[이슈칼럼] 국정자원 화재 사태가 남긴 것... “보안은 막는 것, 복원력은 살아남는 것”

데이터센터 화재의 교훈: ‘보안에서 복원력으로’ 패러다임의 전환

[보안뉴스= 류종기 한국기업보안협의회 이사] 지난 9월 26일 국가정보자원관리원 데이터센터 화재는 불길보다 더 큰 파장을 남겼다. 국가 핵심 전산망이 전면 마비되면서 행정 서비스가 차질을 빚자, 국민들은 “만약 화재가 더 확산됐다면, 혹은 복구가 더 늦어진다면 어떤 일이 벌어질까”라는 우려를 떨칠 수 없었다. 디지털 정부 서비스는 이제 국민 생활의 숨은 인프라다. 짧은 중단조차 신뢰를 흔들 수 있다는 사실은, 이번 사고가 단순한 시설 관리 문제가 아닌 경제, 사회, 국가의 위기관리 문제임을 보여준다. 많은 언론에서 이를 “디지털 블랙아웃의 경고음”이라 부른 것도 결코 과장이 아니다.

▲화재 사건과 관련해서 경찰 수사를 받고 있는 국가정보자원관리원 [자료: 연합]

이 사건은 사이버 복원력(Cyber Resilience)의 중요성을 극명하게 드러낸다. 지금까지 우리의 사이버 정책은 위협 차단과 피해 최소화에 초점을 둔 ‘사이버 보안’에 머물렀다. 그러나 오늘날의 위협은 복잡하고 예측 불가능하다. 사고는 반드시 발생할 수 있다는 사실을 인정해야 한다. 중요한 것은 그 이후다. 얼마나 빨리 회복하고, 더 강한 체계로 적응하는가. ‘보안은 막는 것이고, 복원력은 살아남는 것이다.’

한국인터넷진흥원(KISA)이 2024년 발간한 ‘침해사고 등 사이버 공격 대응 관점에서의 사이버 복원력 정책 이슈 분석 및 시사점’ 보고서 역시 이러한 패러다임 전환을 강조하고 있다. 보고서는 사이버 복원력을 “비즈니스와 국가 기능의 연속성을 보장하는 능력”으로 정의하면서, 단순 자산 보호가 아니라 사회 전체의 연속성 관리라는 점에 주목한다.

세계 주요국의 대응 동향
미국은 사이버 복원력 제도화를 선도했다. NIST(미국국립표준기술연구소)는 ‘Cybersecurity Framework(CSF)’와 ‘Risk Management Framework(RMF)’를 통해 복원력 기반 지침을 제공하고 있다. CISA(미국 사이버보안 및 기반시설 안보국) 역시 ‘Strategic Plan 2023–2025’에서 복원력 확보를 최우선 과제로 설정하고, 국가 기반시설의 위험 완화·가시성 확대·동맹국과 협력 강화 등의 목표를 명시했다. 아울러 ‘대통령정책지시 21호(PPD-21)’와 ‘행정명령 13636호’를 통해 중요 인프라 복원력을 국가안보전략의 일부로 포함시켰다.

EU는 법적 강제력으로 대응한다. CRA(Cyber Resilience Act, 사이버 복원력 법안)은 ICT 제품·소프트웨어에 대한 복원력 요건을 의무화했고, DORA(Digital Operational Resilience Act, 디지털 운영 복원력 법안)는 금융기관이 사이버 공격 후에도 운영을 지속할 수 있도록 규제한다. 유럽은 복원력을 국가 경쟁력뿐 아니라 시장 신뢰의 기반으로 보고 있다.

영국은 국가사이버전략에서 복원력을 핵심 가치로 설정하고 기반시설 점검을 의무화했다. 프랑스는 국가 사이버안보 기관인 ANSSI를 중심으로 민·관 협력 표준을 마련했다. 일본은 ‘능동적 방어(Proactive Defense)’와 복원력을 병행 전략으로 채택해 주요 인프라 사업자의 대응 의무를 강화하고 있다.

우리나라의 현실과 극복을 위한 4대 과제
우리는 2019년과 2024년 두 차례 국가사이버안보전략을 통해 복원력 강화를 천명했고, 카카오 데이터센터 화재 이후 정보통신망법을 개정해 대규모 서비스 사업자에 복구 의무를 부과했다. 하지만, 국가정보자원관리원 화재가 보여주었듯, 여전히 구조적 취약성은 크다고 많은 전문가들은 말하고 있다. 앞에서 언급한 KISA 보고서는 이를 해결하기 위한 4가지 과제를 제시하고 있다.

