[데스크라인]데이터 중심 세상, 보안도 변해야

2015년 5월 이동통신 3사가 '데이터 중심 요금제'를 발표하면서 이동통신 서비스 시장은 20여년 만에 일대 전환점을 맞았다.

데이터 중심 요금제는 음성·문자는 무제한 제공하고 데이터 이용량에 따라 요금을 부과하는 요금제다. 이동통신 소비 패턴이 음성과 문자에서 데이터 중심으로 변화하면서 이에 걸맞은 요금 체계가 필요하다는 요구에 따라 도입됐다. 이동통신사로서는 음성 시대가 저물면서 성장을 위한 돌파구가 필요한 시점이기도 했다.

음성 사용량이 많은 이용자는 최저 2만9900원 요금제(제도 도입 당시)로 무제한 음성 이용 혜택을 누리게 됐다. 데이터 이용량이 많은 이용자는 본인 데이터 소비량에 맞는 요금제를 선택해 사용하도록 함으로써 본격적인 데이터 중심 시대가 열리게 됐다.

데이터 중심 요금제는 모바일 인터넷을 비롯해 메신저, 음원·동영상 스트리밍 등 데이터 산업과 관련 서비스 활성화의 기폭제가 됐다. 이는 데이터의 중요성을 인식하고 환경 변화에 선제 대응한 중요 사례로 꼽힌다.

이동통신 분야뿐만이 아니다. 전 산업의 경쟁력 향상과 서비스 혁신, 업무 효율성 제고를 위해 데이터 활용의 중요성이 점차 높아진다. 데이터 없이는 거대언어모델(LLM)도, 생성형 인공지능(AI)도 없다. 데이터를 '4차 산업혁명의 원유'로 부르는 것도 이 때문이다.

하지만 데이터 중심 시대에 대한 대응과 변화가 느린 분야도 적지 않다. 대표적인 분야가 정보보안 분야다.

국내 보안 정책은 단순하고 획일적이다. 업무나 기관에 따라 암호화 알고리즘과 인증을 구분해뒀다. 일례로 정부부처에 공급하는 정보보안 제품은 모두 공통평가기준(CC) 인증을 받아야 한다. 공공기관 내외부 데이터는 망분리를 통해 분리해뒀다. 철저히 보호 중심 정책으로 데이터 활용은 쉽지 않은 구조다.

미국은 이와 다르다. 업무나 기관이 아닌 데이터 중요도 중심으로 보안 정책을 차등 적용한다. 데이터는 동일 기관 것이라도 중요도에 따라 보호할 데이터와 활용할 데이터 등으로 구분한다. 클라우드 보안을 아우르는 미국 '페드램프(FedRAMP)' 인증이 데이터 민감도에 따라 보안 등급을 '높음', '중간', '낮음'으로 구분하는 것은 대표적이다.

데이터가 중심이 되는 시대에는 보안 정책에도 변화가 필요하다. 데이터를 분류하고 중요도에 따라 구분해 보안 정책을 차등 적용해야 한다. 지켜야 할 톱 시크릿과 일반 데이터를 구분하고 일반 데이터는 자유롭게 활용할 수 있도록 할 필요가 있다. 데이터 보안에 드는 불필요한 리소스 낭비를 막고 보안성과 활용성을 동시에 높이는 길이다.

현재 국내 보안 정책은 데이터 활용에 족쇄를 채우고 있다. 우리나라가 AI 대응에 한발 늦은 점, 그래서 활용과 서비스에 중점을 둬야 하는 상황임을 감안하면 더 염려스러울 수밖에 없다.

기존 보안 정책을 한 번에 바뀔 수는 없다. 머리를 맞대고 일부 영역에서부터 하나씩 바꿔가면 된다. 데이터 중심 보안정책이 AI와 데이터 산업 발전을 가속화할 열쇠임을 잊지 말자.

안호천 기자 hcan@etnews.com