• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

"보안 기술의 국제 표준화로 경쟁력 강화에 일조할 것!" 2010.09.16

염흥열 순천향대학교 정보보호학과 교수

 

지난 2001년 순천향대학교에 처음으로 정보보호학과를 개설, 운영하고 있는 염흥열 교수는 지금까지 20년 동안 다양한 응용 보안 기술 연구와 후학양성에 매진하고 있다. 특히 국내 정보보호 수준 향상과 보안 기술 표준화를 위해 ITU-T(국제전기통신연합 전기통신표준화부문) 연구반 17의 부의장과 연구반 17/작업반 2의 의장으로 활동하고 있으며 ISO/IEC JTC 1 SC 27에서 네트워크보안 국제표준 에디터로 활동하는 등 ITU-T와 ISO/IEC JTC 1에서 현재 개발 중인 10건의 국제 표준 에디터로 활동하고 있다.


현재 순천향대학교에서 후학을 가르치고 있는데 주로 어떤 분야를 강의 하고 있는지. 순천향대학교에서 20년을 근무하고 있다. 특히 지난 2001년에 국내 최초로 학부에 정보보호학과를 개설하여 운영하고 있다. 학부과정에서 강의하는 과목은 인터넷보안, 방화벽, 네트워크 프로그램, 데이터통신, 컴퓨터 네트워크 등, 네트워크 보안 분야이다. 특히 석겧迷?과정의 경우, 무선 LAN 보안, 무선 네트워크 보안, 네트워크 보안 프로토콜 등이다.


한국인터넷진흥원(KISA)의 ISMS 인증위원장으로 활동하고 있는데. ISMS는 기업의 다양한 보안 환경과 보안 위협에 대처하기 위한 기술적, 물리적 보안 대책을 수립하여 시행하는 경영 프로세스이다. 한마디로 ISMS는 기업의 정보보호 수준을 한 단계 업그레이드 할 수 있는 중요한 툴이다. ISMS 인증은 ISMS를 수립 및 운영하고 있는 기업을 대상으로 정보통신망보호법에서 제시된 기준에 의거해 기업 ISMS 운영의 적절성과 타당성을 심사받고 심사를 통과한 기업에 ISMS 인증서를 부여하는 제도이다. 지난 3년간 최종 ISMS 인증 여부 타당성을 결정하는 한국 ISMS 인증위원회의 위원장으로 활동하고 있다.


현재 우리나라의 ISMS 인증 상황은 어떠한가. 지금까지 우리나라 나름대로 기준과 법제도에 근거해 적절하게 운영되어온 것도 인정되지만 ISMS 수준은 일본 등 선진국에 비해 아직 많이 미흡하다. 왜냐하면 한국인터넷진흥원의 ISMS 인증을 받은 기업의 수는 2010년 8월 현재 79개 정도이며 국제 ISMS 인증기업을 감안하면 국내 ISMS 인증기업은 185개이다. 일본의 경우 현재 3,572개 이상의 기업이 ISMS 인증을 받은 것으로 알려져 있다. 따라서 국내에서 ISMS 인증 기업의 수를 획기적으로 늘리기 위한 ISMS 활성화를 위해 다각적인 정부의 지원 정책이 방송통신위원회 차원에서 마련되고 일부는 시행되고 있으나 기업의 ISMS 중요성에 대한 인식제고가 필요하며 특히 교육, 의료, 금융 분야 기업에 대한 ISMS 인증을 적극적으로 권장할 필요가 있다고 본다.


우리나라 아이핀(i-PIN) 제도의 운영과 정착에도 그동안 많은 노력을 기울였는데. 지난 2005년도에 아이핀(i-PIN)의 개념과 구조를 설정하기 위한 옛 정보통신부의 태스크포스 활동에 참여한 적이 있어서 아이핀 국내 운영 및 정착에 기여했다고 자부하며 아이핀의 발전과 확산에 남다른 애정이 있다. 지난 2008년 ITU-T 세계통신표준총회(WTSA)의 사이버보안 행사에서 한국의 아이핀을 발표해 중국 등으로부터 호평과 관심을 받은 바 있다. 아이핀은 한마디로 인터넷 상에서 주민등록번호를 대체하고 사용자 신원확인을 수행하는 한국형 아이디 관리 체계라고 볼 수 있다. 이러한 아이핀이 공공 및 정부, 모든 민간 분야에까지 모든 분야로 전면 확대 적용되어야 한다고 생각한다.


현재까지 아이핀(i-PIN) 제도가 제대로 정착되지 못한 이유는 무엇이라고 생각하는가. 현재 아이핀(i-PIN)이 직면한 문제는 아이핀을 구축하고 운영해야 할 기업의 문제와 사용자의 인식부족 문제로 구분할 수 있다. 아직 많은 기업이 관행적으로 주민등록번호를 이용해 회원가입을 받고 있다. 또한 기업의 아이핀 도입 의지가 부족한 실정이다. 따라서 기업은 주민등록번호 수집을 원천적으로 방지하면서 사용자의 신원을 확인할 수 있는 아이핀을 구축하여 서비스를 제공해야 할 것이다. 또한 사용자도 주민등록번호 등 자신의 개인정보를 필요 이상으로 인터넷 기업에게 주지 않아야 하며 주민등록번호를 이용해 회원 가입하지 말고 아이핀을 이용해 회원가입을 해야 한다.


