[기고]자율 정보공유를 통한 기반시설 보호가 필요하다

올해 5월 마커스 자도트 미국 상무부 차관보는 미국 사이버 보안업체 14개사 관계자들과 함께 방한했다. 자도트 차관보는 `한·미 사이버보안 정책 및 비즈니스 교류` 회의에 참석, 사이버 보안의 중요성과 한국 사이버보안 이해 당사자와의 상호 협력에 대한 기대를 강조했다. 미국 상무부가 민간업체와 함께 우리나라를 찾아 공공과 민간 부문을 함께 만나 사이버 보안 분야 협력 추진에ㅗ 나선 것은 이번이 처음이다.

방문이 함축한 의미는 크게 두 가지다. 남중국해에서 영토 마찰 등 이해관계 충돌과 더불어 급증하고 있는 중국 사이버 위협에 대한 정책의 일환으로 판단된다. 둘째는 공공과 민간 부문을 함께 다룬다는 점이다. 이미 3년 전부터 매년 진행되고 있는 한·미 정보통신기술(ICT) 차관회의의 의제도 공공과 민간 부문을 함께 진행하고 있다. 사이버 보안뿐만 아니라 ICT의 많은 영역이 정부와 시장 양 측면에서 진행되고 있기 때문에 너무나도 당연한 현상이다.

지난해 미국 상무부는 산하 기관인 국립표준기술연구소(NIST)와 함께 2013년 버락 오바마 대통령이 발표한 `국가 주요 기반시설의 사이버 위협 대응 강화를 위한 행정명령(Improving Critical Infrastructure Cybersecurity Executive Order 13636)`에 따라 국가 주요 기반시설 대상의 사이버 위협 상황 발생 대응 활동을 정의한 `사이버보안 프레임워크(Framework for Improving Critical Infrastructure Cybersecurity)`를 개발, 미국 주요 시설 보호 방안 적응에 참고하는 정책 수단으로 사용하고 있다.

사이버보안 프레임워크는 프레임워크 코어(Framework Core), 프레임워크 구현(Framework Implementation Tiers), 프레임워크 프로파일(Framework Profile)로 구성됐다. 주요 기반시설 사이버보안 대응 프로세스 단계별 활동, 사이버보안 위험 관리 방식, 대응 방안 등을 포함한다.

이와 함께 민간 영역의 사이버보안 프레임워크 자발 도입 확산을 유도하기 위해 연방 보조금 지급, 우선 기술 지원, 사이버 보안사고 발생 시 배상책임 경감 등 인센티브 제공 세부 방안을 모색하고 있다.

사이버 공격에 따른 막대한 피해를 경험한 우리도 주요 사회 기반시설을 사이버 위협으로부터 안전하게 보호하기 위한 정책을 마련하고 있다. 기존의 정보통신기반 보호법을 보완해 주요 정보통신 기반시설 대상 취약점 분석·평가, 보호대책 수립과 이행 확인을 의무화하고 있다.

최근 자주 발생하는 대규모 개인 정보 유출 사고를 방지하기 위해 정보통신망법을 개정해 정보보호관리체계(ISMS) 인증 의무 대상 확대가 이뤄졌으며, 개인정보보호법 개정으로 개인 정보 관리를 지속해서 강화하고 있다.

그러나 미국과 같이 종합적이고 세부적인 사이버 보안 프로세스 체계 구축이 미흡한 것이 현실이다. 특히 민·관 공동 개발로 민간 영역에서 실제로 참고할 수 있는 위협 대응 체계, 표준, 관리지침 마련이 필요하다. 갈수록 지능화·고도화되고 있는 사이버 보안 위협에 대한 예방과 대응 체계를 강화하기 위해서는 사이버 위협 정보 공유를 통한 공동 대응 체계를 갖추는 것이 시급하다. 무엇보다도 관련 정부, 기업, 단체 등의 자발적이고 능동적인 참여가 중요하다.

이와 함께 차제에 정부는 2015년 12월 23일 개정한 정보통신기반보호법을 적극 시행해 주요 정보통신 기반시설의 특성에 맞게 분야별로 구축·운영하고 있는 정보공유·분석센터를 확산·장려하고, 정부 재정 지원을 통한 인센티브 제공 지원의 성공 사례를 창출하는 것이 바람직하다.

정보공유·분석센터는 분야별 주요 정보통신 기반 시설을 보호하기 위해 취약점 및 침해 요인과 그 대응 방안에 관한 정보 제공, 침해 사고가 발생하는 경우 실시간 경보·분석체계를 운영하도록 관련법에서 제시하고 있다.

이에 따라 정보공유·분석센터의 구축 장려를 통해 분야별로 자율적이면서 자발적 보호 활동이 이뤄지고, 기반 보호 체계를 규제 중심이 아닌 인센티브를 통한 민간 자율적 보호 중심으로 정보 공유가 이뤄질 수 있는 정책 및 제도가 마련돼야 한다.

사이버 보안은 이제 선택이 아닌 필수가 됐다. 특히 주요 정보통신 기반 시설에 대한 보안은 국가안보의 핵심이다. 우리나라도 핵심 기반 시설을 안전하게 보호하기 위해 국내 환경을 고려한 사이버 보안 종합 프레임워크를 마련할 시점이다.

김승건 한국정보통신진흥협회 본부장 trust@iti.or.kr