.gif)
사이버 보안기술 분야에는 ‘2등’ 없어...1등 위해선 법률적·제도적 뒷받침 필요
올해 4월 마련된 ‘국가사이버안보전략’의 효과적인 이행 위한 법률적 근거 마련돼야
[보안뉴스= 조현숙 국가보안기술연구소 소장] “각국은 사이버 역량을 국가안보에 중요한 영향을 미치는 비대칭 전력으로 인식하여 (중략) 선진국과의 기술 격차를 해소하고 글로벌 시장을 선도할 혁신적인 원천기술 확보를 위해 사이버 보안 연구개발 예산을 대폭 확대한다.” (국가사이버안보전략 2019. 4)
[이미지=iclickart]
2004년 3월 1일. 사이버 공간에서는 ‘독도 영유권 문제’를 시작으로 한국과 일본 간에 ‘사이버 충돌’이 일어났다. 당시 국내 최대 커뮤니티였던 ‘디시인사이드’와 일본의 대표적인 혐한 커뮤니티인 ‘2ch’ 서버를 중심으로 이루어진 사이버 공격은 2010년 3.1절과 광복절까지 지속적으로 이루어졌다.
이후 이러한 사이버 충돌을 실시간으로 중계하는 게시판도 등장하고, ‘사이버 종군기자’의 해설과 진행상황에 대한 설명도 들을 수 있었다. 그리고 단순히 ‘F5’ 키를 계속 눌러 트래픽을 증가시키는 원시적인 ‘서비스 거부 공격(DDoS)’임에도 불구하고 워낙 많은 한국 네티즌이 참가했기에 일본의 서버가 한동안 서비스를 하지 못하는 사태도 발생했다. 이 같은 행위는 엄연히 ‘정보통신망법’으로 금지되어 있지만, 일본인들의 역사 인식이 바뀌기를 바라는 한국 네티즌들의 염원이 담긴 행동으로 여겨져 사회적으로 크게 비난받지 않았던 것이 사실이다. 그러나 지금의 일본은 사이버 방어 기술력이 높아지고, 사이버 공격에 대비하기 위한 법과 조직체계가 잘 마련되어 있다.
최근 일본은 국가안보를 명분으로 내세워 반도체 생산에 필요한 핵심 소재의 수출을 규제하고 있다. 우리는 이 문제를 ‘강제징용 배상 판결문제’에 대한 사실상의 경제 보복조치로 간주하면서 반일 감정이 고조되고 있다. 그러나 감정적인 대응보다는 근본적인 문제를 들여다 볼 필요가 있다.
국내 기업들이 자체적으로 원천 핵심기술을 가지고 있었더라면 이러한 어려움을 겪지 않아도 되었을 것이다. 특히, 우리 경제의 아킬레스건이나 다름없는 반도체 산업의 소재 및 핵심 부품에 대해서는 다른 나라로부터 기술 이전을 받거나 공동 연구를 통해서라도 원천 핵심기술을 확보하고 있어야 했다. 이 시점에서 인정하고 깊이 반성해야 할 대목이다.
이번 사태는 우리에게 원천기술을 확보하고 기반산업을 육성해야 한다는 뼈아픈 교훈을 주고 있다. 이러한 교훈은 비단 소재·재료 분야에만 국한된 것이 아니다. 세계 각국은 자국의 선진 기술을 보호하기 위해 전략물자의 수출을 통제하고 있다. 이 전략물자에는 암호와 사이버보안 관련 기술도 포함된다. 이들은 억만금을 주겠다고 해도 얻어올 수 있는 기술도 아니고, 단기간에 확보할 수도 없다. 수많은 시행착오와 검증을 통해서 확보할 수 있는 기술이다.
최근 양자컴퓨터 시대를 맞이하여 암호에 대한 패러다임이 변화하고, 불확실성도 더욱 높아지고 있다. 기존의 슈퍼컴퓨터로는 10억 년 걸리는 소인수분해 문제풀이를 양자컴퓨터는 100초 만에 할 수 있다고 한다. 지금 우리가 사용하는 암호 중 대부분은 소인수분해를 기반으로 하기에 사태는 더욱 심각하다. 양자컴퓨터와 양자통신에 의해 우리가 사용하는 기존 암호체계가 붕괴된다면, 우리의 개인정보뿐만 아니라 외교·국방 등과 관련된 중요 기밀문서들까지 통째로 사이버 공간에 노출되어 국가안보에 치명적인 악영향을 미칠 것이다.
