으며, 콜로라도의 한 의료 서비스 제공업체도 몸값으로 돈을 지불했다고 AP통신이 법무부를 인용해 보도했다. 해당 범죄로 탈취한 가상자산은 중국 은행으로 이체됐으며, 중국 단둥의 ‘조중 친선 다리’ 인근 ATM에서 인출됐다고 로이터 통신은 전했다. 이들은 랜섬웨어 공격으로 탈취한 자금을 세탁해 미국·한국·중국 정부 및 기술회사를 대상으로 해킹 공격을 진행하기 위해 추가로 인터넷 서버를 구매한 것으로 확인됐다고 FBI는 전했다.
한편, 미국 국무부는 안다리엘이 의료 서비스 업체 5곳, 미국 기반 방위 계약업체 4곳, 미국 공군기지 2곳, NASA 감찰관실 등에 피해를 줬으며, 림종혁은 이 과정에서 중요한 역할을 담당했던 것으로 드러났다.
이미지=gettyimagesbank]
보안업계 인력 부족, 새로운 접근 방식이 절실한 상황
최근 보안업계에서는 일할 사람이 없다는 이야기를 심심찮게 들을 수 있다. AI의 본격 확산을 계기로 거의 모든 산업에서 보안을 강화하고 있으며, 관련된 인력 수요도 폭발적으로 증가했다. 하지만 인력 시장의 상황은 나날이 어려워지고 있다. 물론, 대부분 산업계에서 인재 영입을 비롯한 신규 채용에 어려움을 호소하고 있기에 보안업계 만에 국한된 현상이 아니다.
일각에서는 학위나 자격증, 특정 경력만으로 정해진 답안에서 후보자들을 찾아왔고 수년에 걸쳐 까다롭게 굴면서 사람들을 내쳐온 결과라는 해석도 있다. 그 결과 소수의 후보자를 두고 다수의 기관과 기업이 경쟁할 수밖에 없는 상황이라는 것이다.
검증과 선별이 불필요한 것은 아니지만, 보안 분야로 진입하는 좁고 작은 길을 보지 못했다는 이유만으로 가능성 자체를 닫아버린 점은 개개인의 손해 이전에 보안 업계 전체의 손해이기에 업계로 진입할 수 있는 통로를 확장해야 한다는 의견이다.
또 다른 의견으로는 더 강력한 기술을 개발해 인력 공백을 메우는 방법이다. 특히, AI는 인력 부족 문제를 효과적으로 해결할 것으로 큰 기대를 모으고 있다. 실제로 AI로 ‘단순 반복 작업을 대체하고 생산성이 높은 결정에 집중하라’ 같은 홍보 문구나 기술력 과시를 쉽게 찾아볼 수 있다.
물론, 이러한 예시가 인력 감축이나 확실한 대체 효과라는 인상을 주면 곤란할 수 있어 더욱 화려한 수사나 비유가 등장하겠지만, 본질적으로 인력이 없다면 AI를 사용하라는 접근법을 보여준다. 이외에도 각종 교육 캠페인과 프로그램을 통해 청소년을 비롯한 학생, 구직층을 비롯한 현장 실무자들에게 보안 인식을 제고하는 시도들이 활발하게 진행됐다.
기초 보안 교육이 점점 더 중요한 자리를 차지하고 담당 인력이 부족해지는 상황에서 기초 체력을 기르려는 시도였다. 아울러 보안 전문가 양성이 점점 더 어려워지고 수요층이 적어진 만큼 교육 시장의 생존법으로도 보인다. 그럼에도 교육과 훈련을 통해 보안을 익히고 업계 진입의 시작점이 될 수 있다는 점에서 긍정적인 효과도 상당한 편이다.
보안 사고를 바라보는 인식을 살펴보면 주요 요인 중 하나를 인력 부족으로 꼽는데, 일각에서는 현재의 규정이 너무 느슨하다는 비판도 나오고 있다. 보안이 존재 이유 그 자체인 금융이나 군, 일부 정부기관을 제외하고는 기본적으로 자율성에 의존하는 경우가 많기 때문이다.
첨단 기술의 총아인 AI나 암호화폐도 자율성을 강조하지만 규제를 반기는 상황으로 제도권의 인정과 안정성 확보를 내심 반기는 분위기도 감지된다. 2024년은 이러한 규제 강화에 대한 가능성을 살펴봤던 한 해였던 만큼 관련 인프라 개발이나 운영 인력에 대한 수요는 꾸준히 늘어나고 있다. 보안 내에서도 규정 준수가 갖는 의미가 더 커진 만큼 보안 시장에 대한 인력 수요는 앞으로도 더 커질 전망이다.
