[3줄 요약]
1. 정부, 범정부 정보보호 종합대책 관련 설명회 및 의견 청취
2. 시스템 전면 점검·기업 입증책임 강화·CISO 권한 및 책임 강화 등이 주요 골자
3. 직권 조사 부담감이나 보안 투자 하향 평준화, ISMS 체크리스트 등 지적 나와
[보안뉴스 조재호 기자] “정보보호 종합대책은 특정 부처가 아닌, 국가안보실을 중심으로 과학기술정보통신부를 포함한 5개 부처가 참여해 만든 ‘범정부 종합대책’입니다. 연이어 벌어진 침해사고에 대해 정부는 비용이 아닌 투자의 개념으로 기본기에 충실한 보안을 강조하면서 소비자 보호를 강화할 계획입니다.”
최우혁 과기정통부 네트워크정책실장은 18일 서울 더 플라자 호텔 서울에서 열린 ‘한국CISO협의회 제149차 포럼’에서 이같이 말했다. 올해 연이은 보안 사고에서 얻은 교훈은 ‘기본기에 충실한 보안’이라는 의미다.
▲(왼쪽부터) 이기주 CISO협의회장, 오현주 국가안보실 3차장, 최우혁 과기정통부 네트워크 정책실장[자료: 보안뉴스]
이날 포럼에서 최 실장은 정보보호 대책의 성격과 배경을 설명하고, 내달 발표될 ‘국가 사이버안보 전략’에 앞서 국내 사이버보안 위협 현황을 공유했다. 또 정책 수립에 앞서 CISO들의 의견을 듣고 종합대책 관련 질의를 받았다.
최 실장은 “올해 이동통신사 해킹을 비롯, 각종 랜섬웨어 사고 등 관련 침해사고 신고 건수가 2000건을 넘길 것으로 예상된다”며 “국민 다수가 이용하는 공공·통신·금융 등의 보안 취약점 점검을 시작으로 실효성 있는 재발 방지 대책과 보안 투자 확대를 아우른 범정부 사이버안보 협력안을 마련할 계획”이라고 말했다.
이를 위해 정부 정보보호 종합 대책의 추진 방향을 공유하며, 시스템 점검과 재발 방지책, 정보보호 기반 확충, 국가 사이버안보 협력 강화 방안 등 대책의 주요 내용을 설명했다.
시스템 점검을 통해 국민 다수가 이용하는 1600여개 IT 시스템 보안 취약점을 전면 점검한다. IT 자산 식별은 기본이라고 강조했다. 이통 3사 대상 불시 점검도 추진한다.
재발 방지를 위해 보안 사고에서 기업이 (피해) 입증 책임을 지도록 한다. 또 ‘정황’만 확보돼도 정부가 조사에 착수할 수 있도록 현장 조사 권한을 확대한다. 이는 처벌 목적라기보다 중소기업 등 보안이 힘든 기업을 지원하려는 목적이라는 설명이다. 과징금 등을 도입하더라도 선량한 관리자의 의무를 다한 기업은 부담을 경감하는 방안도 고려한다.
정보보호 기반 확충은 공시 의무를 전체 상장사로 확대하고, CISO 권한과 책임을 동시에 강화하는 등의 내용을 담고 있다. 정보보호 인력을 양성하고, 양자내성암호 등 R&D 투자도 강화한다. 소비자에게 설치를 강요하는 금융 보안 소프트웨어 등은 단계적으로 제한할 계획이다.
국가 사이버안보 협력 강화는 현재 개인정보보호위원회와 한국인터넷진흥원 등 부처별로 파편화된 해킹 사고 조사 과정을 체계화하고 국가안보실을 중심으로 사이버안보 체계를 재편한다는 내용을 담고 있다. 각자 역할을 분담하고 정보를 공유하는 등 협력을 한층 강화할 계획이다.
▲제149차 CISO포럼 전경 [자료:보안뉴스]
[다음은 CISO포럼 일문일답]
Q. 해킹 발생한 기업의 CISO는 사실상 피해자지만, 기업 입장이나 사회적으로는 피의자와 같은 시선을 받게 된다. 최근 CISO 책임이 강화되면서 직책을 기피하는 현상도 발생하고 있는데
CISO의 책임만 강조하는 것이 아니라 권한도 강화되어야 할 사안으로 본다. CISO 위상을 올리면서도 이를 뒷받침할 보호책까지 고민하겠다. 이 부분은 사실 진작 준비해야 했다. CISO뿐 아니라 기업의 책임성 있는 대응을 위해 준비하고 있으며, 조금 더 시간을 주면 감사하겠다.