사이버 보안분야는 더욱 심각하다. 인공지능, 클라우드, 사물인터넷, 모바일 등 4차 산업혁명의 요소들은 안전성을 기반으로 하고 있다. 안전성이 담보되지 않은 상태에서 등장하는 혁신기술은 사상누각에 불과하다. 지금도 새로운 기술들이 쏟아져 나오고, 우리의 개인정보와 국가안보에 직결되는 주요 정보를 조합·분석하여 미래를 예측해내고 있다. 이러한 신기술을 가진 자들은 우리의 생각과 곧 발표될 정책을 미리 파악하면서 길목에 매복하고 있기 때문이다.
사이버 보안기술 분야에는 ‘2등’이 없다. 사이버 공간에서는 ‘1등 기술’만이 유효하다. 그러므로 항상 ‘1등’을 유지할 수 있도록 해야 한다. 우리의 기술이 ‘2등’이 되는 순간 우리의 취약점이 사이버 공간에 고스란히 노출될 것이고, 그러면 사이버 공간에서도 작금의 반도체 사태가 되풀이될 것이다. 이러한 핵심·원천 기술은 목소리를 높인다고 해서 단기간에 확보될 수 있는 것이 아니다. 법률적·제도적 뒷받침이 있어야 한다. 일회성으로 예산을 투입하고 단기적으로 연구개발을 수행해서는 일본을 절대 이길 수 없다.
세계 각국은 이미 국가안보와 관련하여 사이버 보안의 중요성을 인식하고 국가적 대응책을 법률로 제정해 관리해 나가고 있다. 미국, 일본, 중국은 물론, 베트남도 하고 있다. 그러나 정작 ‘IT 강국’임을 자부하는 우리나라는 하지 않고 있는 것이 현실이다. 일본은 2020년 도쿄 하계올림픽을 대비하여 이미 2014년에 ‘사이버시큐리티기본법’을 제정했다. 그러나 우리 한국은 2018년 평창 동계올림픽을 준비할 때 이런 법률적 장치를 마련하지 못했다. 결국, 러시아발로 추정되는 해커조직으로부터 사이버 공격을 당해 일부 경기 운영 시스템이 장애를 일으키기도 했다. 물론, 경기진행에 심각한 악영향을 미친 것은 아니지만 법률적 기반을 둔 일원화된 사이버 보안조직과 관리체계가 새삼 아쉬웠던 순간이었다.
▲국가보안기술연구소 조현숙 소장[사진=보안뉴스]
다행히도 지난 4월 ‘국가사이버안보전략’이 마련됨에 따라 이를 기반으로 추진동력이 갖춰졌다. 정부 각 부처에서도 이에 대한 이행방안을 마련하고 있다고 한다. 늦은 감은 있지만 ‘한국정보보호학회’에서도 일익을 담당하기 위하여 ‘정보보안 미래기술연구회’를 설립했으며, 이에 따라 관련 전문가들이 사이버보안의 미래를 밝히고자 한자리에 모였다. 이 연구회에서 기술 트렌드 뿐만 아니라 산‧학‧연 간의 협력과 정보 공유에 대한 여러 방안이 도출되리라 기대한다.
무엇보다 오늘은 제헌절이다. 대한민국 헌법은 법치주의를 표방하며 국가의 정책 추진도 법률에 의해 뒷받침되는 것이 바람직하다. ‘국가사이버안보전략’이 마련된 것은 다행한 일이지만 그 실제 이행을 위해 뒷받침하는 법률이 부족하다는 지적이 제기되고 있다. 예를 들어 ‘국가사이버안보전략’을 구체화하고 성실히 실행하기 위해 ‘국가 사이버안보 기본계획’과 ‘국가 사이버안보 시행계획’을 수립하여 추진하기로 되어 있다. 하지만 계획 수립에 관하여 법률에 근거가 마련되어 있지 않다. 따라서 연구회에서 도출된 결과물을 바탕으로 앞으로의 변화를 전망하고 기술발전 방향에 맞추어 우리 대한민국에 적합한 ‘국가사이버안보법’ 제정에도 힘을 써야 할 것이다.
