[데스크가 만났습니다]김석환 KISA 원장 "침해·대응 훈련, 충격요법 동원해 취약한 보안의식 잡겠다"

[데스크가 만났습니다]김석환 KISA 원장 "침해·대응 훈련, 충격요법 동원해 취약한 보안의식 잡겠다"

한국 민간 사이버보안을 총괄하는 한국인터넷진흥원(KISA)은 2년 전 새 수장을 만났다. 30여년 기자로 부산 지역 사건·사고 현장을 누빈 김석환 KISA 원장이다. 김 원장은 취임사에서 “예측과 투자를 통한 선제적 예방이 KISA가 해야 할 공적인 서비스”라고 강조했다. 지역균형발전과 사이버보안 강화라는 두 가지 목표를 달성하기 위해 '충격요법'을 썼다. '핵(Hack) 더 챌린지' '캐치더플래그(CTF)' 등 대회를 열어 실제 공격과 방어를 경험했다. 사회 보안 수준은 가장 약한 곳의 보안 수준이라고 믿는다.

KISA는 올해 창립 10주년을 맞았다. 20년간 사이버보안은 4차 산업혁명 물결과 함께 국가 주요 영역으로 성장했다. 스마트시티, 스마트팩토리 등 지능화 바람이 부는 가운데 설계 초기 단계부터 보안을 고려하지 않으면 안 된다. 이를 설득하고 반영하는 역할이 KISA 몫이다. 선제 대응한 덕에 드론 보안 가이드라인, 시큐리티짐 구축, 융합보안단과 데이터기술지원허브 출범 등 굵직한 사업이 추진됐다.

보안 생태계 조성을 위해 '원스톱' 지원 체계도 마련했다. 성남 판교 정보보호클러스터에 입주한 스타트업은 업무 공간부터 한국거래소 상장까지 한 번에 지원받을 수 있다.

김인순 SW융합산업부장(왼쪽)이 김석환 KISA 원장을 만났다. 이동근기자 foto@etnews.com
김인순 SW융합산업부장(왼쪽)이 김석환 KISA 원장을 만났다. 이동근기자 foto@etnews.com

대담=김인순 SW융합산업부장

◇융합보안단, 사각지대 이슈에 선제 대응

취임 2년이 지났다. 지난 2월 융합보안단이 예산 없이 출범했다. KISA에 융합보안과 관련된 문의가 온다. 드론 보안 가이드라인이 대표적 예다. KISA가 법적 사각지대에 있는 이슈에 선제 대응했다.

사이버침해대응은 인공지능(AI) 기반으로 효율성을 높였다. 사람이 하루에 40건 대응한다면 AI는 4000건 대응한다. 100배다. 사람은 더 가치 있고 심층적인 부분에 집중할 수 있다.

체감할 수 있는 성과는 전자문서다. 지난해 KISA가 설득하러 다녔다면 올해는 응모받아 심사하는 수준으로 성장했다. 제1호 규제샌드박스에 전자문서가 오를 정도로 활성화됐다. 국민연금은 상반기 고지서 500만건을 모바일로 보냈다. 반송률과 비용이 획기적으로 줄었다. 상반기 예산 11억원을 절감했다.

지역균형발전을 위해 지역정보보호센터를 올해 8군데에서 내년 10군데까지 늘린다. 융합보안대학원은 올해 3군데 신설 지원했고 내년 5군데 지원한다. 사이버침해·대응 훈련장인 성남 판교 '시큐리티짐'은 연말까지 온라인화하고 각 지역에서 접속해 교육과 훈련을 할 수 있게 한다. 내년부터 지역 연구소에서도 이를 활용할 수 있게 한다.

김석환 KISA 원장 이동근기자 foto@etnews.com
김석환 KISA 원장 이동근기자 foto@etnews.com

◇전문성 토대로 지역사회 기여

지역사회 사이버안전망 구축은 중요한 문제다. 해킹 피해를 입는 중소기업 80%가 지역에 있다. 지역 기업은 당하면서 조치도 못한다. 더 큰 문제는 이들 기업을 통해 지역 전략산업이 위협 받는다는 점이다. 현재로선 지역 사이버안전센터를 통해 안전망을 확대한다.

