최우선 국가 보안전략은 ‘보안취약점 감소’

[인터뷰] 하워드 슈미츠, 오바마 정부 前사이버안보 조정관

사이버 보안, 각 국가가 함께 고민하고 풀어나가야 할 숙제

[보안뉴스 김태형] 마띠 헤이모넨 주한 핀란드 대사의 초청으로 방한한 하워드 슈미츠(Howard Schmidt, 전 백악관 Cyber Security Advisor) 박사는 지난 11월 25일 국내 정부기관 주요 전산 담당 임원 및 업계 관계자 20여명을 대상으로 정부 및 민간 분야의 ‘사이버위협과 보안전략’을 주제로 한 강연과 함께 토론회를 진행했다.

이날 참석자들은 정부 및 민간 분야의 사이버 위협과 보안전략과 관련해 오랜 경험과 노하우를 가지고 있는 박사와 함께 ‘사이버 보안’을 주제로 토론하고 경험을 공유했다. 지난 2008년 Baseline Magazine에 의해 IT 비즈니스에서 가장 영향력 있는 인물 50인에 선정된 바 있고, 지난 ‘ISEC 2012’에서 초청 강연을 진행한 바 있는 하워드 슈미츠 박사를 만나봤다.

이날 하워드 슈미츠 박사는 “지난 1996년 미국 클린턴 정부는 컴퓨터가 일상생활을 지배하기 시작했고 모두를 파악할 수 없음을 인식하고 산업계, 대학, 연구시설, 민간 부문, 정부 등과 연계하여 관련 연구를 시작했다”면서 미국 정부의 사이버 보안전략에 대해 운을 뗐다.

이어서 그는 “당시 미국 정부는 국가 안보(National Security)가 최우선 사항이었으며, 네트워크 사용의 80%는 민간 부문이 차지하고 있음을 파악했다. 하지만 평시 컴퓨터 사용 시 어떤 위협이나 취약점이 있다는 것을 잘 몰랐다. 그래서 클린턴 정부는 민간 부문과 연계해 산업계의 보안 취약점을 감소시키기 위해서 ISAC(Information Sharing Analysis Center)을 설립했다”고 설명했다.

하지만 이러한 노력에도 불구하고 2001년 9.11 테러가 발생했고 한 달 뒤에 NIMDA바이러스가 세계를 위험에 빠뜨리는 사건 등이 연이어 발생하면서 미국은 국가 전략(National Strategy)을 수립해 보안을 강화할 필요성을 인식하게 되었다. 그러나 10년이 넘은 지금, 아직도 보안 강화를 위한 국가전략을 찾고 있는 상황이라고 하워드 박사는 덧붙였다.

하워드 박사는 이러한 국가 전략을 크게 5가지로 나눌 수 있다고 말했다. 그 첫 번째는 취약점 감소, 즉 국가전략 중 최우선 사항은 보안취약점을 감소시키는 것이라는 얘기다. 그리고 두 번째는 치안 당국의 정보화다. 이는 경찰뿐만 아니라 법 집행 담당 기관의 정보화가 필요하다는 것이다.

그리고 세 번째는 교육 및 훈련인데, 각 대학교 및 중·고등학교에서부터 보안교육을 실시해야 하며, 네 번째로는 국제 관계, 즉 적대국이라도 국가간 같은 인프라와 기술을 사용하고 있기 때문에 국가간의 정보 공유는 필수적이라는 것이다.

마지막 다섯 번째는 사이버 공간에 대한 인식 제고, 즉 예전에는 네트워크 연결을 고려하지 않고 사이버 공간이 설계됐으나, 현재는 임베디드 장치, 의료기기, 자동차, 비행기 등 거의 모든 분야에서 네트워크를 통한 통신이 이루어지고 있어 보안은 필수적이라는 설명이다.

오바마 대통령 취임 이후 미국의 사이버 보안은 경제적인 이슈가 될 것이라고 생각하기 시작했다. 불경기임에도 불구하고 2008년에서 2009년 사이에 전자상거래의 증가율이 17.2%이었고 금액으로는 29억 달러였다. 이러한 전자상거래가 이루어지는 사이버 공간에 공격이 이루어진다면, 큰 피해를 입을 것이기 때문에 사이버 보안이 경제적인 문제라고 인식한 것이다.

이에 하워드 박사는 이와 같은 사이버 보안 강화를 위해 필요한 것을 4가지로 구분했다. 우선 첫 번째는 인력 개발(Workforce Development)이다. 즉 정부담당자뿐만 아니라 일반인에 이르기까지 보안관련 교육 및 Training을 통해 인력을 양성하는 것이 필요하다는 것. 한 국가에서 뿐만 아니라 세계적으로 보안교육이 실시되어야 하며, 같은 보안 교육을 세계 어디에서나 받을 수 있어야 한다고 그는 강조했다.

그리고 두 번째는 국가 사이버 보안 교육이 중요하다고 말했다. 미국 정부는 NICE(National Initiative for Cybersecurity Education)을 설립해 국가에서 사이버 보안 교육을 실시하고 있다.

세 번째는 신뢰할 수 있는 사이버 공간 확립이다. 미국에서는 NSTIC(National Strategy for Trusted Identities in Cyberspace)를 수립해 시행했다. 일반적으로 웹 사이트 계정을 여러 개를 가지고 있지만, 이를 관리하기 어렵기 때문에 하나의 ID와 PW로 통합 관리하는 것이 필요하다는 것.

그리고 네 번째는 법률적인 한계, 즉 일반적인 범죄와 원자력 발전소 해킹을 같은 수준의 범죄로 간주하고 있었다. 이는 미국에 국한되지만 이러한 폐해를 막기 위해 현실적인 법률 제정이 필요함을 인식하게 되었다.

그는 “무엇보다 중요한 것은 사이버 스페이스에 관한 국제적인 전략이 필요하다. 이를 위해 국가 간 정보의 상호운용성, 유용성, 상호간 최소한의 신뢰가 있어야 하며, 참여하는 국가 및 조직, 기업, 단체 간의 동업자로서의 지원, 개발, 이익 공유 등을 반영할 수 있는 전략이어야 한다”라고 말했다.

이어서 그는 “현대 사회에서는 20억개 이상의 장치들이 네트워크에 연결되어 있으며, 이들 많은 장치들은 상호간 통신을 하기 때문에 보안을 생각하게 되었다. 이와 같은 사이버 보안은 한 국가에서 해결할 수 있는 문제가 아니며, 함께 고민하고 풀어나가야 할 숙제”라고 강조했다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)