(서울=뉴스1) 윤주영 기자 = 우리나라의 중장기 보안 대책을 담은 '국가 사이버 안보전략'이 지난해 안으로 발표될 예정이었으나, 결국 정부가 기한을 맞추지 못했다. KT(030200) 해킹 민관합동 조사, 쿠팡 개인정보 유출 사태 등 현안 대응에 밀렸다는 게 정부 관계자들의 설명이다.
지난해 10월 발표된 범부처 정보보호 종합대책이 해킹 기업 제재 강화 등 단기적 점검에 집중했다면, 사이버 안보전략은 그 후속 개념이다. 공공·민간·군·기간 산업 전반을 아우르는 보안 정책과 부처별 실행 계획을 담을 예정이다.
정부가 공공 클라우드 전환, 피지컬 AI의 산업현장 도입 확대를 약속한 만큼, 정보통신기술(ICT) 환경 전반에도 큰 변화가 예상된다. 국가 배후 성격의 공격도 기승을 부리고 있어 민관의 보안 협력 필요성도 커졌다. 사이버 안보전략이 너무 늦어져선 안 되는 이유다.
2일 보안업계에 따르면 대통령 직속 국가안보실은 보안 소관부처와 함께 사이버 안보 종합 대책을 수립·추진한다.
지난해 10월 과학기술정보통신부가 국가정보원·개인정보보호위원회·금융위원회·행정안전부와 함께 범부처 정보보호 종합 대책을 브리핑한 것도 그 일환이었다. 이통사·금융권 침해사고, 공공기관 해킹 등이 연달아 터지자 범부처 차원에서 대응에 나선 것이다.
당시 종합대책 주요 내용은 해킹 피해가 반복된 기업에 징벌적 과징금을 강화하고, 올해 상반기 중 정보보호 공시 의무를 확대 적용해 보안 투자를 유도한다는 것이었다. 주로 민간을 향한 단기 대책으로 볼 수 있다.
하지만 정부 및 군 기관도 해킹을 허용했기 때문에 책임에서 벗어날 수 없다는 지적이 나왔다. 행정안전부의 온나라시스템 해킹이 대표적 사례다. 피지컬 AI 도입의 반대급부로 기간·대규모 산업시설을 노린 랜섬웨어 등 사이버 공격도 거세질 전망이다.
이 때문에 업계는 보안 소관부처와 민간이 실질적인 협력을 보여줘야 한다고 입을 모은다. 범부처 정보보호 종합대책 브리핑에서도 관계 부처들은 이를 약속했다. 정부가 국가 사이버 안보전략을 통해 청사진을 제시해야 한다.
김창훈 대구대 교수는 "최근의 지능형 사이버 지속 공격(APT)은 수년에 걸쳐 여러 캠페인 형태로 진행되고, 국가 배후의 성격을 띠는 경우도 많다. 피해 기관이 민관을 가리지 않기 때문에 개별 주체가 대응하는 것은 부적절하다"며 "민간이 피해를 보았다고 과기정통부만 나설 게 아니라, 국가 사이버 위기관리단을 중심으로 국정원 등 관계 부처와 협업을 강화해야 한다"고 주문했다.
한편 국정원 역시 쿠팡 대응에 밀려 국가 클라우드 컴퓨팅 보안가이드라인 5.0을 지난해 발표하지 못했다. 공공기관의 망 분리 완화 및 클라우드 전환에 필요한 상세 내용을 담을 예정이다. 국정원은 지난해 이를 위한 보안 프레임워크 '국가망보안체계(N2SF)'를 발표하기도 했다.
특히 한국 공공 시장이 국내외 클라우드 서비스 사업자(CSP)의 새 먹거리가 된 만큼, 가이드라인을 향한 업계 관심도 커지고 있다. 국정원 관계자는 지난해 9월 N2SF 발표 현장에서 "해외 클라우드 사업자의 공공사업 수주 관련한 내용도 정리될 예정"이라고 말했다.
legomaster@news1.kr