아울러 보안 기술 자체에 대한 수요와 함께 운영 인력에 대한 수요도 늘어날 것인데, 기술의 난이도가 높아 처음부터 이 일을 잘 해낼 사람은 극히 드물다는 것이다. 사실상 없다시피 한데, 누가 됐든 어떤 배경을 지녔든 기술의 난이도는 변함이 없는 만큼 누구나 현장에서 새로운 지식과 경험을 쌓아야 한다. 그러니 처음부터 완벽하지 않아도 된다는 것이다. 당장 현장에 투입할 수 있는 완벽한 인재는 어느 분야나 마찬가지로 매우 희귀하고 부족하다. 새로운 접근 방식이 필요한 시점이다.
[이미지=gettyimagesbank]
범정부 차원의 사이버안보 계획, 부처별 총 100대 실천과제 구성
국가안보실이 국정원·외교부·국방부·과학기술정보통신부와 검찰·경찰 등 14개 정부부처가 합동으로 수립한 ‘국가 사이버안보 기본계획’을 발표했다. 이번 기본계획은 국가사이버안보전략의 비전과 목표를 달성하기 위한 구체적 실천방안을 포함하고 있다.
주요 내용은 14개 부처 개별 과제 93개와 공동과제 7개 등 총 100대 실천 과제로 구성됐다. 수립과정에서 국제전략·법률·IT공학 등 분야별 전문가 자문 의견을 적극 반영했다는 것이 국가안보실의 설명이다. 앞서 정부는 지난 2월 발표한 ‘국가사이버안보전략’의 후속 조치로 당시 발표한 5대 전략 과제는 △공세적 사이버 방어활동 강화 △글로벌 사이버 공조체계 구축 △국가 핵심인프라 사이버 복원력 강화 △신기술 경쟁우위 확보 △업무 수행기반 강화 등이 있다.
조금 더 자세히 살펴보면 ‘공세적 사이버 활동 강화’를 위해 국가안보와 국익을 저해하는 사이버 활동과 위협행위자에 대한 선제적·능동적 사이버 방어 활동으로 위협 억지력을 확보하고 사이버 공간에서 국론을 분열하고 사회혼란을 유발하는 허위정보에 대한 대응 기반을 마련하기로 했다.
‘글로벌 사이버 공조 체계 구축’은 자유민주주의 가치를 공유하는 국가와 사이버안보 분야 협력 및 공조를 통해 대응 역량을 제고하고 사이버 공간의 규범 형성 및 신뢰 구축을 위한 국제사회의 논의에도 적극적으로 참여하는 것이다. ‘국가 핵심인프라 사이버 복원력 강화’는 주요정보통신기반시설과 사회기반시설 등 국가 핵심인프라와 대다수 국민이 사용하는 중요정보통신시스템의 사이버 복원력을 제고하고 국가·공공기간 망분리 정책을 다층계층보안 체계로 개선하는 등 AI와 디지털플랫폼 환경에 부합할 수 있는 정책을 마련하는 내용이다.
‘신기술 경쟁우위 확보’를 위해 산·학·연 협력기반 정보보호 산업 생태계를 조성하고, 사이버 보안 연구개발 확대를 위해 국가 사이버안보 역량의 기반이 되는 핵심기술을 적극적으로 육성해 국제사회에서 신기술 경쟁력 및 기술주도권을 확보하려는 움직임이다.
‘엄부 수행 기반 강화’ 대책으로는 개인·기업·정부의 역할과 책임을 유기적으로 연결하고 조화를 이루도록 사이버안보 관련 법제도와 조직을 정비해 외교·안보·행정·산업·경제·교육 등 분야별 보호를 관장하는 각 부처의 역할과 협업 체계를 강화한다.
이번에 선정된 100대 과제에 대해서는 사이버안보 콘트롤타워인 국가안보실과 실무 주관기관인 국정원이 부처별 과제 추진 실적을 종합하고 이행 현황을 관리할 계획이다.
부처별 주요 과제는 국정원이 33개 과제로 △국제해킹조직 식별·추적 등 공세적 활동 관련 기술 및 법제도 개선 △범국가 차원 사이버안보 정보협력 허브 구축 △국가사이버위기관리단을 통한 민관합동 통합대응 조직 역량 강화 등이 있다.
