“기존 보안 전략과 규제로는 심화하는 사이버 위협에 대응할 수 없다. 제로트러스트, 공급망 보안 등 능동적 대응체계를 갖추고 기업의 보안 책임을 강화해야 한다.”
과학기술정보통신부가 9일 지란지교 판교사옥에서 개최한 '국민과 함께하는 위기의 사이버보안 현장 토론회' 참석자는 민간의 사이버 역량 제고를 시급 과제로 지목하고 인식·제도 혁신을 주문했다.
이날 간담회는 2023년도 제3차 디지털 국정과제 연속 현장 간담회 일환으로 열렸다.
사이버보안 전문기업 지란지교시큐리티, 지니언스, 오내피플과 한국인터넷진흥원, 한국정보보호산업협회 등 사이보안 관련 산·학·연·관 전문가와 일반인, 학생, 현역 군인 등이 참여했다.
주제발표 격인 '현장의 목소리'에선 기업 등 민간의 보안 역량과 정부 규제가 현 사이버 위협에 대응하기엔 현저하게 부족하다는 지적이 나왔다.
이동범 한국정보보호산업협회 회장은 “일부 기업을 제외하고는 상당수 기업이 기존 방식으로 사이버 위협에 대응하고 있다”면서 “대다수가 사고를 당한 뒤 뒤늦게 투자를 강화하는게 현실”이라고 말했다.
이 회장은 “현재 정부의 보안 가이드라인 또한 권고 수준에 불과하다”면서 “제로 트러스트, 소프트웨어자재명세서(SBOM) 등을 반영한 보다 강력한 가이드라인, 규제를 제시하고 빈도도 높여야 한다”고 제언했다.
이 회장은 “사이버 공격 피해자를 기업이라고 생각하지만 가장 큰 피해는 개인정보를 잃은 개인”이라면서 “이런 상황을 감안하면 다양한 정보를 보유한 기업의 보안을 강화하기 위한 다각적 노력이 필요하다”고 강조했다.
윤두식 지란지교시큐리티 대표는 “해킹과 가상자산이 만나 산업이 만들어 진 상황에서 챗GPT, 딥페이크 등 신기술로 해킹이 빠르게 발전하고 있다”면서 “공격이 진화하고 방어 기술 개발, 규제가 이를 따라가는 상황”이라고 말했다.
윤 대표는 “기술, 관리, 정책 3가지 측면에서 조화로운 대응이 필요하다”면서 “기술개발투자와 함께 연구개발·인력양성 등 정책 지원이 궤를 맞춰 나가야 한다”고 덧붙였다.
이원태 한국인터넷진흥원 원장은 “최근 조사 결과, 비영리 사이트나 학회 등의 사이트 보안 수준이 열악한 것으로 파악됐다”면서 “구독형 클라우드 보안 무상 지원 등 정책적 지원 필요성이 확인됐다”고 말했다.
이 원장은 “한편으론 보안을 공공·정부에만 의존해 나갈 수 없다”면서 “민관 협력을 위한 다각적 방안을 고민하고 이행해야 한다”고 강조했다.
박윤규 과기정통부 2차관은 “민간 부문은 공공보다 정보의 양과 취약점이 많다”면서 “아직 중소기업이나 학회 등까지 경각심을 갖게 하지 못하고 있는 것은 아쉬운 부분”이라고 말했다.
박 차관은 “민간의 사이버 보안 역량을 어떻게 하면 신속히 높일 수 있을까는 큰 관심거리”라면서 “제로 트러스트, 공급망 보안 등 주요 이슈에 대응하고 보안 지원 사업도 강력하게 추진해 나가겠다”고 덧붙였다.
이어진 토론에서는 현 정보보호 시스템의 현실과 개선방안을 토론하는 시간이 이어졌다.
과기정통부의 정보보호 공시제도 운영확산, 정보보호최고책임자(CISO) 지정운영 등 기존 제도의 활성화와 함께 보안사고 기업에 대한 취약점 점검 이행 의무화 방안, 주요 디지털서비스에 대한 다중인증 확대 필요 등 제언이 나왔다.
LG유플러스 고객정보 유출 등 계속되는 사이버침해사고에 대한 일반인의 불안감과 당부 의견을 듣는 기회도 마련됐다. 일반인이 정부 정책과 관련한 희망사항을 전달하고 정부도 정책 반영 가능성을 타진하기로 했다.
최호기자 snoop@etnews.com
