<기고> 이득춘 이글루시큐리티 대표

행정안전부 등 8개 정부부처가 공동으로 매년 7월을 ‘정보보호의 달’로 정하고 7월 둘째 주 수요일은 ‘정보보호의 날’로 제정했다.

특정한 달을 하나의 주제로 기념하는 것이 흔치 않은 일인데 그만큼 정보보호에 대한 인식이 일반 대중 사이에 널리 확산됐고, 보안의 중요성이 커졌음을 의미한다. 이러한 성과는 무엇보다 국가사이버안전센터(NCSC)와 행정안전부, 한국인터넷진흥원 등의 국가 기관과 정보보안업체들의 지속적인 노력이 있어 가능한 일이었다.

그럼에도 불구하고 우리 나라의 보안에 대한 인식 수준은 아직 선진국과 비교해 낮은 편이고 투자 역시 많이 부족한 편이다. 최근 금융권과 포털, 게임업계에서 발생한 대형 정보 유출사고를 비롯해 북한의 분산서비스거부(DDoS) 공격 등은 아직도 우리 나라가 보안 위협에 언제든 노출될 수 있음을 경고하고 있다.

더구나 단순한 자기 과시 혹은 금전적 이득을 목적으로 하는 사이버 공격이 아닌 국가 차원의 사이버 전쟁이 더욱 현실화 되고 있는 상황에서 국가 차원의 정보보안 체계 확립은 그 중요성을 아무리 강조해도 지나치지 않는다. 따라서 현재의 국가 보안 수준을 한 차원 끌어올리고 머지 않은 미래의 사이버 전쟁을 철저히 대비하기 위해 아래와 같은 사항들이 추진될 필요가 있다.

인프라 및 제도 확충

우리 나라의 IT 인프라 수준은 전세계 어디에 내놓아도 뒤처지지 않을 만큼 뛰어나다. 그만큼 IT 인프라 확충에 대한 정부의 의지가 강했고, 제도적인 뒷받침 역시 훌륭했다. 다만 상대적으로 국내 정보보안 관련 인프라와 제도는 이제 막 태동기를 거쳐 본격적인 성장기에 접어들었을 뿐이다. 정보보안 인프라와 제도에 대한 정부의 강력한 의지가 필요한 시점이다.

가장 먼저 전문 보안 인력 양성을 위한 노력이 필요하다. 고등학교와 대학 내의 정보보안학과의 설치를 늘려 고급 인력을 꾸준히 배출하고, 정보보안관련 전문 역량 계발을 지속하고 졸업 후 현장에 투입될 수 있도록 군 특기병 및 병역특례 제도를 폭넓게 제공함으로써 경력확보의 기회를 제공하는 것도 좋은 방법이 될 수 있다.

또한 우수한 정보보안 기술의 확보를 위해 유망 중소기업과 벤처기업 등을 적극 지원하고, 보안 인력에 대한 지속적인 교육 프로그램 및 원활한 정보 공유 체계를 확립하는 것이 필요하다.

정보보안 컨트롤타워 역할강화

미국은 지난 2009년에 사이버안보를 중요한 정책 분야로 결정했다. 특히 지난해 미 행정부는 사이버 분야가 새로운 분쟁 영역이 될 수 있음을 인식하고 그에 대한 준비를 착실히 진행해 왔다.

2010년 이란 핵시설을 겨냥한 ‘스턱스넷’과 중동을 겨냥한 ‘플레임’ 바이러스가 미국과 이스라엘의 합작품이라는 증언까지 나왔으며 2012년부터는 ‘인포메이션 워페어(Information Warfare, 정보전)’가 핵심 기술 트렌드로 언급될 정도로 사이버전쟁이 수면 위로 급부상하고 있다.

우리나라의 경우 국정원 산하의 국가사이버안전센터(NCSC)가 사이버안보에 대한 컨트롤타워 역할을 어느 정도 수행해 왔지만, 세계 정세가 급변하고 북한의 사이버공격이 증가하면서 사이버안보 컨트롤타워의 역할강화 필요성이 높아지고 있다.

특히 민간과 공공을 포괄적으로 아우르는 체계적인 사이버안보 컨트롤타워가 필요한데, 이는 민간 부문에 대한 사이버공격 역시 막대한 국가적 차원의 손실로 이어질 수 있기 때문이다.

국민의 보안인식 고취

정부의 의지가 아무리 강력해도 국민의 보안 의식이 이를 따라오지 못하면 모든 노력이 무용지물일 수 밖에 없다. 최근 발생한 각종 보안 사고들도 결국은 보안 시스템보다 개인의 부주의가 사고의 원인이었던 점을 감안하면 개인의 확고한 보안 의식과 생활화가 그 어떠한 보안 시스템보다 중요하다는 것을 알 수 있다.

우선 국민의 보안 인식 고취를 위해 이번에 제정된 ‘정보보호의 달’을 적극 알리고, 보안 수칙 등을 제정해 널리 홍보하는 방안이 필요하다.

또한 얼마 전 실시한 ‘정전대비 전력 위기대응훈련’이 절전에 대한 국민의 인식을 한층 높이는 계기가 됐듯이 국민의 사이버보안 인식을 높일 수 있는 ‘사이버민방위 훈련’의 도입이나 범국민적인 참여를 유도할 수 있는 정보보호 행사의 주최를 검토해 볼 필요가 있다. 학교와 기업 등에서도 일반인의 눈높이에 맞춘 보안 교육 역시 더욱 확대해 나가는 것이 바람직하다.

앞서 말했듯이 정보보호의 달 지정은 묵묵히 우리의 사이버영역을 지켜온 많은 사람들의 노력이 일궈낸 값진 결과물이다. 하지만 사이버공격기술이나 위협 역시 발 빠르게 진화해 온 만큼 여기에서 만족하기엔 이르다.

어렵게 제정된 정보보호의 달이 그 의미를 더욱 빛낼 수 있게 이번 달을 국가 정보보안 체계를 강화하는 계기로 삼길 희망한다.