과기정통부의 정보보호정책관 폐지 움직임, 각계 반대 목소리에 한발 물러서
갤럭시S10과 갤럭시노트10에서의 지문인식 오류...업데이트 예고했지만 신뢰도 타격
명칭이 주는 의미 매우 커, 이번 조치 바로잡고 실장급 자리에 ‘정보보호’ 명칭 넣으면 어떨까
[보안뉴스 권 준 편집국장] 지난 한주는 정보보호 분야에서 두 가지 이슈 때문에 매우 시끄러웠고, 그 여진은 이번 주까지 계속될 듯 합니다. 하나는 정부에서 정보보호 분야를 총괄하던 과기정통부의 정보보호정책관 자리를 없애고, 신설되는 네트워크정책실 산하에 정보네트워크정책관으로 관련 업무를 이관시킨다는 과기정통부 직제 개정안이 알려지면서 불거졌습니다. 또 다른 하나는 갤럭시S10과 갤럭시노트10 등 세계 최대 스마트폰 제조사인 삼성전자의 최신 스마트폰에서 실리콘 케이스로 인해 발생한 지문인식 오류 때문이었죠. 우리나라 정보보호 관련 부처인 과기정통부와 최대 기업 삼성전자의 보안 이슈가 지난 한주를 뜨겁게 달군 셈입니다.
[이미지=iclickart]
본지에서 과기정통부 직제 개정 이후의 조직도를 구성해 문제의 심각성을 환기시킨 것을 시작으로, 산업계(한국정보보호산업협회)와 학계(한국정보보호학회), 그리고 실제 공공기관·기업에서 보안업무를 총괄하는 CISO들(한국정보보호최고책임자협의회)의 반대 목소리를 연이어 전달하면서 가장 뜨거운 이슈가 됐습니다. 급기야 국정감사를 통해 정치권의 반대 의견까지 잇따라 개진되자, 과기정통부가 조직의 명칭과 기능이 아직 확정되지 않았다며 한발 물러서는 모양새를 취하기는 했습니다만 아직 낙관하긴 이른 상황입니다.
다른 국가에선 정보보호(보안) 관련 정부부처가 신설되는 마당에 그나마 정부부처 국장급 자리에 남아 있던 ‘정보보호’라는 이름을 뺀다는 게 어떤 걸 의미하는 건지 정말 모르는 걸까요? 과거 ‘한국정보보호진흥원’이 한국인터넷진흥원으로 통합되고, 사이버안보 특별보좌관 자리가 없어졌으며, ‘사이버안보비서관’이 사이버정보비서관으로 통합된 데 이어 마지막 보루와도 같았던 정부부처의 ‘정보보호정책관’이라는 이름까지 없어진다면 정보보호 관련 정책이 힘 있게 추진될 수 있을지 의문입니다.
기업에게 CISO를 의무 지정토록 하고 겸임 금지까지 강제하면서 정작 정부부처에선 국장급 공무원에게 또 다른 업무까지 수행토록 하는 게 맞는 방향일까요? 이러한 가운데 네트워크 기획과 안전까지 포괄하게 되면 정보보호 담당 조직으로서의 위상과 그 역할 및 기능이 한층 강화될 수 있다는 과기정통부의 해명은 더더욱 설득력이 없어 보입니다.
이번 조치가 특히 우려스러운 건 과기정통부 최기영 장관의 향후 정책방향을 가늠할 수 있는 첫 번째 조치라는 점입니다. 인공지능(AI), 빅데이터, 자율주행차 등 4차 산업혁명 시대를 이끌 핵심기술의 기반 인프라와 경쟁력이 ‘정보보호’임에도 기술개발에 치중하면서 정작 보안은 소홀해지는 게 아니냐는 우려 때문입니다. 과기정통부의 해명처럼 정보보호 담당 조직으로서의 위상을 키우기 위해선 ‘정보보호’라는 이름을 지켜 나가야 합니다. 외려 실장급 자리에 ‘정보보호’ 또는 ‘보안’이라는 명칭을 넣는다면 과기정통부의 진정성이 전달되지 않을까 싶습니다.
이와 함께 전 세계 스마트폰 시장을 이끌어가고 있는 삼성전자의 최신 스마트폰인 갤럭시S10과 갤럭시노트10에 실리콘 케이스를 씌우면 등록된 지문이 아니어도 잠금이 풀리는 보안 취약점이 발견된 사건도 있었습니다. 더욱이 해당 기종은 삼성페이나 은행 어플리케이션 등에서 지문인식을 본인인증 수단으로 사용하고 있기 때문에 스마트폰의 지문인식 취약점은 적지 않은 파장을 불러일으키고 있습니다.
