[디지털데일리 최민지기자] 올해로 12회째를 맞은 <디지털데일리> 주최 ‘차세대 기업보안 세미나·전시회(NES2017)’가 20일 쉐라톤 서울 디큐브시티 호텔 그랜드볼룸에서 성황리에 개막했다.

국내 주요 기업의 보안 담당자및 관련업계 보안 담당자 350여명이 참석한 이번 NES에서는 인공지능(AI), 사물인터넷(IoT), 클라우드, 빅데이터 등을 통해 지능정보시대로 변화하면서 우려되는 각종 보안 위협 사례와 이에 대처할 수 있는 최신 보안 전략 및 솔루션들이 소개됐다.

최근 4차 산업혁명이 대두되면서 산업 전반에 혁신의 바람이 불고 있다. AI에 대한 연구개발과 산업분야에 도입하기 위한 대책이 쏟아지고 있고 빅데이터, IoT, 클라우드 등도 실제 적용 단계에 들어서고 있다. 기술의 대변혁은 생활과 산업 전반에 편의성을 불러일으키고 신규 비즈니스 기회 창출을 가져왔으나, 정보보호 측면에서 보안위협은 더욱 커졌다.

이미 악성코드가 감염된 차량진단 앱으로 자동차를 원격제어하고, 공장 제어시스템을 해킹으로 파괴시켜 제품 생산이 마비된 사례가 발견됐다. 홈서버에 침투해 가스밸브를 원격 개방한 사건도 미국에서 발생한 바 있다. 이제 사이버공격은 단순히 개인정보·기밀 유출 수준을 넘어 실제 생활 속에서 생명과 사회기반을 공격할 수 있는 단계에 이를 전망이다.

이날 NES 2017에서는 이러한 보안이슈와 정책 및 대응 방안에 대해 살펴보고, 진보된 차세대 보안 기술과 현황에 대해 공유할 수 있는 장을 마련했다.

◆“달콤한 열매 누리려면 새로운 정보보호 전략 추진해야”=송정수 미래창조과학부 정보보호정책관(국장)은 축사를 통해 “정보통신기술(ICT) 신기술이 경제·사회 전반에 확산되면서 지능정보사회로 변하고 있고 경이로운 편리함을 주고 있지만, 이면에는 고도화된 위협도 함께 가져오고 있다”고 지적했다.

이어 “교육, 금융, 의료 등 전분야에서 지능화된 위협이 나타나며 피해 규모도 확대될 것”이라며 “충분히 대비하지 않는다면 지능정보사회로의 도약에 심각한 위기가 나타날 것이며, 지능정보사회의 달콤한 열매를 누리고 글로벌 사회를 선도하기 위해 새로운 정보보호 전략을 추진해야 한다”고 강조했다.

이와 관련 정부는 지난해 12월 ‘제4차 산업혁명에 대응한 지능정보사회 중장기 종합대책’을 확정하고, 사이버 위협과 AI 오작동 등 역기능에 대응하는 내용을 포함시켰다.

주요 내용을 살펴보면 ▲보안 내재화 고신뢰 네트워크 구축 ▲해킹 원천 차단 양자암호통신 단계적 도입 ▲기계 학습 가능한 데이터 기반 구축 ▲비식별화 지원 및 데이터 결합 등을 통한 안전한 데이터 유통·활용 촉진 등이다.

또한, 사이버보안 빅데이터 센터를 구축해 지능형 자율방어체계를 실현하고 사물 식별·인증체계를 개발해 다양한 AI 기기로 인증대상을 확대한다. 설계 때부터 보안성이 확보될 수 있도록 지능정보 소프트웨어 안정성 평가체계도 마련한다. 해킹과 오작동 등 기술적 위협에 효과적으로 대비해 사회 불안감을 해소하겠다는 방침이다.

송 국장은 “교통·의료·에너지 등 다양한 산업과의 융합 확산 속에서 안전한 지능정보사회를 만들 수 있도록 함께 노력해주기를 바란다”며 “정보보호산업이 외부 공격에 방어하는 것을 넘어 다양한 산업과 신뢰를 쌓고 혁신을 이뤄야 한다”고 제언했다.

또 “새로운 보안 위협도 선제적으로 대응할 수 있다면 정보보호산업의 새로운 희망이자 기회로 작용할 수 있다”고 덧붙였다.

◆지능정보사회 보안준비, 네 박자 갖춰야=이날 기조연설에 나선 손경호 한국인터넷진흥원 보안산업단장은 지능정보사회에 대응하기 위한 보안 준비를 하려면 ▲인력 ▲산업 ▲기술개발 ▲정부 차원에서 접근하는 노력이 필요하다고 밝혔다.

우선, 보안 엔지니어와 시큐리티 아키텍처 관련 인력을 확보해야 한다. 향후 보안사고, 위협·취약점 정보, 공격자 프로파일링 등 정보를 수집하고 취약점을 진단해 긴급 대응하는 분야는 AI와 자동화 시스템 등을 통해 일정 부분 대체할 수 있다.

손 단장은 “보안 엔지니어와 시큐리티 아키텍처를 담당할 수 있는 인력에 주목해야 한다”며 “이들은 산업계에 가장 필요하고 중요한 요소로, 유망한 인력으로 부상할 것”이라고 전망했다.

기존 보안기업들도 방향성 전환을 꾀해야 한다. 기존 보안기업들은 대체로 전산업 분야를 대상으로 정보보안 제품을 판매하고 있지만, 이제는 선택과 집중의 전략을 구사해야 한다. 주력 산업과 제품에 보안기능을 내재화해 산업별 전문보안기업으로 발전해야 한다는 것이다.

이와 함께 설계 단계부터 제품과 기술에 보안정책이 담길 수 있도록 해야 한다. 제품 개발 때 보안기능을 같이 접목할 수 있도록 ‘시큐리티 바이 디자인(Security by Design)’을 진행해야 한다. 보안(Security)과 안전(Safety)를 모두 충족시킬 수 있는 모델과 위협 모델링도 구축해야 한다.

정부는 공유·협업체계를 강화해야 한다. 능동적 탐지 및 대응 체계를 마련하고, 정보공유 활성화 및 제품 취약점 관리체계를 준비해야 한다. 규제 주심의 수동적 모호를 탈피해 기업과 기관의 책임을 강화하는 선자율, 후책임 원칙을 확산하자는 의견도 제기됐다. 이 외에도 AI 연구개발 지침과 역기능 대응을 위한 민·관 공동 협의체를 운영하는 역할도 해야 한다.

손 단장은 “공공과 민간의 모든 이해 관계자들이 머리를 맞대고 사이버보안 기술개발과 이를 뒷받침할 정책을 마련하는 등 각고의 노력을 경주해야 한다”며 “민간과 공공, 각 산업영역별 구분 없이 횡단적인 보안정책이 수립돼야 한다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr