보안

[지방의정 DX2023] “기술이 가져다 주는 이익, 함께하는 위험도 대비해야”

이종현 기자
11월9일 경기도청에서 진행된 ‘지방의정 디지털 대전환(Local Government Dx) 2023’ 둘째날 행사에서 발표 중인 한국정보보호산업협회 정성환 상근부회장
11월9일 경기도청에서 진행된 ‘지방의정 디지털 대전환(Local Government Dx) 2023’ 둘째날 행사에서 발표 중인 한국정보보호산업협회 정성환 상근부회장

[디지털데일리 이종현기자] “세상에 두 종류의 사람이 있다고 한다. 해킹 당한 걸 알고 있는 사람과, 모르는 사람. 여러분은 이미 당했다.” (한국정보보호산업협회 정성환 상근부회장)

9일 한국정보보호산업협회(KISIA) 정성환 상근부회장은 경기도의회가 주최하고 경기도의회 정보화위원회, 디지털데일리가 주관한 ‘지방의정 디지털 대전환(Local Government Dx) 2023’ 콘퍼런스에 참가해 이같이 밝혔다.

KISIA는 정보보호산업법에 따라 운영되고 있는 법정법인이다. 정보보호와 관련한 실태조사 및 산업 동향 분석, 회원사들의 애로사항 해결 등에 힘쏟고 있다. 국내 사이버보안 기업들 대다수가 참여한 정보보호산업 대표 단체로, 정부와 협력해 정책 발굴 등에도 일조하고 있다.

공직에 몸을 담았던 정 부회장은 과학기술정보통신부(이하 과기정통부)의 전신인 미래창조과학부에서 정보보호담당관을 지낸 전문가다. 그는 경기도 내 공무원이 대거 참여한 이날 행사에서 정보보호, 정보보안, 사이버보안, 사이버안보 등 비슷하면서도 막연한 용어에 대한 풀이와 함께 최근 위협 동향 및 주의해야 할 사항 등을 공유했다.

정 부회장은 “용어부터 정리하자. 정보보호는 법률 용어다. 정보보호산업법, 개인정보보호법과 같이 법률이 있다. 보호해야 하는지를 기술할 때는 정보보호라는 단어를 쓴다. 정보보안어떻게에 초점을 맞춘다. 어떻게 공공 데이터를 지킬 것인가, 어떻게 해킹을 막을 것인가에 집중한다”고 설명했다.

이어서 “또 하나 비슷한 용어가 있다. 사이버안보사이버보안이다. 사이버안보는 정보보호와, 사이버보안은 정보보안과 닮았다. 다만 사이버안보는 국가라는 개념을 전제로 한다. 국가의 시스템을 지키기 위한 행위를 안보로, 그 외의 피싱이나 이메일 해킹, 랜섬웨어 등에 대응하는 것을 보안으로 정의할 수 있다”고 부연했다.

그는 공무원들이 특히 주의해야 할 것으로 국가정보원이 담당하는 정보보안, 개인정보보호위원회가 담당하는 개인정보보호를 꼽았다. 이중 국정원 보안규정은 시행령에 따른 사항이고 개인정보에 대한 관리는 개인정보보호법에 따라 처벌‧벌금이 부과될 수 있는 만큼 세밀한 주의가 필요하다고도 당부했다.

정 부회장은 “공무원들이 정보보안, 개인정보보호에 많은 노력을 기울이고 있지만 현실적으로 이를 탈취하려는 이들의 기술 수준이 너무 높다. 디지털 전환이 가속하는 가운데 공공이 보유하고 있는 데이터를 어떻게 지켜낼 것인지를 고민해야 한다”고 전했다.

대외 환경의 변화도 위협을 키우는 중이라고 꼬집었다. 실제 우크라이나 전쟁 이후 세계는 우크라이나를 지지하는 북대서양조약기구(NATO) 국가와 러시아‧중국 등 국가가 대립하는 ‘신냉전’ 시대로 접어들고 있다. 러시아와 중국은 높은 사이버작전 능력을 보유하고 있는 국가들인 만큼 곧 해킹과 같은 문제가 수면 위로 떠오를 수 있다는 우려다.

정 부회장은 “우크라이나-러시아 전쟁 때 포탄보다도 먼저 사이버공격이 먼저였다. 이스라엘-하마스 전쟁도 마찬가지다. 지방자치단체의 행정을 마비시키기 쉬운 방법은 분산서비스 거부(DDoS, 디도스) 공격과 같은 사이버공격일 것”이라며 보안에 대한 경각심을 키워야 한다고 주문했다.

특히 주목할 만한 변화로 제로 트러스트(Zero Trust)와 소프트웨어(SW) 공급망 보안을 꼽았다. 제로 트러스트는 네트워크 경계 중심의 보안 체제에서 경계뿐만 아니라 지속적인 인증 및 행위 모니터링 등을 하자는 보안 방법론이다.

정 부회장은 “공무원들은 다들 망분리된 환경에서 일하고 있는데, 이게 보안성은 높지만 불편하고 트렌드에도 맞지 않다. 도청 앞 문을 잘 막으면 된다고 하는 경계형 보안 방식에서, 이제는 아무 것도 믿지 말고 계속해서 검증하자는 것으로 바뀌고 있다”고 말했다.

SW 공급망보안의 필수 요소로 떠오르고 있는 소프트웨어 자재명세서(SBOM)에 대한 개념도 소개했다. 그는 “음료수 사면 제품 뒤에 나트륨 얼마, 당류 얼마 이런 영양성분 다 나오지 않나. 식약처에서 하는 건데, SW도 어떻게 구성됐는지 명세서를 만들자는 움직임이 미국을 시작으로 확산되고 있다. 우리나라도 국가정보원과 과기정통부가 추진 중”이라고 전했다.

정 부회장은 “디지털과 인공지능(AI)의 발전은 엄청난 이익을 가져다 준다. 그러나 한편으로는 그만큼 많은 위협 요소가 생겨난다고도 볼 수 있다”며 “기술이 가져다 주는 이익을 누리면서 위험에는 대비하는 방법을 고민을 해 주셨으면 하는 바람”이라고 피력했다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널