그나마 다행스러운 건 삼성전자에서 이번 주 내로 패치를 내놓을 것이라고 발표했다는 점입니다만, 문제는 왜 언론에서 잇따라 문제를 제기한 후에야 해당 취약점을 인정하고, 뒤늦게 조치를 취하고 있느냐는 건데요. 국내 한 사용자가 해당 보안 이슈를 발견하고, 지난 9월에 이미 삼성전자에 처음 문제를 제기했음에도 아직 해결되지 않았다는 점에서 문제의 심각성을 제대로 인식하지 못했거나 고의로 숨겨왔을 가능성도 있다는 비판이 제기되고 있는 상황입니다. 우리나라를 대표하는 글로벌 기업의 대응으로는 실망스러울 수밖에 없는데요. 무엇보다 취약점을 찾아 제보하면 포상금을 주는 버그바운티 제도도 운영하는 삼성전자로서는 좀더 신속하게 조치를 취할 수 있었지 않았느냐는 아쉬움이 큽니다. 전 세계적인 이슈가 돼 신뢰도에 타격을 입기 전에 말이죠.
어떤 기업·제품이라도 보안이슈가 발생할 수밖에 없는 환경에서 기업의 신뢰 및 이미지 훼손을 최소화하기 위해선 결국 얼마나 신속하고 정직하게 대응하느냐에 달려 있기 때문입니다. 이런 측면에서는 과기정통부의 이번 직제 개편안도 마찬가지입니다. 오히려 이번 논란을 계기로 ‘정보보호’라는 명칭이 주는 의미와 중요성이 다시 한번 각인됐으면 합니다. “아직 결정된 바 없고, 지적하신 바를 충분히 고려하여 다시 논의하겠다”는 최기영 장관님의 국정감사 답변처럼 충분한 논의를 통해 잘못한 판단을 바로잡을 수 있는 용기를 내주셨으면 하는 바램입니다. 정부부처마저 ‘정보보호’의 이름이 사라지거나 낮춰진다면 우리나라 정보보호 수준도 낮아질 수밖에 없기 때문입니다.
[글_ 권 준 보안뉴스/시큐리티월드 편집국장(editor@boannews.com)]
갤럭시S10과 갤럭시노트10에서의 지문인식 오류...업데이트 예고했지만 신뢰도 타격
명칭이 주는 의미 매우 커, 이번 조치 바로잡고 실장급 자리에 ‘정보보호’ 명칭 넣으면 어떨까
[보안뉴스 권 준 편집국장] 지난 한주는 정보보호 분야에서 두 가지 이슈 때문에 매우 시끄러웠고, 그 여진은 이번 주까지 계속될 듯 합니다. 하나는 정부에서 정보보호 분야를 총괄하던 과기정통부의 정보보호정책관 자리를 없애고, 신설되는 네트워크정책실 산하에 정보네트워크정책관으로 관련 업무를 이관시킨다는 과기정통부 직제 개정안이 알려지면서 불거졌습니다. 또 다른 하나는 갤럭시S10과 갤럭시노트10 등 세계 최대 스마트폰 제조사인 삼성전자의 최신 스마트폰에서 실리콘 케이스로 인해 발생한 지문인식 오류 때문이었죠. 우리나라 정보보호 관련 부처인 과기정통부와 최대 기업 삼성전자의 보안 이슈가 지난 한주를 뜨겁게 달군 셈입니다.
[이미지=iclickart]
본지에서 과기정통부 직제 개정 이후의 조직도를 구성해 문제의 심각성을 환기시킨 것을 시작으로, 산업계(한국정보보호산업협회)와 학계(한국정보보호학회), 그리고 실제 공공기관·기업에서 보안업무를 총괄하는 CISO들(한국정보보호최고책임자협의회)의 반대 목소리를 연이어 전달하면서 가장 뜨거운 이슈가 됐습니다. 급기야 국정감사를 통해 정치권의 반대 의견까지 잇따라 개진되자, 과기정통부가 조직의 명칭과 기능이 아직 확정되지 않았다며 한발 물러서는 모양새를 취하기는 했습니다만 아직 낙관하긴 이른 상황입니다.