각 지역에서 KISA에 지원 요청하면 적극 협조한다. 블록체인 규제자유특구로 지정된 부산에는 직원을 파견해 전문성을 지원한다. AI 특구인 광주에는 오염되지 않은 데이터 제공과 비식별 처리 등 전반적인 보안 사항을, 디지털 헬스케어 특화 사업을 추진 중인 원주에는 지역 연계 사업과 관련한 부분을 보태고 있다.

◇역할 지대하지만 독자 추진에 한계

KISA는 매우 중요한 역할을 하지만, 독자적 사업 추진에 제도상 한계가 있다. 사물인터넷(IoT)은 검색엔진 '쇼단'에서 닷케이알(.kr)로 검색하면 1800만건 나온다. KISA는 3년간 IoT 취약점 탐지 시스템을 개발했다. 하지만 특정 단말이 보안에 취약해 개선해달라고 요구하지 못한다. 이게 불법이다. 일본은 이런 문제를 해결하려고 5년 한시적으로 특별법을 만들었다.

KISA는 IoT 보안인증제를 운영하는 수준이다. 인증 수수료를 무료로 하고 보안 등급을 세분화해 인증을 쉽게 받도록 하는 정도다. 부산 스마트시티 사업은 협의를 통해 양자내성암호(PQC) 기능이 있는 IoT 기기를 사용하자고 했다.

대학교 17곳에 대한 ISMS 불이행 과태료 부과도 지난 14일 겨우 이뤄졌다. 3년 걸렸다. 법에 명확하게 규정돼 있고 다른 대학과 형평성 문제도 있는데 간단치 않았다. 기술 발달에 미치지 못하는 ICT 법제화가 빨리 풀렸으면 한다. 개인정보 이슈만 하더라도 초동 수사권이 없어 피해 방지에 많은 어려움을 겪는다.

김석환 KISA 원장 이동근기자 foto@etnews.com
김석환 KISA 원장 이동근기자 foto@etnews.com

◇비식별 수요 대비한 데이터기술지원허브

KISA에 데이터기술지원허브가 있다. 작년 초만 하더라도 데이터 이용과 보호 진영은 한자리에서 회의도 안 했다. 비식별조치를 어느 정도 해야 실질적 복원을 어렵게 하면서 경제적 유용성을 담보할 수 있을 것인지 고민했다. 추상적 담론 말고 기술적 절충점을 찾아보자 해서 '캐치더플래그(CTF)' 대회를 만들었다. 한쪽에선 비식별처리하고 한쪽에선 복원한다. 작년에 15개 팀이 참여했는데 올해 43개 팀으로 대폭 늘었다.

작년 말 해커톤을 통해 개인정보보호법이 통과될 것으로 보고 데이터기술지원허브를 만들었다. 법 통과 즉시 이용 가능하도록 준비했다. 연간 4만8000건 비식별 수요, 5000건 정도 결합 수요가 있을 것으로 봤다. 지난 1년간 법 통과에 대비해 필요한 교육을 해 왔다. 법 발효와 실제 이용 간 격차를 최소화하는 건 공공기관 역할이다.

◇정보보호 수준, 가장 취약한 지역부터

가장 취약한 곳의 보안 수준이 그 사회의 보안 수준이다. 사이버보안 순위에서 한국은 60개국 중 39위다. ICT 인프라는 매우 잘 돼 있지만, 보안 의식은 취약하다. 공격자에게 매우 좋은 환경이다.

상반기 을지훈련에서 2만5000명이 참여하는 사상 최대 사이버훈련을 했다. 사전통보 없이 서버 용량을 초과하는 정도의 침해·대응 훈련을 했다. 하반기는 발전소가 주제였다. 정작 검증하려고 했던 발전소 협력사 중에는 훈련에 참여하겠다고 하는 곳이 없었다. 평창 동계올림픽도 개막식 전 협력사에서 문제가 발행했는데 대형 사고는 대부분 협력사에서 생긴다.

