[디지털투데이 석대건 기자] 우리나라 핵심 보안 기관인 한국인터넷진흥원(이하 KISA)가 역할 재정립에 나섰다. 

김석환 KISA 원장인 지난 8일 기관장 간담회를 열어 2018년 주요 성과와 함께 2019년 중점 추진 방향을 밝혔다.

KISA는 새로운 사이버 침해 대응에 맞서 융합보안 대책을 마련에 중점을 두고, 침해 대응 체계를 고도화한다. 

김석환 원장은 “2022년까지 3만 개의 스마트팩토리가 만들어지는데, 보안에 대한 이슈는 없다”며, “설계 단계부터 보안이 내재화되지 않으면 안 된다”고 말했다.

이에 KISA는 ‘융합보안 선도전략’을 5월 중 마련할 방침이다. KISA는 융합보안 이슈를 주도적으로 이끌며, 관련 부처 등 다양한 기관으로 구성된 추진 얼라이언스를 구성할 것으로 보인다. 

또 국민생활 안전에 밀접한 주요 6대 융합산업 분야 선정, 중점 관리할 계획이다. 6대 분야는 자율주행차, 재난 · 안전, 디지털 헬스케어, 실감콘텐츠, 스마트팩토리, 스마트 교통 · 물류 등이다.

"빠르면 상반기 화웨이 장비 등 5G 장비 점검 결과 발표"

화웨이 등 5G 장비에 대한 보안 문제에 대한 대책도 밝혔다. 5G 상용화를 앞두고 5G 서비스 핵심장비를 화웨이가 납품할 것으로 알려지면서 보안 문제가 불거진 바 있다. 미국, 영국 등은 화웨이 장비가 국가안보에 위협적이라고 배척을 선언해 양측은 갈등 중이다.

이에 김석환 원장은 “이미 과기정통부, 연구기관, 통신사 등과 함께 5G 보안기술협의회에서 장비 보안에 대해 논의 중”이라며, “빠르면 상반기 중에 화웨이뿐만 아니라 다른 업체 장비까지 점검 결과를 발표할 것”이라고 밝혔다. 

KISA는 보안 침해 사고 대비 역량을 높이는 한편, 역할 범위도 확대코자 한다. 

김석환 원장은 “(지금 법체계에서) ‘주요정보통신 기반시설’의 ‘중대한’ 침해사고는 과기정통부를 통해 KISA가 조사할 수 있지만, ‘심대한’ 사고의 경우에는 조사할 수 없다”며, 침해 사고는 대부분 심각한 피해로 이어짐에도 KISA의 역할이 한정적임을 지적했다.

또 “주요정보통신 기반시설의 범위도 새롭게 재정립하겠다”고 말했다. 김석환 원장은 답답했던 사례로 가상화폐 거래소 점검 이슈를 들었다. 

“사이버 침해사고 시 KISA가 조사 권한이 없습니다”

지난 2018년 연이은 가상화폐 거래소 해킹 사건 이후, KISA는 38개 거래소의 보안 상황을 점검하고 해당 기업에 보완 사항을 통보했다. 점검 사항은 인터넷망 이중화, 백업 여부 등 정보보호 및 개인정보보호관리체계(ISMS) 인증 수준이었다. 

그러나 KISA는 해당 거래소가 보완을 실행했는지 확인할 수 없었다. 가상화폐 거래소는 주요정보통신 기반시설이 아니기 때문에 재조사할 수 없다. 앞선 점검 또한 해당 거래소의 동의를 받아 조사에 나섰던 것.

김석환 원장은 “대부분 거래소에 점검 확인 차 현장 조사 요구를 했지만 서면으로 완료했다고 답변하거나, 연락조차 되지 않는 거래소도 있었다”고 말했다. 현재 5곳만이 ISMS 인증을 받았다. 

보안 생태계도 구축한다. 

KISA는 2019년에 민간협력 기반 취약점 발굴 체계인 버그바운티 ‘Hack the KISA’ 모델을 확장하는 한편, 수집된 사이버 위협 정보도 각 산업 부문과 공유할 계획이다.

김석환 원장은 “약 6억 건에 달하는 사이버 위협정보가 2019년 안에 수집되고, 2020년에는 두 2배에 달할 것”이라며, “지난해 개소한 KISA 빅데이터 센터를 통해 위협 정보를 공유하겠다”고 말했다.

또 이전 비식별지원센터를 데이터 안전활용기술 지원센터로 개편해 데이터경제 활성화를 지원하고, 블록체인 활용사업도 공공 분야 12개, 민간 주도 3개 프로젝트를 신규로 추진할 계획이다.

2019년 KISA의 블록체인 사업 개요는 공공 분야 6개 부처, 4개 지자체, 2개 공공기관이, 민간 분야는 기부, 공동 ID · 인증, 중고차 거래 등이다. 예산은 총 213억 원이 투입된다.

김석환 원장은 “블록체인 사업을 통해 올 하반기부터 관세 통관은 2-5일 가량 단축되고, 환적 화물 처리도 개선될 것”이라며, “KISA가 공공 사업 추진을 통해 (국민이) 빠르게 체감할 수 있도록 지원할 것”이라고 말했다. 

아울러, 지역 보안 역량 강화에도 힘쓴다.

김석환 원장은 “한 나라의 보안 수준은 가장 취약한 곳이 기준, 그곳이 지역”이라며, “대기업 외에 그 협력기업의 정보보호 수준을 어떻게 끌어올릴지가 관건”이라고 말했다.

KISA는 2019년에 지역 정보보호지원센터를 1개소 추가 설립해 8개소로 늘리고, 지역 특화 산업과 연계한 융합보안 대학원도 3개소 신설할 예정이다.

"정보 보안은 보이지 않지만 중요...비용도 같이 생각할 때"

김석환 원장은 브리핑을 마치며 “이제는 편익과 비용을 고려할 때”라고 전했다. 앞서 김 원장은 “정보 보안은 척추와 같다”며 눈에 보이지는 않지만 중요하다고 강조한 바 있다. 이익만 따지고 그에 상응하는 비용을 피해서는 안 된다는 것이다.

김석환 원장은 그 사례로 일본은 ‘IoT 점검 법안’을 예로 들었다. 김 원장은 “일본 사이버침해 2/3가 IoT기기에서 발생한다”며, “일본은 이에 대책으로 5년 한시법을 만들어 IoT 취약점을 가진 단말기를 탐지해, 위험한 기기를 가진 기업이나 개인에게 통보하고 있다”고 설명했다. 

하지만 한국에서는 불가능하다. KISA는 지난해 자체 예산 45억 원을 들여 IoT취약점 탐지 분석 시스템을 만들었지만, 기업이나 개인이 점검을 의뢰해야만 사용할 수 있다.

김석환 원장은 “우리 사회가 기술 발달에 따른 편익도 있지만, 그 기술을 채택함에 따른 비용문제도 발생한다”며, “이제는 같은 테이블 올려놓고 생각해야 한다”고 말했다.