다음으로 과기정통부는 25개 과제로 △산·학·연 기반 정보보호 산업 생태계 조성 △신기술 산업 융합보안 지원 및 사이버보안 R&D 확대 △범국민 사이버보안 중요성 홍보 등이다. 경찰청은 8개 과제에서 △사이버범죄 수사 핵심기술 발굴 및 수사역량 강화 △사이버범죄 수사에 필요한 국내 유관기관·전문가 협력 강화 등이 포함됐다.
외교부는 6개 과제로 △사이버 규범 형성 및 신뢰 구축을 위한 국제사회 논의 참여 △미·영 등 자유민주주의 국가와의 사이버안보 연대 강화 등이 있다. 이와 함께 대검찰청은 4개 과제, 행안부 4개, 국방부 3개, 교육부 3개, 금융위 3개의 과제를 진행하며, 법무부, 산업부, 해수부, 방통위는 각각 1개의 과제를 추진한다.
부처들의 주요 과제로는 △공공분야 디지털서비스 개발보안 적용 △금융권 사이버위협 대응역량 강화 △산업·무역·에너지 분야 사이버보안 및 대응역량 강화 △해사·항만분야 사이버보안 강화 등이 있다.
[조재호 기자(sw@boannews.com)]
러-북 밀착과 함께 급증하는 북한 해킹그룹의 사이버공격
보안업계 인력 부족, 새로운 접근 방식이 절실한 상황
범정부 차원의 사이버안보 계획, 부처별 총 100대 실천과제 구성
[보안뉴스 조재호 기자] 거안사위(居安思危), 올해 1월 삼성증권이 새해 금융시장을 가장 잘 나타낸 사자성어로 꼽은 단어다. 편안할 때도 위태로울 때의 일을 생각하라는 뜻으로 위기를 늘 염두에 두고 대비하라는 교훈을 담고 있다. 유럽과 중동 지역의 갈등으로 불안한 국제 정세와 공급망 재편의 영향으로 경기침체가 이어졌다. 아울러 세계 인구의 절반이 넘는 사람들이 투표하는 슈퍼 선거의 해로도 꼽히기도 했다. 인공지능(AI)의 영향력 확대와 함께 더욱 가속화된 디지털 전환 흐름도 빼놓을 수 없다. 요컨대 2024년은 사회 전반의 불확실성이 그 어느 때보다 커졌던 해로 개개인의 안전을 시작으로 사회 전반의 보안 의식을 재고할 수 있었다.
[이미지=gettyimagesbank]
K-RMF, 우리 방산과 우주 보안을 위한 위험관리 체계
IT 기술의 발달로 소프트웨어 비중이 늘어나며 무기체계를 다루는 프로그램의 보안 중요성이 커지고 있다. SW를 악용한 사이버공격의 증가와 방위산업에 대한 북한의 위협도 늘어났기 때문이다. 이와 관련해 미국 국방부는 F-35 운영 국가인 한국과 영국, 이스라엘, 호주, 일본 등에 미국 RMF(Risk Management Framework) 표준을 준수토록 강조하고 있다.
RMF는 방산 분야 사이버 보안 위협을 관리하기 위한 위험관리 체계로 사이버 위협 정도를 평가하고 진단할 수 있는 프레임워크로 기술 보호를 비롯해 전반적인 K-방산 경쟁력을 확보할 수 있다. RMF는 △프로세스 준비 △체계 보안분류 선정 △보안통제항목 선정 △보안통제항목 구현 △보안통제항목 평가 △인가 △모니터링까지 총 7단계로 구성된 위험관리 프로세스를 제시한다.
준비 단계를 제외한 6단계를 정보체계의 폐기 전까지 반복 수행한다. 이때 보안통제 항목이란, 보안 요구사항을 의미하며 약 1,189개의 항목으로 구성됐다. 요구사항은 정보체계에 악영향을 끼칠 수 있는 수준을 파악해 낮음·중간·높음 단계로 구분된다. 다만, RMF를 따라 위험관리를 진행하더라도 사이버 보안 성숙도 모델 인증(CMMC)처럼 별도의 인증이 제공되지 않는다. 이는 제품 개발 프로세스에서 보안을 체계적으로 도입할 수 있도록 돕는 도구이며, 인증 제도는 아니다.
이와 관련해 국내 실정에 맞는 무기체계 사이버 보안 제도 정립의 필요성이 대두됨에 따라 K-RMF가 개발됐다. K-RMF는 국방정보체계를 포함해 SW가 내장된 모든 무기와 전력지원체계의 사이버보안을 체계적으로 검증하고 관리하는 제도다. 국방부는 K-RMF를 2024년 7월부터 소요 제기되는 중기 무기체계부터 적용하고, 2026년부터 전면적으로 시행하는 것을 목표로 하고 있다.