Q. 최근 IT 자산 파악에 있어 CISO가 CIO의 영역인 IT 자산 통제권까지 책임지는 것은 부담스러운 부분이 있다
CISO와 CIO 관계는 정부보다는 기업 내에서 풀어야 할 문제로 보인다. 다만, CEO의 책임을 강화하다 보면 이 두 임원의 충돌은 충분히 조정 가능할 것으로 보인다.
Q. ‘정황’만으로 조사가 가능한 직권 조사 권한 확대에 대해 우려하는 기업이 많다
국회에서도 고민 중인 것으로 안다. 단순 침해 정황만으로 조사하는 것보다는 심의위원회를 통한 검토 과정을 추가하는 방향으로 논의와 입법이 진행 중인 것으로 안다. 위원회 구성도 10인이나 20인 정도로 구성하는 방식도 있겠지만, 5명 정도의 전문가를 모셔 신속히 진행하는 방식도 있다.
정부에서 많은 경험이 있는 만큼 다양한 방안을 고려하고, 기업들이 부담을 느끼지 않는 방향으로 논의할 예정이다. 예를 들어, 올해 사고 기업 중 한 곳은 8개 기관이 동시에 조사에 착수했다며, 파편화된 조사 체계의 어려움을 토로하기도 했다.
Q. IT 예산 5% 같은 천편일률적 기준이 오히려 투자를 잘하고 있는 기업을 ‘하향 평준화’할 수도 있다
잘하는 기업의 의욕을 꺾는 것보다 보안 기준을 올리는 것에 집중하고 있다. 보안이 비용이 아닌 투자라는 인식으로 바뀐다면 자연스럽게 해결될 수 있다고 본다. 과거 금융위원회에서 진행한 5·5·7 기준에 대한 경험도 있기에 저희도 신중하게 접근하고 있다.
Q. 일반적으로 CISO는 IT 기반 기업에선 익숙하지만, 제조업 기반 기업에선 생소할 수 있다. 특히 OT 보안은 ISMS 인증 자체를 완전히 비켜나 있는 부분이 있다
IT 기반 이외 다양한 산업군에서도 보안에 신경 쓸 수 있도록 제도적 장치를 마련할 계획이다. OT 보안도 ISMS로 들어올 수 있도록 노력하겠다.
[조재호 기자(sw@boannews.com)]
1. 정부, 범정부 정보보호 종합대책 관련 설명회 및 의견 청취
2. 시스템 전면 점검·기업 입증책임 강화·CISO 권한 및 책임 강화 등이 주요 골자
3. 직권 조사 부담감이나 보안 투자 하향 평준화, ISMS 체크리스트 등 지적 나와
[보안뉴스 조재호 기자] “정보보호 종합대책은 특정 부처가 아닌, 국가안보실을 중심으로 과학기술정보통신부를 포함한 5개 부처가 참여해 만든 ‘범정부 종합대책’입니다. 연이어 벌어진 침해사고에 대해 정부는 비용이 아닌 투자의 개념으로 기본기에 충실한 보안을 강조하면서 소비자 보호를 강화할 계획입니다.”
최우혁 과기정통부 네트워크정책실장은 18일 서울 더 플라자 호텔 서울에서 열린 ‘한국CISO협의회 제149차 포럼’에서 이같이 말했다. 올해 연이은 보안 사고에서 얻은 교훈은 ‘기본기에 충실한 보안’이라는 의미다.
▲(왼쪽부터) 이기주 CISO협의회장, 오현주 국가안보실 3차장, 최우혁 과기정통부 네트워크 정책실장[자료: 보안뉴스]
이날 포럼에서 최 실장은 정보보호 대책의 성격과 배경을 설명하고, 내달 발표될 ‘국가 사이버안보 전략’에 앞서 국내 사이버보안 위협 현황을 공유했다. 또 정책 수립에 앞서 CISO들의 의견을 듣고 종합대책 관련 질의를 받았다.
최 실장은 “올해 이동통신사 해킹을 비롯, 각종 랜섬웨어 사고 등 관련 침해사고 신고 건수가 2000건을 넘길 것으로 예상된다”며 “국민 다수가 이용하는 공공·통신·금융 등의 보안 취약점 점검을 시작으로 실효성 있는 재발 방지 대책과 보안 투자 확대를 아우른 범정부 사이버안보 협력안을 마련할 계획”이라고 말했다.
이를 위해 정부 정보보호 종합 대책의 추진 방향을 공유하며, 시스템 점검과 재발 방지책, 정보보호 기반 확충, 국가 사이버안보 협력 강화 방안 등 대책의 주요 내용을 설명했다.
