[미래포럼]IT 컴플라이언스와 사이버 위기관리

[미래포럼]IT 컴플라이언스와 사이버 위기관리

 새 정부 출범과 세계 속의 한국. 이제 그 안에 살고 있는 4800만 대부분의 우리 국민에게 휴대폰이나 PC는 일상 용품이며, 인터넷으로 하루를 시작하고 마감하는 생활 문화가 정착된 지 오래다. 계속되는 개인정보의 대량 불법유출, 개인 ID 도용, 보이스 피싱에 의한 금융사기, 해킹에 의한 홈페이지 위·변조 사건이 하루가 멀다하고 신문지면을 장식한다. 심지어 청와대나 정당을 대상으로 한 해킹사고가 발생하기도 했다.

 그러나 이것은 시작에 불과하다. 지금까지는 단순한 호기심이나 금전적 이익을 목적으로 불법적인 정보 탈취가 시도됐지만, 앞으로는 전 세계 1만여명으로 추산되는 전문 해커들이 정치적 목적이 주어진다면 당장이라도 4만200㎞의 지구공간을 마음대로 넘나들며 특정국가나 기관을 상대로 실시간 공격할 수 있는 상황이다. 언론에 크게 알려지지 않았지만 2007년 에스토니아에서는 러시아 전사자를 기념하는 동상을 도심에서 교외로 옮기고자 했을 때 러시아 해커그룹으로부터 나라 전체가 치명적인 사이버 공격을 당했다. 이후, 나토의 지원으로 사이버테러 방어센터를 설립하면서 적극적으로 국가 위기관리에 나섰다. 또 그루지아 전쟁에서는 인류 전쟁사 최초로 금융망·통신망 등 사회 주요 기간망을 공격하는 사이버 공격과 군사적 행동이 동시에 개시되기도 했다.

 이런 상황에서 글로벌 기업은 물론이고 국내 대기업 역시 자신들의 귀중한 정보자산을 지키기 위해 정보보호관리체계(ISMS)를 구축하고, 사업연속성계획(BCP)을 수립해 시스템 장애나 해킹에 의한 업무 마비 등 만일의 사태에 대비한 위험관리체계를 강화하고 있다. 사이버 공격은 공격 의도를 가진 자가 상대방 IT 시스템의 취약점을 찾아내 마비시키거나 기밀정보를 탈취하는 것으로, 이를 방어하기 위해서는 IT 정보자산에 대한 끊임없는 유지 보수와 관제활동이 필요하다.

최근 법제화가 추진되고 있는 ‘국가 사이버위기관리법’은 국가 운영을 담당하는 책임기관의 보안관제를 의무화해 국가 차원에서 종합 대응체제를 구축하겠다는 점에서 바람직하다. 더욱이 보안관제를 중심으로 한 정보보호 인프라의 대대적인 확충은 그동안 우리 사회에 구축된 앞선 IT시스템의 안정·신뢰성을 보장하고, 새로운 보안시장을 만들어 전문 보안인력 중심의 대량의 일자리를 창출할 수 있다는 점에서 불황기의 공공투자 정책에 좋은 선례가 될 것 같다. 미국은 국토안보법과 국가 재난관리 체계 등을 마련해 국가 위기관리 대응체계를 운영하고 있다. 또 캐나다는 공공안전 및 위기대응부를 운영하고, 핀란드는 정보보안자문위원회를 중심으로 사이버 위협에 대한 국가적인 대응을 강화하고 있다.

그동안 우리 사회는 정보화에 적극 투자해 IT 비전을 제시하는 데 성공했지만, 이제 우리의 IT 시스템이 안전하고 신뢰할 수 있게 구축됐으며 운용되고 있는지를 충분히 살펴봐야 할 때다. 아울러 국가가 사이버 위협요인을 사전에 제거해 국민이 안심하고 정보화의 편익을 향유할 수 있도록 인터넷경제 시대의 공공 의무를 다하는 사이버 위기관리체계가 시급히 갖추어지기를 기대한다.

 백의선 한국정보보호산업협회 상근부회장 espaik@kisia.or.kr