첫째, 평가·측정 체계 구축이다. 국외에서는 이미 NIST RMF·CSF, EU CRA를 기반으로 한 평가 지침, CRR(Cyber Resilience Review) 및 CRI(Cyber Resilience Indicator) 같은 인증체계가 운영되고 있다. 반면 우리나라는 복원력 성숙도를 체계적으로 측정할 지표가 미흡하다. 따라서 기술적 요소뿐 아니라 조직·인력·프로세스를 반영한 국내 맞춤형 성숙도 모델과 평가 지표를 마련해야 한다.

둘째, 법·제도 정비다. 정보통신망법 개정만으로는 부족하다. 핵심 인프라 보호를 위해 기존 법제에 복원력 요건을 보완하거나, 별도의 ‘사이버 복원력법’ 제정을 검토할 필요가 있다. 더불어 전문 조직을 법적으로 지정하고, 위기관리와 복원력 확보에 관한 권한과 책임을 명확히 부여해야 한다.

셋째, 민관 협력·생태계 강화다. 사이버 위협은 개별 기관이 아닌 생태계 전반에 영향을 준다. 따라서 필요하다면 데이터센터·클라우드·통신사·금융권이 상호 대체 가능한 백업망을 구축하고, 공동 모의훈련과 위험과 위협정보 공유(리스크 인텔리전스)를 정례화해야 한다. 또한 이해관계자 의견을 반영해 산업별 복원력 프레임워크를 개발해야 한다.

넷째, 국가 콘트롤타워 강화다. 현재의 보안 콘트롤타워는 위협 차단에 집중되어 있다. 복원력을 위한 콘트롤타워는 사고 이후 국가적 업무연속성(BCP)을 총괄할 수 있어야 한다. 이를 위해 전문 조직을 구성하고 역할을 제도화해야 한다. 아울러 국민·기업·전문가를 대상으로 하는 교육·캠페인, 모의훈련 프로그램 확대를 통해 복원력 인식을 사회 전반에 확산시켜야 할 것이다.

기업에 주는 시사점
사이버 복원력은 공공의 과제이자 기업의 생존 과제다. 앞에서 소개한 KISA 보고서의 4가지 과제를 기업 현장 수준에서 어떻게 적용할 수 있을까. 기업은 내부 보안 점검을 넘어서, 복구 속도·시스템 이중화 및 데이터/시스템 백업·전사적 대응 협력 체계까지 평가하는 복원력 성숙도 진단을 도입해야 한다. 글로벌 기업들이 앞에서 소개한 CRR, CRI 같은 지표를 활용하는 것처럼 국내 기업도 자체 지표 개발이나 외부 인증을 검토할 필요가 있다.

또한 앞으로 복원력 관련 법·제도가 강화될 가능성이 높다. 따라서 기업은 선제적으로 관련 의무를 충족할 수 있는 거버넌스 구조를 구축하고, 규제 변화에 신속히 대응해야 한다. 그리고 기업은 공급망 파트너·클라우드 사업자·ISP(통신사업자)와의 협력 체계를 계약 단계에서부터 포함시켜야 한다. 위협 인텔리전스 공유, 공동 모의훈련은 단순한 비용이 아니라 기업 생존을 위한 투자이기 때문이다. 마지막으로 가장 중요하지만 간과하는 교육과 인식 제고다. 경영진과 임직원 모두가 복원력의 중요성을 체감해야 한다. 정기적인 사내 교육·캠페인, 위기 대응 훈련을 통해 ‘사고 이후 어떻게 살아남을 것인가’에 대한 조직적 학습이 필요하다.

살아남는 힘, 복원력

▲류종기 한국기업보안협의회 이사 [자료: 류종기 이사]

사이버 복원력은 기술을 넘어 국가와 기업의 지속 가능성을 담보하는 전략이다. 카카오 데이터센터 화재, 국가정보자원관리원 화재가 던진 메시지는 명확하다. 사고는 언제든 발생한다. 그러나 그 이후 살아남는 힘, 곧 복원력을 갖춘 기업과 국가는 흔들리지 않는다. “보안은 막는 것, 복원력은 살아남는 것.” 이제는 보안 중심의 정책과 경영에서 한 발 더 나아가, 복원력을 국가적 어젠다이자 기업 경영의 핵심 의제로 삼아야 한다. 그래야 우리는 다가올 디지털 재난 시대에도 끊김 없는 국가, 지속 가능한 기업을 함께 만들어갈 수 있을 것이다.
[글_류종기 한국기업보안협의회 이사]

필자 소개_
류종기 한국기업보안협의회 이사는 25년 간 기업 리스크, 리질리언스 컨설팅을 수행해 왔으며, ISO/TC 292 재난안전보안 전문위원회 위원으로 활동하고 있다. IBM Security & Privacy Services 보안 컨설턴트와 Cyber Resilience 서비스 리더를 오랫동안 역임하며 정보보호와 IT 재해복구(DR), 비즈니스 연속성(BCP) 분야에서 기업, 기관을 대상으로 컨설팅을 하고 있다.

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)