아울러 우주 분야 보안 강화를 위한 방안으로도 RMF가 제시되고 있다. 이는 RMF가 포괄적이고 유연한 체계로 방산을 비롯해 우주, IoT, 제어 시스템 등 모든 유형의 시스템에 기술·규모에 상관없이 적용될 수 있기 때문이다. 최근 러시아-우크라이나 전쟁에서 통신 및 전력시설이 마비됐을 때, 스타링크의 지원으로 인터넷을 사용했던 점을 감안하면 우주 분야를 노리는 사이버공격을 인지하고 위협을 판단해 대응할 수 있는 역량을 갖추는 것도 매우 중요한 과제로 꼽힌다.
[이미지=gettyimagesbank]
러-북 밀착과 함께 급증하는 북한 해킹그룹의 사이버공격
최근 북한 해킹그룹들이 한국을 비롯한 세계 여러 나라에 사이버공격을 감행하고 있어 주의가 요구된다. 한국에서는 국세청과 경찰청을 사칭해 스피어피싱 공격을 진행했고, 국내 방산업체와 반도체 제조사를 대상으로 악성코드를 퍼트리기도 했다.
미국에서는 NASA를 비롯한 군사기지 등 11개 기관을 공격했는데, 상황이 이렇게 흘러가자, 미국 FBI·NSA·CISA 등과 한국 국정원·경찰청, 그리고 영국 NCSC가 공동으로 ‘사이버 보안 권고문’을 발표했다. 또한, 미국 FBI는 북한 정찰총국 해킹그룹 소속 ‘림종혁’을 현상수배하고 현상금 1,000만달러(약 140억원)을 내걸었다.
안다리엘은 평양과 신의주에 기반을 두고 있는 북한 정찰총국 3국 산하 국가 배후 해킹조직이다. 이 조직은 한국과 미국을 겨냥한 사이버공격에 전문화된 첩보 활동과 랜섬웨어 활동이 특징인데, 방산·항공·우주·핵·공학 단체들의 주요 군사정보와 지적 재산을 노린다. 이외에도 의료 및 에너지 산업도 이들의 주된 목표다. 북한의 핵과 국방력 강화를 위해 국방 및 민간 계약 사항이나 자재명세서, 프로젝트 정보. 설계도면, 엔지니어링 문서들 수집한다.
전 세계를 겨냥한 북한 해킹그룹의 사이버공격이 지속적으로 이어지는 가운데, 미국 방위 계약업체를 해킹해 군용 항공기 및 인공위성 재료와 관련한 정보 유출 사건의 핵심 공격 인물에 대한 수배령이 내려졌다. 지난 8월 미국 FBI는 북한 국적의 림종혁이 캔자스주 연방 지방법원에서 컴퓨터 해킹 및 돈세탁 공모 등의 혐의로 기소돼 연방 체포 영장이 발부됐다고 밝혔다. 림종혁은 랜섬웨어를 이용해 미국 병원과 의료회사 컴퓨터에 침입해 자금을 탈취했다.
캔자스의 한 병원은 지난 2021년 5월 랜섬웨어 공격을 풀기 위해 비트코인으로 10만 달러를 지급한 뒤 FBI에 이를 알렸으며, 콜로라도의 한 의료 서비스 제공업체도 몸값으로 돈을 지불했다고 AP통신이 법무부를 인용해 보도했다. 해당 범죄로 탈취한 가상자산은 중국 은행으로 이체됐으며, 중국 단둥의 ‘조중 친선 다리’ 인근 ATM에서 인출됐다고 로이터 통신은 전했다. 이들은 랜섬웨어 공격으로 탈취한 자금을 세탁해 미국·한국·중국 정부 및 기술회사를 대상으로 해킹 공격을 진행하기 위해 추가로 인터넷 서버를 구매한 것으로 확인됐다고 FBI는 전했다.
한편, 미국 국무부는 안다리엘이 의료 서비스 업체 5곳, 미국 기반 방위 계약업체 4곳, 미국 공군기지 2곳, NASA 감찰관실 등에 피해를 줬으며, 림종혁은 이 과정에서 중요한 역할을 담당했던 것으로 드러났다.
