[사이버 보안 새틀을 짜자]<2>차세대 사이버 보안 거버넌스 핵심은 '협력'

“사이버는 팀 스포츠이며 강한 공격과 방어가 절실하다. 많은 기업과 기관이 침해와 위협 정보를 공유하며 함께 힘을 모아야 한다.”-마이클 맥콜 미 국토안보위원회 위원장.

“사이버 보안 산업은 국가 안보와 시민 보호라는 큰 목적을 달성해야 한다. 기업이 위협 인텔리전스를 공유하며 함께 대처해야 스마트하고 빠르게 대응할 수 있다.” -크리스토퍼 영 맥아피 CEO.

지난 2월 열린 세계 최대 보안 콘퍼런스 RSAC2017의 최대 화두는 '협력'이다. 국가는 물론 민간까지 모두 협력해야 사이버전쟁과 범죄 피해를 줄일 수 있기 때문이다.

사이버 침해사고는 민간, 공공, 국방 등 분야를 구분하지 않고 발생한다. 외교 안보 분야에서 발생한 침해 사고가 민간까지 피해를 유발한다. 현재 우리 사이버 보안 관련 체계는 각 분야별로 별도 체계와 실행 조직을 운영한다. 사이버 위협 정보도 각자 수집 하고 공유하지 않는다. 세계는 사이버 위협 대응에 적과 동침도 불사하는데 우리는 정부 조직부터 민간까지 협력과 소통이 요원하다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

◇사이버 보안, 민관 협력 부족

국내 사이버 침해 사고 상당수는 북한이 일으킨 것으로 추정된다. 국내 대형 사이버테러는 2009년 이후 급증했는데 북한이 비대칭전력으로 사이버전사를 대거 육성한 시점과 일치한다. 초기 북한은 분산서비스거부(DDoS)와 시스템 파괴 등 사회 혼란을 야기하는 공격을 감행했는데 최근에는 랜섬웨어 유포에서 민간 기업 회원정보까지 해킹했다. 사이버 공격 범위가 정부나 국가기반시설에서 민간 기업까지 확대했다.

사이버 사고는 확대됐는데 대응은 중구난방이다. 현재 국내 사이버 거버넌스는 청와대 국가안보실을 컨트롤타워로 미래부(민간, 정보통신분야), 국정원(국가, 공공), 국방부(국방), 외교부(외교안보), 금융위원회(금융), 안전행정부(전자정부 대민서비스), 산업통상자원부(에너지), 국토교통부(교통)으로 나눠진다. 전담 대응 부처를 둬 대응 효율성을 높인다는 명목인데 협력이 안된다. 그만큼 대응이 더디다.

지난해 발생한 인터파크 개인정보 유출 사고는 민간 영역이다. 인터파크는 민간 기업이기 때문에 미래부 소관이다. 사고 조사 결과 북한과 관련된 악성코드 등이 발견됐다. 그동안 민간이 축적한 정보로 공격자를 추적하는데 한계가 발생했다.

북한이 주로 공격하던 표적은 국가나 공공기관이었는데 민간까지 넘어왔다. 북한 관련 사이버 침해 정보가 가장 많이 쌓인 곳은 국정원이다. 국정원은 국가사이버안전센터(NCSC)를 중심으로 사이버침해정보를 축적했지만 정보기관 특성상 많은 정보를 기밀로 분류한다. 민간에 정보 공유가 제한된다.

인터넷진흥원 관계자는 “민간에서 침해사고가 발생해 원인을 분석하다가 공격자가 북한으로 추정되면 국정원으로 이관 후 조사 참여나 정보 공유가 제한된다”면서 “침해사고 원인을 분석해 민간 보안 취약점을 개선하고 정보보호 정책을 즉시 반영하기 어렵다”고 설명했다.

신인섭 미국 조지메이슨대 C4I & 사이버센터 연구원(전 청와대 사이버안보비서관)은 “외국에서는 기밀사항이 아닌 내용이 국내에서는 공개불가 정보로 분류돼 국내는 신속한 대응이 어렵고 기업 경쟁력 강화에도 걸림돌이 된다”고 지적했다.

◇협력 거버넌스를 만들자

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

최근 편의점 현금지급기(ATM)에 사이버 침해 사고가 발생했다. 해당 현금지급기는 ATM 부가가치통신망(VAN) 사업자가 운영한다. 사고 조사와 대응은 어디서 해야 할까. 사고 발생 후 금감원은 ATM VAN은 금감원의 직접 감독 대상 금융기관이 아니라고 선을 그었다. 제휴 금융회사를 통해 간접 점검하는 전자금융거래법상 전자금융보조업자에 해당한다는 설명을 덧붙였다.

ATM이나 판매시점관리시스템(POS)를 운영하는 VAN은 전기통신사업법에 따라 미래부에 신고 후 영업한다. 전기통신사업법에 VAN 관리감독권한 규정은 모호하다. 감독 사각지대에 놓인 곳에서 사고가 나면 각 부처나 기관은 담당이 아니라며 책임 떠넘기기에 바쁘다.

한 은행 최고정보보호책임자(CISO)는 “해당부처는 사이버 침해 사고가 발생하면 피해 최소화를 위해 빠르게 조사하고 대응 방안을 내놔야 하는데 서로 감독 권한 따지기 바쁘다”면서 “정보통신기술(ICT)이 연결되고 융합되는 4차 산업혁명 시대 영역 구분은 의미가 없다”고 꼬집었다.

전문가들은 4차 산업혁명 시대는 중앙에서 체계를 세워 통제하기보다 각 분야 산업과 기관이 제 기능을 할 수 있도록 협력, 연결, 조정하는 '협력의 거버넌스'가 절실하다고 입을 모은다.

현재 국내는 국정원, 미래부, 국방부가 별도 정보공유체계를 만들었다. 이들 정보 간 원활한 소통과 협력이 필요하다. 공격자가 어떤 구멍을 통해 들어와 어떤 작전을 벌였는지 알아야 막을 수 있다. 악성코드를 분석하면 해커 정보와 행동 패턴이 추출된다. 이것이 누적되면 그 자체가 정보가 된다. 이미 글로벌 보안 기업은 사이버 위협 인텔리전스 사업에 열을 올린다. 각 침해 사고 공격자 특징을 분석해 그룹을 규정한다.

백기승 인터넷진흥원장은 “국가 사이버 보안은 특정기관이나 기술로는 담보하기 어렵다”면서 “기관 간 영역과 주도권 싸움에서 벗어나 사이버안전이라는 가치 중심으로 협업해야한다”고 강조했다.
신 박사는 “4차 산업혁명 시대 데이터는 공공재”라면서 “사이버 침해 정보도 사이버 보안 산업에서는 공공재”라고 설명했다. 그는 “사이버 침해정보를 공공재로 활용해야 보안 기술도 발전해 산업 경쟁력이 높아지고 국가 사이버 안보역량도 증대 된다”고 덧붙였다.

[사이버 보안 새틀을 짜자]&lt;2&gt;차세대 사이버 보안 거버넌스 핵심은 '협력'

김인순 보안 전문기자 insoon@etnews.com