[기고] 차기 정부에 바라는 사이버 보안 안전 국가

2300만명의 가입자를 보유하고 있는 SK텔레콤의 유심(USIM: Universal Subscriber Identity Module) 정보가 해킹되면서 온 나라가 떠들썩하다. 우리는 잊을만하면 대형 사이버 해킹사고가 반복적으로 발생하고 있는데, 근본적인 해결 방법은 없을까? 해답은 국가 사이버 보안 패러다임을 바꾸면 된다.

전통적인 사이버 보안은 업무망과 인터넷망 경계에 방화벽을 설치하는 방식(경계형 보안)이나, 인공지능(AI)과 해킹 기술의 발달로 경계형 보안방식은 더 이상 안전을 보장하지 못하고 있다.

챗GPT 등 AI를 활용한 업무가 확산하고, 외부 전문업체의 컴퓨터 서버를 이용하는 클라우드 환경의 확대와 사무실 밖에서 인터넷망을 통해 업무망에 접속해 업무를 수행하는 원격근무의 일상화로 인터넷을 통하지 않고는 업무를 수행하는 데 한계에 봉착하고 있다.

이러한 사이버 보안의 환경변화에 선진국들을 어떻게 대응하고 있을까?

미국은 기존의 경계형 사이버 보안 방식을 더 이상 신뢰할 수 없다고 판단하고, 2021년 5월 바이든 대통령 행정명령을 통해 모든 국가·공공기관에 제로트러스트(Zero Trust) 보안 도입을 의무화 했다.

제로트러스트 보안이란 '아무도 믿지 말고 검증하라'는 새로운 사이버 보안 모델로, 네트워크를 여러 조각으로 쪼개, 한 조각이 해킹을 당하더라도 다른 조각들로 확산하지 않도록 하고(microsegmentation), 네트워크에 접속한 후 인증하는 방식보다 먼저 인증한 후 접속을 허용(先인증 後접속)하고, 보안 프로세스를 소프트웨어 방식(Software Defined Perimeter:SDP)으로 구현해 해킹을 근본적으로 차단하는 새로운 사이버 보안 방식이다.

유럽, 일본, 중국 등 대부분의 국가들이 제로트러스트 보안체계로 전환하고 있다.

그러면 우리나라 정부는 어떻게 하고 있을까? 국가정보원은 국가·공공기관의 업무망을 인터넷과 물리적으로 분리하는 갈라파고스형 망분리정책을 2006부터 시행해 오다가, 2025년 1월 제로트러스트보안으로 전환하는 가이드라인을 공개했다.

과학기술정보통신부는 2023년 7월 제로트러스트보안 가이드라인을 공시하고, 2023년부터 매년 50억원 규모의 예산을 투입해 국가·공공기관과 민간기업들이 제로트러스트 보안으로 전환하는 실증사업을 3년째 지원하고 있다.

그러나 정부가 발표한 사이버 보안 정책이 정책구호에 그치지 않고 현장에서 사이버 보안 담당자(CISO:Chief Information Security Officer)들이 실행에 옮길 수 있도록 하려면 어떻게 해야 할까?

첫째, 국정원은 국정원법에 근거한 '국가정보보안기본지침'을, 과기정통부는 정보통신기반보호법에 근거한 '정보통신기반시설의 취약점 분석·평가 기준'을 개정해 국가·공공기관이 데이터의 중요도에 따라, 망분리 방식과 제로트러스트보안 방식을 자율적으로 선택 적용할 수 있도록 허용해야 한다.

둘째, 과기정통부만 지원하고 있는 제로트러스트보안 실증사업을 내년부터는 행안부와 국방부로 확대해 디지털 정부와 디지털 국방의 사이버 보안 패러다임 전환을 지원해야 한다. 특히 국방 분야는 한미 연합작전의 원활한 수행을 위해 미군이 채택하고 있는 제로트러스트보안 표준을 한국군도 충족해야 하는 상황이다.

셋째, 정부가 지원한 제로트러스트보안 실증사업의 축적된 경험과 노하우가 다른 수요기관·기업으로 전파될 수 있도록, 정부가 사이버 보안 전담기관(한국인터넷진흥원)을 통해 제로트러스트보안 교육사업을 병행 지원해, 제로트러스트보안을 국가·사회 전반으로 확산해야 한다.

마지막으로, 제로트러스트보안 모델로 전환하는 기관·기업들의 전환 비용 일부를 정부가 지원해 제로트러스트보안 확산의 마중물 역할을 할 필요가 있다.

차기 정부는 이러한 사이버보안 정책을 강력한 의지를 가지고 일관성있게 추진해 국가·공공기관과 민간기업의 사이버 공격에 대한 대응력을 강화하고, 국내 정보보호산업의 성장을 견인해, 국민들이 안심하고 살 수 있는 사이버보안 안전 국가를 만들어 주기 바란다.

서광현 한국제로트러스트보안협회 상근부회장 khseo67@mlsoft.com