이미지=gettyimagesbank]
보안업계 인력 부족, 새로운 접근 방식이 절실한 상황
최근 보안업계에서는 일할 사람이 없다는 이야기를 심심찮게 들을 수 있다. AI의 본격 확산을 계기로 거의 모든 산업에서 보안을 강화하고 있으며, 관련된 인력 수요도 폭발적으로 증가했다. 하지만 인력 시장의 상황은 나날이 어려워지고 있다. 물론, 대부분 산업계에서 인재 영입을 비롯한 신규 채용에 어려움을 호소하고 있기에 보안업계 만에 국한된 현상이 아니다.
일각에서는 학위나 자격증, 특정 경력만으로 정해진 답안에서 후보자들을 찾아왔고 수년에 걸쳐 까다롭게 굴면서 사람들을 내쳐온 결과라는 해석도 있다. 그 결과 소수의 후보자를 두고 다수의 기관과 기업이 경쟁할 수밖에 없는 상황이라는 것이다.
검증과 선별이 불필요한 것은 아니지만, 보안 분야로 진입하는 좁고 작은 길을 보지 못했다는 이유만으로 가능성 자체를 닫아버린 점은 개개인의 손해 이전에 보안 업계 전체의 손해이기에 업계로 진입할 수 있는 통로를 확장해야 한다는 의견이다.
또 다른 의견으로는 더 강력한 기술을 개발해 인력 공백을 메우는 방법이다. 특히, AI는 인력 부족 문제를 효과적으로 해결할 것으로 큰 기대를 모으고 있다. 실제로 AI로 ‘단순 반복 작업을 대체하고 생산성이 높은 결정에 집중하라’ 같은 홍보 문구나 기술력 과시를 쉽게 찾아볼 수 있다.
물론, 이러한 예시가 인력 감축이나 확실한 대체 효과라는 인상을 주면 곤란할 수 있어 더욱 화려한 수사나 비유가 등장하겠지만, 본질적으로 인력이 없다면 AI를 사용하라는 접근법을 보여준다. 이외에도 각종 교육 캠페인과 프로그램을 통해 청소년을 비롯한 학생, 구직층을 비롯한 현장 실무자들에게 보안 인식을 제고하는 시도들이 활발하게 진행됐다.
기초 보안 교육이 점점 더 중요한 자리를 차지하고 담당 인력이 부족해지는 상황에서 기초 체력을 기르려는 시도였다. 아울러 보안 전문가 양성이 점점 더 어려워지고 수요층이 적어진 만큼 교육 시장의 생존법으로도 보인다. 그럼에도 교육과 훈련을 통해 보안을 익히고 업계 진입의 시작점이 될 수 있다는 점에서 긍정적인 효과도 상당한 편이다.
보안 사고를 바라보는 인식을 살펴보면 주요 요인 중 하나를 인력 부족으로 꼽는데, 일각에서는 현재의 규정이 너무 느슨하다는 비판도 나오고 있다. 보안이 존재 이유 그 자체인 금융이나 군, 일부 정부기관을 제외하고는 기본적으로 자율성에 의존하는 경우가 많기 때문이다.
첨단 기술의 총아인 AI나 암호화폐도 자율성을 강조하지만 규제를 반기는 상황으로 제도권의 인정과 안정성 확보를 내심 반기는 분위기도 감지된다. 2024년은 이러한 규제 강화에 대한 가능성을 살펴봤던 한 해였던 만큼 관련 인프라 개발이나 운영 인력에 대한 수요는 꾸준히 늘어나고 있다. 보안 내에서도 규정 준수가 갖는 의미가 더 커진 만큼 보안 시장에 대한 인력 수요는 앞으로도 더 커질 전망이다.
아울러 보안 기술 자체에 대한 수요와 함께 운영 인력에 대한 수요도 늘어날 것인데, 기술의 난이도가 높아 처음부터 이 일을 잘 해낼 사람은 극히 드물다는 것이다. 사실상 없다시피 한데, 누가 됐든 어떤 배경을 지녔든 기술의 난이도는 변함이 없는 만큼 누구나 현장에서 새로운 지식과 경험을 쌓아야 한다. 그러니 처음부터 완벽하지 않아도 된다는 것이다. 당장 현장에 투입할 수 있는 완벽한 인재는 어느 분야나 마찬가지로 매우 희귀하고 부족하다. 새로운 접근 방식이 필요한 시점이다.
[이미지=gettyimagesbank]
범정부 차원의 사이버안보 계획, 부처별 총 100대 실천과제 구성
국가안보실이 국정원·외교부·국방부·과학기술정보통신부와 검찰·경찰 등 14개 정부부처가 합동으로 수립한 ‘국가 사이버안보 기본계획’을 발표했다. 이번 기본계획은 국가사이버안보전략의 비전과 목표를 달성하기 위한 구체적 실천방안을 포함하고 있다.
