보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[이슈인터뷰] 사이버안보연구소 정경두 대표 “제로트러스트 기반의 사이버안보 법제화 필요”

입력 : 2024-03-26 16:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사이버안보연구소 창립 2년차...사이버안보의 법적 기반 마련하고 제도적 대안 제시
정경두 대표 “사이버안보의 바탕은 ‘사람’...‘기술’ 아닌 ‘사람’이 우선되어야”


[보안뉴스 김영명 기자] 사이버안보연구소(이하 연구소)는 대한민국 사이버안보 관련 법의 제정을 위해 정책, 제도, 법을 연구하는 것을 목적으로 2022년 4월에 설립됐다. 연구소는 설립 이래 외교, 국방 정보, 기술 등 우리나라 사이버안보와 관련 있는 유관부처에서 개최하는 행사에 참여하고 학계 연구에 120여회 이상 참여해 왔다.

▲사이버보안연구소 정경두 대표가 사이버안보법 제정의 중요성에 대해 역설하고 있다[사진=보안뉴스]


앞으로도 연구소는 사이버안보 전문성을 강화하고, 소통 확대와 민주적 통제를 위한 노력을 지속해 나갈 것이라고 강조했다. 과거 공군참모총장과 군 서열 1위 합참의장을 거쳐 제46대 국방부장관을 역임한 후, 우리나라 사이버안보 강화를 위해 사이버안보연구소의 대표를 맡게 된 정경두 대표를 만나 우리나라 사이버안보의 현 주소와 앞으로 나아가야 할 길에 대해 이야기를 들었다.

Q. 북한의 사이버위협, 중국 해킹그룹의 사이버공격 등이 있따르는 가운데 최근 우리나라 사이버안보 동향을 짚어주신다면? 우리나라의 사이버안보와 기술 역량은 선진국에 비해 전혀 뒤처지지 않지만, 뛰어난 기술 역량을 뒷받침할 법과 제도가 아직 미흡하다는 게 아쉽습니다. 군사작전에서 공격을 받거나 공격 징후를 발견하면 우리는 대응 및 선제 타격을 위한 매뉴얼을 작성하고 이를 수행합니다.

사이버 공격에서는 피해 방지에 노력하지만, 실제 피해가 있어도 선제 타격에는 제약이 많으며, 피해정도, 책임소재, 공격경로 파악 등 후속 대응에만 집중하는 상황입니다. 공격 징후를 기반으로 선제·대응 타격의 법적 근거를 마련하고, 피해 최소화를 위한 효율적인 대응 시스템을 구축해야 합니다. 이와 함께 공격 책임 소재 명확화, 공격 경로 추적 및 차단 기술 개발 등 다양한 노력을 기울여야 합니다.

Q. 국가정보원이 2022년 11월에 ‘국가사이버안보 기본법’을 입법예고했지만 아직 진척이 없는 가운데 어떤 대응책이 필요하다고 보시는지요? 사이버안보는 초국경적 사안이기 때문에 여·야의 경계를 넘어 대한민국 관점에서 생각해야 합니다. 연구소는 처음부터 이런 문제를 해결하기 위해 법안에 민주적 통제를 위한 기술적 원리를 포함해야 한다고 생각해 왔습니다. 사이버안보를 위해 일부 기본권과 프라이버시가 침해된다면 최소한 그 과정은 정당한 절차를 갖춰야 하고, 과정에 일어난 모든 행위는 영구 기록으로 남겨서 국가 권력이 남용됐다고 하더라도 그 책임소재를 명확히 하는 것이 바람직합니다. 그래야 국민들이 안심하고 국가기관의 공권력 행사에 대한 거부감을 최소화할 수 있습니다.

Q. 해킹을 돕는 챗GPT(WormGPT), 인공지능 기반 피싱 도구인 사기GPT(FraudGPT) 등 생성형 AI를 악용한 최첨단 공격 기술에 어떻게 대응해야 할까요? 생성형 AI를 활용한 최첨단 공격에 대비하기 위해서는 AI 및 사이버보안 전문가 양성과 훈련이 필수입니다. 알려진 공격 방법의 교육과 홍보를 강화해 대중의 사이버 위험에 대한 인식도 높여야 합니다. 서비스 기업은 공격 패턴 학습과 사전 탐지의 기술적 시스템을 구축하고, 국가 차원의 대응 시스템을 확대하는 등 민관의 종합적인 노력으로 효과적인 사이버보안 체계를 마련해야 합니다.

AI 기술은 양날의 검과 같습니다. 우리는 AI 기술의 발전을 올바르게 활용하고 위험에 대비하기 위해 노력해야 합니다. 개인, 기업, 정부가 협력해 AI 기술의 긍정적인 측면을 극대화하고 부정적인 측면을 최소화해야 합니다. 기술의 발전 속에서 노령인구 등 신기술 적응력이 부족할 이들도 소외되지 않도록 정부와 연구소는 노령인구를 위한 지원 정책도 마련해야 합니다.