[글_ 조현숙 국가보안기술연구소 소장]
올해 4월 마련된 ‘국가사이버안보전략’의 효과적인 이행 위한 법률적 근거 마련돼야
[보안뉴스= 조현숙 국가보안기술연구소 소장] “각국은 사이버 역량을 국가안보에 중요한 영향을 미치는 비대칭 전력으로 인식하여 (중략) 선진국과의 기술 격차를 해소하고 글로벌 시장을 선도할 혁신적인 원천기술 확보를 위해 사이버 보안 연구개발 예산을 대폭 확대한다.” (국가사이버안보전략 2019. 4)
[이미지=iclickart]
2004년 3월 1일. 사이버 공간에서는 ‘독도 영유권 문제’를 시작으로 한국과 일본 간에 ‘사이버 충돌’이 일어났다. 당시 국내 최대 커뮤니티였던 ‘디시인사이드’와 일본의 대표적인 혐한 커뮤니티인 ‘2ch’ 서버를 중심으로 이루어진 사이버 공격은 2010년 3.1절과 광복절까지 지속적으로 이루어졌다.
이후 이러한 사이버 충돌을 실시간으로 중계하는 게시판도 등장하고, ‘사이버 종군기자’의 해설과 진행상황에 대한 설명도 들을 수 있었다. 그리고 단순히 ‘F5’ 키를 계속 눌러 트래픽을 증가시키는 원시적인 ‘서비스 거부 공격(DDoS)’임에도 불구하고 워낙 많은 한국 네티즌이 참가했기에 일본의 서버가 한동안 서비스를 하지 못하는 사태도 발생했다. 이 같은 행위는 엄연히 ‘정보통신망법’으로 금지되어 있지만, 일본인들의 역사 인식이 바뀌기를 바라는 한국 네티즌들의 염원이 담긴 행동으로 여겨져 사회적으로 크게 비난받지 않았던 것이 사실이다. 그러나 지금의 일본은 사이버 방어 기술력이 높아지고, 사이버 공격에 대비하기 위한 법과 조직체계가 잘 마련되어 있다.
최근 일본은 국가안보를 명분으로 내세워 반도체 생산에 필요한 핵심 소재의 수출을 규제하고 있다. 우리는 이 문제를 ‘강제징용 배상 판결문제’에 대한 사실상의 경제 보복조치로 간주하면서 반일 감정이 고조되고 있다. 그러나 감정적인 대응보다는 근본적인 문제를 들여다 볼 필요가 있다.
국내 기업들이 자체적으로 원천 핵심기술을 가지고 있었더라면 이러한 어려움을 겪지 않아도 되었을 것이다. 특히, 우리 경제의 아킬레스건이나 다름없는 반도체 산업의 소재 및 핵심 부품에 대해서는 다른 나라로부터 기술 이전을 받거나 공동 연구를 통해서라도 원천 핵심기술을 확보하고 있어야 했다. 이 시점에서 인정하고 깊이 반성해야 할 대목이다.
이번 사태는 우리에게 원천기술을 확보하고 기반산업을 육성해야 한다는 뼈아픈 교훈을 주고 있다. 이러한 교훈은 비단 소재·재료 분야에만 국한된 것이 아니다. 세계 각국은 자국의 선진 기술을 보호하기 위해 전략물자의 수출을 통제하고 있다. 이 전략물자에는 암호와 사이버보안 관련 기술도 포함된다. 이들은 억만금을 주겠다고 해도 얻어올 수 있는 기술도 아니고, 단기간에 확보할 수도 없다. 수많은 시행착오와 검증을 통해서 확보할 수 있는 기술이다.
최근 양자컴퓨터 시대를 맞이하여 암호에 대한 패러다임이 변화하고, 불확실성도 더욱 높아지고 있다. 기존의 슈퍼컴퓨터로는 10억 년 걸리는 소인수분해 문제풀이를 양자컴퓨터는 100초 만에 할 수 있다고 한다. 지금 우리가 사용하는 암호 중 대부분은 소인수분해를 기반으로 하기에 사태는 더욱 심각하다. 양자컴퓨터와 양자통신에 의해 우리가 사용하는 기존 암호체계가 붕괴된다면, 우리의 개인정보뿐만 아니라 외교·국방 등과 관련된 중요 기밀문서들까지 통째로 사이버 공간에 노출되어 국가안보에 치명적인 악영향을 미칠 것이다.