주요 내용은 14개 부처 개별 과제 93개와 공동과제 7개 등 총 100대 실천 과제로 구성됐다. 수립과정에서 국제전략·법률·IT공학 등 분야별 전문가 자문 의견을 적극 반영했다는 것이 국가안보실의 설명이다. 앞서 정부는 지난 2월 발표한 ‘국가사이버안보전략’의 후속 조치로 당시 발표한 5대 전략 과제는 △공세적 사이버 방어활동 강화 △글로벌 사이버 공조체계 구축 △국가 핵심인프라 사이버 복원력 강화 △신기술 경쟁우위 확보 △업무 수행기반 강화 등이 있다.
조금 더 자세히 살펴보면 ‘공세적 사이버 활동 강화’를 위해 국가안보와 국익을 저해하는 사이버 활동과 위협행위자에 대한 선제적·능동적 사이버 방어 활동으로 위협 억지력을 확보하고 사이버 공간에서 국론을 분열하고 사회혼란을 유발하는 허위정보에 대한 대응 기반을 마련하기로 했다.
‘글로벌 사이버 공조 체계 구축’은 자유민주주의 가치를 공유하는 국가와 사이버안보 분야 협력 및 공조를 통해 대응 역량을 제고하고 사이버 공간의 규범 형성 및 신뢰 구축을 위한 국제사회의 논의에도 적극적으로 참여하는 것이다. ‘국가 핵심인프라 사이버 복원력 강화’는 주요정보통신기반시설과 사회기반시설 등 국가 핵심인프라와 대다수 국민이 사용하는 중요정보통신시스템의 사이버 복원력을 제고하고 국가·공공기간 망분리 정책을 다층계층보안 체계로 개선하는 등 AI와 디지털플랫폼 환경에 부합할 수 있는 정책을 마련하는 내용이다.
‘신기술 경쟁우위 확보’를 위해 산·학·연 협력기반 정보보호 산업 생태계를 조성하고, 사이버 보안 연구개발 확대를 위해 국가 사이버안보 역량의 기반이 되는 핵심기술을 적극적으로 육성해 국제사회에서 신기술 경쟁력 및 기술주도권을 확보하려는 움직임이다.
‘엄부 수행 기반 강화’ 대책으로는 개인·기업·정부의 역할과 책임을 유기적으로 연결하고 조화를 이루도록 사이버안보 관련 법제도와 조직을 정비해 외교·안보·행정·산업·경제·교육 등 분야별 보호를 관장하는 각 부처의 역할과 협업 체계를 강화한다.
이번에 선정된 100대 과제에 대해서는 사이버안보 콘트롤타워인 국가안보실과 실무 주관기관인 국정원이 부처별 과제 추진 실적을 종합하고 이행 현황을 관리할 계획이다.
부처별 주요 과제는 국정원이 33개 과제로 △국제해킹조직 식별·추적 등 공세적 활동 관련 기술 및 법제도 개선 △범국가 차원 사이버안보 정보협력 허브 구축 △국가사이버위기관리단을 통한 민관합동 통합대응 조직 역량 강화 등이 있다.
다음으로 과기정통부는 25개 과제로 △산·학·연 기반 정보보호 산업 생태계 조성 △신기술 산업 융합보안 지원 및 사이버보안 R&D 확대 △범국민 사이버보안 중요성 홍보 등이다. 경찰청은 8개 과제에서 △사이버범죄 수사 핵심기술 발굴 및 수사역량 강화 △사이버범죄 수사에 필요한 국내 유관기관·전문가 협력 강화 등이 포함됐다.
외교부는 6개 과제로 △사이버 규범 형성 및 신뢰 구축을 위한 국제사회 논의 참여 △미·영 등 자유민주주의 국가와의 사이버안보 연대 강화 등이 있다. 이와 함께 대검찰청은 4개 과제, 행안부 4개, 국방부 3개, 교육부 3개, 금융위 3개의 과제를 진행하며, 법무부, 산업부, 해수부, 방통위는 각각 1개의 과제를 추진한다.
부처들의 주요 과제로는 △공공분야 디지털서비스 개발보안 적용 △금융권 사이버위협 대응역량 강화 △산업·무역·에너지 분야 사이버보안 및 대응역량 강화 △해사·항만분야 사이버보안 강화 등이 있다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