다른 국가에선 정보보호(보안) 관련 정부부처가 신설되는 마당에 그나마 정부부처 국장급 자리에 남아 있던 ‘정보보호’라는 이름을 뺀다는 게 어떤 걸 의미하는 건지 정말 모르는 걸까요? 과거 ‘한국정보보호진흥원’이 한국인터넷진흥원으로 통합되고, 사이버안보 특별보좌관 자리가 없어졌으며, ‘사이버안보비서관’이 사이버정보비서관으로 통합된 데 이어 마지막 보루와도 같았던 정부부처의 ‘정보보호정책관’이라는 이름까지 없어진다면 정보보호 관련 정책이 힘 있게 추진될 수 있을지 의문입니다.
기업에게 CISO를 의무 지정토록 하고 겸임 금지까지 강제하면서 정작 정부부처에선 국장급 공무원에게 또 다른 업무까지 수행토록 하는 게 맞는 방향일까요? 이러한 가운데 네트워크 기획과 안전까지 포괄하게 되면 정보보호 담당 조직으로서의 위상과 그 역할 및 기능이 한층 강화될 수 있다는 과기정통부의 해명은 더더욱 설득력이 없어 보입니다.
이번 조치가 특히 우려스러운 건 과기정통부 최기영 장관의 향후 정책방향을 가늠할 수 있는 첫 번째 조치라는 점입니다. 인공지능(AI), 빅데이터, 자율주행차 등 4차 산업혁명 시대를 이끌 핵심기술의 기반 인프라와 경쟁력이 ‘정보보호’임에도 기술개발에 치중하면서 정작 보안은 소홀해지는 게 아니냐는 우려 때문입니다. 과기정통부의 해명처럼 정보보호 담당 조직으로서의 위상을 키우기 위해선 ‘정보보호’라는 이름을 지켜 나가야 합니다. 외려 실장급 자리에 ‘정보보호’ 또는 ‘보안’이라는 명칭을 넣는다면 과기정통부의 진정성이 전달되지 않을까 싶습니다.
이와 함께 전 세계 스마트폰 시장을 이끌어가고 있는 삼성전자의 최신 스마트폰인 갤럭시S10과 갤럭시노트10에 실리콘 케이스를 씌우면 등록된 지문이 아니어도 잠금이 풀리는 보안 취약점이 발견된 사건도 있었습니다. 더욱이 해당 기종은 삼성페이나 은행 어플리케이션 등에서 지문인식을 본인인증 수단으로 사용하고 있기 때문에 스마트폰의 지문인식 취약점은 적지 않은 파장을 불러일으키고 있습니다.
그나마 다행스러운 건 삼성전자에서 이번 주 내로 패치를 내놓을 것이라고 발표했다는 점입니다만, 문제는 왜 언론에서 잇따라 문제를 제기한 후에야 해당 취약점을 인정하고, 뒤늦게 조치를 취하고 있느냐는 건데요. 국내 한 사용자가 해당 보안 이슈를 발견하고, 지난 9월에 이미 삼성전자에 처음 문제를 제기했음에도 아직 해결되지 않았다는 점에서 문제의 심각성을 제대로 인식하지 못했거나 고의로 숨겨왔을 가능성도 있다는 비판이 제기되고 있는 상황입니다. 우리나라를 대표하는 글로벌 기업의 대응으로는 실망스러울 수밖에 없는데요. 무엇보다 취약점을 찾아 제보하면 포상금을 주는 버그바운티 제도도 운영하는 삼성전자로서는 좀더 신속하게 조치를 취할 수 있었지 않았느냐는 아쉬움이 큽니다. 전 세계적인 이슈가 돼 신뢰도에 타격을 입기 전에 말이죠.
어떤 기업·제품이라도 보안이슈가 발생할 수밖에 없는 환경에서 기업의 신뢰 및 이미지 훼손을 최소화하기 위해선 결국 얼마나 신속하고 정직하게 대응하느냐에 달려 있기 때문입니다. 이런 측면에서는 과기정통부의 이번 직제 개편안도 마찬가지입니다. 오히려 이번 논란을 계기로 ‘정보보호’라는 명칭이 주는 의미와 중요성이 다시 한번 각인됐으면 합니다. “아직 결정된 바 없고, 지적하신 바를 충분히 고려하여 다시 논의하겠다”는 최기영 장관님의 국정감사 답변처럼 충분한 논의를 통해 잘못한 판단을 바로잡을 수 있는 용기를 내주셨으면 하는 바램입니다. 정부부처마저 ‘정보보호’의 이름이 사라지거나 낮춰진다면 우리나라 정보보호 수준도 낮아질 수밖에 없기 때문입니다.
[글_ 권 준 보안뉴스/시큐리티월드 편집국장(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