사이버 보안분야는 더욱 심각하다. 인공지능, 클라우드, 사물인터넷, 모바일 등 4차 산업혁명의 요소들은 안전성을 기반으로 하고 있다. 안전성이 담보되지 않은 상태에서 등장하는 혁신기술은 사상누각에 불과하다. 지금도 새로운 기술들이 쏟아져 나오고, 우리의 개인정보와 국가안보에 직결되는 주요 정보를 조합·분석하여 미래를 예측해내고 있다. 이러한 신기술을 가진 자들은 우리의 생각과 곧 발표될 정책을 미리 파악하면서 길목에 매복하고 있기 때문이다.
사이버 보안기술 분야에는 ‘2등’이 없다. 사이버 공간에서는 ‘1등 기술’만이 유효하다. 그러므로 항상 ‘1등’을 유지할 수 있도록 해야 한다. 우리의 기술이 ‘2등’이 되는 순간 우리의 취약점이 사이버 공간에 고스란히 노출될 것이고, 그러면 사이버 공간에서도 작금의 반도체 사태가 되풀이될 것이다. 이러한 핵심·원천 기술은 목소리를 높인다고 해서 단기간에 확보될 수 있는 것이 아니다. 법률적·제도적 뒷받침이 있어야 한다. 일회성으로 예산을 투입하고 단기적으로 연구개발을 수행해서는 일본을 절대 이길 수 없다.
세계 각국은 이미 국가안보와 관련하여 사이버 보안의 중요성을 인식하고 국가적 대응책을 법률로 제정해 관리해 나가고 있다. 미국, 일본, 중국은 물론, 베트남도 하고 있다. 그러나 정작 ‘IT 강국’임을 자부하는 우리나라는 하지 않고 있는 것이 현실이다. 일본은 2020년 도쿄 하계올림픽을 대비하여 이미 2014년에 ‘사이버시큐리티기본법’을 제정했다. 그러나 우리 한국은 2018년 평창 동계올림픽을 준비할 때 이런 법률적 장치를 마련하지 못했다. 결국, 러시아발로 추정되는 해커조직으로부터 사이버 공격을 당해 일부 경기 운영 시스템이 장애를 일으키기도 했다. 물론, 경기진행에 심각한 악영향을 미친 것은 아니지만 법률적 기반을 둔 일원화된 사이버 보안조직과 관리체계가 새삼 아쉬웠던 순간이었다.
▲국가보안기술연구소 조현숙 소장[사진=보안뉴스]
다행히도 지난 4월 ‘국가사이버안보전략’이 마련됨에 따라 이를 기반으로 추진동력이 갖춰졌다. 정부 각 부처에서도 이에 대한 이행방안을 마련하고 있다고 한다. 늦은 감은 있지만 ‘한국정보보호학회’에서도 일익을 담당하기 위하여 ‘정보보안 미래기술연구회’를 설립했으며, 이에 따라 관련 전문가들이 사이버보안의 미래를 밝히고자 한자리에 모였다. 이 연구회에서 기술 트렌드 뿐만 아니라 산‧학‧연 간의 협력과 정보 공유에 대한 여러 방안이 도출되리라 기대한다.
무엇보다 오늘은 제헌절이다. 대한민국 헌법은 법치주의를 표방하며 국가의 정책 추진도 법률에 의해 뒷받침되는 것이 바람직하다. ‘국가사이버안보전략’이 마련된 것은 다행한 일이지만 그 실제 이행을 위해 뒷받침하는 법률이 부족하다는 지적이 제기되고 있다. 예를 들어 ‘국가사이버안보전략’을 구체화하고 성실히 실행하기 위해 ‘국가 사이버안보 기본계획’과 ‘국가 사이버안보 시행계획’을 수립하여 추진하기로 되어 있다. 하지만 계획 수립에 관하여 법률에 근거가 마련되어 있지 않다. 따라서 연구회에서 도출된 결과물을 바탕으로 앞으로의 변화를 전망하고 기술발전 방향에 맞추어 우리 대한민국에 적합한 ‘국가사이버안보법’ 제정에도 힘을 써야 할 것이다.
[글_ 조현숙 국가보안기술연구소 소장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