▲정경두 대표가 사이버안보에는 민·관 협력을 통한 통합된 대응능력이 필요하다고 말했다[사진=보안뉴스]


Q. 미국·영국 등 선진국들과 우리의 사이버안보 정책을 비교 분석했을 때 어떤 측면을 개선해야 한다고 보시나요? 미국에는 국가안보전략, 국가사이버안보전략 사이버안보 프레임워크가, 유럽에는 사이버안보 전략과 사이버방위 정책이 있습니다. 대한민국은 국가정보원이 국가사이버안보센터(NCSC)를 중심으로 사이버위협 정보의 허브 역할을 수행하고, 국방부는 사이버작전사령부가 컨트롤타워를 맡고 있지만, 범부처 성격의 공공·민간을 아우르는 통합적 조정능력을 보유한 기구는 아직 없습니다.

우리나라는 분단국가임에도 테러 공포도 적고, 오랜 휴전으로 대북 민심도 강경하지는 않습니다. 공권력이 개인의 프라이버시를 침해하는 것에 대한 반발 우려를 해소하고 국가기관의 신뢰를 높여야 합니다. 이를 위해서는 ‘민주적 통제를 위한 기술적 시스템 강화’, ‘투명하고 책임 있는 공권력 행사’, ‘사이버 공격의 위험성에 대한 대중의 인식 제고’가 필요합니다.

Q. 대표님은 공군참모총장, 합참의장은 물론 국방부장관까지 역임하시는 등 오랜 기간 군과 국방 분야에서 매우 중요한 역할을 맡아오셨는데, 대표님이 생각하시는 사이버안보의 큰 기조는 무엇인가요? 민·관 정보 공동체를 통한 통합된 대응능력 구축이 필요합니다. 초연결 사회에서 사이버 위협이 개인의 삶은 물론, 국가 전산망까지 영향을 미치는 현실을 간과할 수 없습니다. 그리고 안전성·신뢰성이 뒷받침되지 않는 상황에서는 한국의 IT 강국이란 위상은 모래성처럼 언제든지 무너져 내릴 수 있습니다.

우리 사이버안보 대응체계의 미흡한 부분을 살피고, 민·관 정보 공동체를 만들어 디지털 사회로의 급격한 진화에 대비하는 것은 물론 사이버 공격 세력에 맞서 국가 차원의 통합된 대응능력을 구축해야 합니다.

Q. 대표님께서는 북한의 대남 사이버 공격을 비롯해 암호화폐 탈취 등 다양한 공격들에 대해 어떤 대응이 필요하다고 보시나요? 제로트러스트 기반의 사이버안보 법제화와 국제협력으로 대응하는 것이 중요합니다. 북한의 사이버 공격은 사람을 이용한 사회공학적 공격과 주요 기관의 말단 시스템 공격이 많습니다. 제로트러스트는 중요한 보안 프레임워크이기 때문에 국가정책은 이를 기반으로 한 법제화가 필요합니다. 시스템 변경 최소화, 분산원장을 통한 행위부인 방지, 무분별한 정보축적 방지 등을 위해서는 컨소시엄 블록체인 도입과 같은 기술적 대안이 사이버안보법에 적용돼야 합니다.

암호화폐 탈취에 대한 보다 효과적인 대응을 위해서는 국제협력 강화, 전방위적인 해킹 방어 체계 구축, 철저한 AML·CFT 원칙 준수에 따른 미확인 자금 거래 방지 등 민·관의 공동 대응책 논의가 보다 활발해져야 한다고 봅니다.

Q. 연구소는 날로 심화되는 사이버안보 위협에 우리나라를 지키기 위한 국가 차원의 체계적인 법규 제정 등을 미래의 방향으로 제시했는데요. 연구소는 순수 민간 차원에서 입법활동을 지원하는 연구소입니다. 이를 위해서는 사이버안보법의 패러다임 전환 및 국민의 행복한 삶을 위한 제도적 기반 강화가 필요합니다. 지난달 창립기념 학술 세미나에서는 정보기본권, 정보헌법 등의 개념을 토대로 헌법적 견지에서 관련 쟁점을 바라보고, 현 국가행정시스템에서 사이버안보법의 접근 방향성을 제시했습니다.

저는 사이버안보의 바탕은 ‘사람’이라고 생각합니다. 미국의 천문학자 칼 세이건(Carl Edward Sagan)은 한 생명의 탄생은 한 우주의 탄생과 같다고 했습니다. 기술과 사람 가운데 기술이 먼저가 아닙니다. 주객이 전도되지 않고 평범한 보통 사람들이 행복한 삶을 살도록 제도적 기반을 위해 노력해 나가겠습니다.

Q. 연구소의 올해 계획이나 목표가 있으시다면? 연구소는 국회사무처 산하 사단법인으로의 창립을 계기로 22대 국회에서부터 대한민국의 입법 활동을 지원하려 합니다. 연구소는 그동안 사이버안보의 수평적 해결방안을 모색해 오면서 정보위원회와 연구위원회, 고문, 대외분석·안보정책·기술연구·법제도 등 4개 조직을 갖추고, 각각의 전문가 그룹을 구성했습니다.

보다 정교하고 체계적인 ‘법제도 연구’로 사이버안보의 법적 기반을 마련하고 헌법적 가치에 따라 제도적 대안을 제시하고자 합니다. 이해관계자 의견을 수렴해 국민 안전과 프라이버시 보호 정책을 수립하고, 민주적 통제 실현을 위한 기술적 대안을 제시하겠습니다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)