국가 정보보호 연구개발(R&D) 예산이 작년 617억원, 올해 619억원이다. 구글은 한 기업이 1년에 10억달러(약 1조1800억원)를 정보보호에 쓴다. 정보보호 예산을 가장 효과적으로 쓰는 방법은 침해·대응 훈련, 버그바운티 같은 거다. 한국은 아직 이것조차 부담스러워 하는 분위기다. 미국은 지난 1년간 카운티를 겨냥한 랜섬웨어 공격이 우후죽순 발생했다. 공격이 아니라 마비 수준이다. 한국은 더 문제가 될 수 있다. 군소 지자체에 정보보호책임자가 없다. 형식적으로 있더라도 전문성은 없다. 미국은 지자체가 연결돼 있지 않지만 한국은 하나의 전자정부로 연결돼 있다. 공적 영역 보안을 이제 점검해야 한다.

김석환 KISA 원장 이동근기자 foto@etnews.com
김석환 KISA 원장 이동근기자 foto@etnews.com

◇전문성만큼 중요한 건 태도

전문성은 일을 해내기 위한 최소한의 필요조건이지 충분조건은 아니다. 이걸 채워주는 게 태도다. KISA 구성원은 태도 면에서도 준비가 돼 있다. 올해 '핵 더 챌린지(취약점 발굴 대회)'는 다섯 개 부문으로 늘렸다. 내년에는 판을 더 키운다. 이런 충격요법으로 보안 인식을 높이는 데 기여한다.

공공사업은 '시큐리티 바이 디자인'(설계 초기부터 보안을 고려)이 안 되면 '애드온'(사후 추가)으로 안 된다고 따라 다니면서 알린다. 편리한 세상은 안전이 담보되지 않으면 악몽이다. 보안은 뒷단이라 생색도 안 나지만 결국 해결해야 하는 문제다.

◇'원스톱' 지원으로 정보보호 생태계 조성

판교 정보보호클러스터는 평당 5000원 수준에서 공간을 저렴하게 제공한다. 서울의 10분의 1 정도다. 정보보호 스타트업이 한 공간에 몰려 정보 공유 같은 시너지도 난다. 작년에 피칭 훈련을 추가했다. 스타트업에 가장 필요한 건 투자다. 정례적인 투자 설명 자리를 만들고 법률 멘토단도 구성했다. 기술력만으로 상장할 수 있도록 한국거래소와 업무협약(MOU)을 맺었다. 한국거래소 스타트업 마켓(KSM)에 가능성 있는 정보보호 스타트업 상장을 추천하는 방식이다. 이처럼 입주 공간부터 상장까지 '원스톱'으로 정보보호 생태계 조성에 기여한다.

◇보안은 4차 산업혁명 '등뼈'

KISA 목표는 더 안전하고 편리한 4차 산업혁명을 만드는 것이다. 4차 산업혁명을 신체에 비유하면 인터넷이 핏줄이다. 신용정보, 건강정보 등 개인정보는 핏줄을 타고 돌아다니는 영양 성분이다. 빅데이터 75%가 개인정보에서 나온다. 보안은 등뼈다. 5세대(5G) 이동통신 시대 예상되는 보호와 활용 문제를 어떻게 풀어갈지 고민한다. 다부처에 중첩돼 있거나 찬밥 신세가 된 사업도 KISA가 품는다.

[데스크가 만났습니다]김석환 KISA 원장 "침해·대응 훈련, 충격요법 동원해 취약한 보안의식 잡겠다"

김석환 KISA 원장은...

1958년 충북에서 태어나 부산대 무역학과를 졸업하고 동의대에서 언론학으로 박사학위를 받았다. 1983년 부산MBC 보도국 기자로 입사해 1994년 지역 민영방송 KNN(전 PSB부산방송)으로 자리를 옮겼다. 보도국장, 방송본부장을 거쳐 KNN 대표이사 사장을 지냈으며 동서대 미디어커뮤니케이션학부 초빙교수 등을 지냈다.

30여년 기자 경력을 담아 2013년 '디지털시대의 지역방송 편성', 2016년 '스마트시대 지역방송 생존과 저널리즘'을 펴냈다. 2017년 11월 제5대 KISA 원장으로 취임해 침해·대응 훈련을 통한 정보보호 인식 제고와 수준 강화에 힘쓰고 있다.

정리=오다인기자 ohdain@etnews.com

사진=이동근기자 foto@etnews.com