시스템 점검을 통해 국민 다수가 이용하는 1600여개 IT 시스템 보안 취약점을 전면 점검한다. IT 자산 식별은 기본이라고 강조했다. 이통 3사 대상 불시 점검도 추진한다.
재발 방지를 위해 보안 사고에서 기업이 (피해) 입증 책임을 지도록 한다. 또 ‘정황’만 확보돼도 정부가 조사에 착수할 수 있도록 현장 조사 권한을 확대한다. 이는 처벌 목적라기보다 중소기업 등 보안이 힘든 기업을 지원하려는 목적이라는 설명이다. 과징금 등을 도입하더라도 선량한 관리자의 의무를 다한 기업은 부담을 경감하는 방안도 고려한다.
정보보호 기반 확충은 공시 의무를 전체 상장사로 확대하고, CISO 권한과 책임을 동시에 강화하는 등의 내용을 담고 있다. 정보보호 인력을 양성하고, 양자내성암호 등 R&D 투자도 강화한다. 소비자에게 설치를 강요하는 금융 보안 소프트웨어 등은 단계적으로 제한할 계획이다.
국가 사이버안보 협력 강화는 현재 개인정보보호위원회와 한국인터넷진흥원 등 부처별로 파편화된 해킹 사고 조사 과정을 체계화하고 국가안보실을 중심으로 사이버안보 체계를 재편한다는 내용을 담고 있다. 각자 역할을 분담하고 정보를 공유하는 등 협력을 한층 강화할 계획이다.
▲제149차 CISO포럼 전경 [자료:보안뉴스]
[다음은 CISO포럼 일문일답]
Q. 해킹 발생한 기업의 CISO는 사실상 피해자지만, 기업 입장이나 사회적으로는 피의자와 같은 시선을 받게 된다. 최근 CISO 책임이 강화되면서 직책을 기피하는 현상도 발생하고 있는데
CISO의 책임만 강조하는 것이 아니라 권한도 강화되어야 할 사안으로 본다. CISO 위상을 올리면서도 이를 뒷받침할 보호책까지 고민하겠다. 이 부분은 사실 진작 준비해야 했다. CISO뿐 아니라 기업의 책임성 있는 대응을 위해 준비하고 있으며, 조금 더 시간을 주면 감사하겠다.
Q. 최근 IT 자산 파악에 있어 CISO가 CIO의 영역인 IT 자산 통제권까지 책임지는 것은 부담스러운 부분이 있다
CISO와 CIO 관계는 정부보다는 기업 내에서 풀어야 할 문제로 보인다. 다만, CEO의 책임을 강화하다 보면 이 두 임원의 충돌은 충분히 조정 가능할 것으로 보인다.
Q. ‘정황’만으로 조사가 가능한 직권 조사 권한 확대에 대해 우려하는 기업이 많다
국회에서도 고민 중인 것으로 안다. 단순 침해 정황만으로 조사하는 것보다는 심의위원회를 통한 검토 과정을 추가하는 방향으로 논의와 입법이 진행 중인 것으로 안다. 위원회 구성도 10인이나 20인 정도로 구성하는 방식도 있겠지만, 5명 정도의 전문가를 모셔 신속히 진행하는 방식도 있다.
정부에서 많은 경험이 있는 만큼 다양한 방안을 고려하고, 기업들이 부담을 느끼지 않는 방향으로 논의할 예정이다. 예를 들어, 올해 사고 기업 중 한 곳은 8개 기관이 동시에 조사에 착수했다며, 파편화된 조사 체계의 어려움을 토로하기도 했다.
Q. IT 예산 5% 같은 천편일률적 기준이 오히려 투자를 잘하고 있는 기업을 ‘하향 평준화’할 수도 있다
잘하는 기업의 의욕을 꺾는 것보다 보안 기준을 올리는 것에 집중하고 있다. 보안이 비용이 아닌 투자라는 인식으로 바뀐다면 자연스럽게 해결될 수 있다고 본다. 과거 금융위원회에서 진행한 5·5·7 기준에 대한 경험도 있기에 저희도 신중하게 접근하고 있다.
Q. 일반적으로 CISO는 IT 기반 기업에선 익숙하지만, 제조업 기반 기업에선 생소할 수 있다. 특히 OT 보안은 ISMS 인증 자체를 완전히 비켜나 있는 부분이 있다
IT 기반 이외 다양한 산업군에서도 보안에 신경 쓸 수 있도록 제도적 장치를 마련할 계획이다. OT 보안도 ISMS로 들어올 수 있도록 노력하겠다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