최근 개인정보유출 사건이 이슈가 되고 있는데 각 기업의 개인정보보호 수준 강화를 위해서 해야 할 것은. 한마디로 기업의 개인정보 수집을 최소화하기 위한 노력과 수집된 개인정보의 안전한 처리와 보호가 요구된다. 기업은 자신이 지킬 수 있을 만큼만 개인정보를 사용자로부터 수집해야 한다. 예를 들어 아마존 등 외국 유명 사이트에 가입하기 위해서는 지극히 작은 수의 개인정보만을 제공하는 데 반해 우리나라는 필요치 않은 개인정보를 요구하고 있다.

 

적지 않은 기업이 개인정보 수집을 최소화하는 노력을 기울이고 있으나 대부분 국내 기업의 경우 아직도 많이 부족한 편이다. 또 기업의 개인정보도 표준화된 방법으로 안전하게 관리되어야 하며 개인정보관리 체계와 기준을 만족한 기업에 대해 국가에 의해 인증을 부여하는 것도 적절하다고 생각한다. 최근 방송통신위원회가 PIMS(Personal Information Management System, 개인정보관리체계) 제도를 2011년부터 시행한다고 발표한 바 있다. 이는 매우 바림직한 정책 방향이며 기업은 수집된 개인정보를 전사적 차원에서 전생명주기 동안 보호하는 관리체계 구축이 요구된다.


우리나라의 정보보호 현황과 수준을 평가한다면. 국가의 보안 수준은 국가, 기업, 개인 차원에서 평가될 수 있다. 먼저 정보보호에 투자가 되지 않은 상태에서 높은 정보보호 수준을 달성할 수 없다고 생각한다. 따라서 정보보호 수준을 높이기 위해 기업, 국민, 정부 차원의 활동이 필요하다고 생각한다. 세계경제포럼이 발표하고 있는 우리나라 정보보호 수준은 2009년 14위로 발표되었다. 그러나 기업, 정부, 국민 측면에서 정보보호강국으로 평가받기에는 아직 많이 부족하다.

 

정부의 정보기술 대비 정보보호 투자비는 미국의 경우 10% 내외가 되지만 우리나라는 2010년도에 8.2%(2,702억원)로 아직 선진국에 비해 아직 부족하다고 생각한다. 또한 방송통신위원회와 한국인터넷진흥원(KISA)이 국내 2,300개 사업체를 대상으로 조사한 2009년 기업 정보보호 실태에 따르면 정보보호 지출이 전혀 없는 기업이 63.6%, 정보화 투자 대비 5% 미만인 기업이 94%로 기업 대부분의 정보보호 투자가 미흡했다. 이를 보면 기업의 정보보호 투자는 많이 부족하다. 우리의 정보보호 수준을 획기적으로 개선하기 위한 사이버보안 법제도의 개선, 국민 의식수준 향상, 침해사고 예방 및 대응, 기업 및 정부의 정보보호 투자 및 대응 등의 활동이 요구된다. 특히 기업이 기업 비즈니스 연속성 확보 차원에서 정보보호에 적극적으로 투자해야 한다.


현재 우리의 최대 보안 이슈는 무엇이며 이에 대한 대응방안은. 보안 이슈 중 현재 가장 문제가 되는 이슈는 DDoS 공격과 개인정보 유출 사건이라고 할 수 있다. 작년 7.7 DDoS 공격은 언제든지 다시 발생할 수 있다. 이 7.7 DDoS 공격 때보다 더 정교하고 발전된 봇넷이 나타나고 있다고 보고되고 있다. 또한 향후에는 인터넷전화, IPTV 서비스, 스마트그리드, 클라우드 컴퓨팅 서비스 또는 인프라에 대한 보안 위협과 이를 통한 개인정보의 유출 등 신규 보안 위협도 가까운 장래에 현실화 될 가능성이 있으며 특히 스마트폰을 이용하는 사용자가 급격히 증가함에 기인해 사용자 프라이버시 침해와 개인정보의 유출 등 다양한 보안 위협이 대두되고 있다.

 

이에 IT 제품 및 서비스 설계 단계에서 보안이 선행적으로 고려되고 삽입되어야 하며 설치 및 운영과정에서도 지속적으로 보안 위협이 평가되고 보안 대책을 마련되어야 하며 보안침해 사고에 사전 예방 체계와 신속하고 적절하게 대응 체계를 유지해야 한다. 물론 이를 위한 정보보호 조직의 구축은 당연한 것이다. 그리고 기업과 국민의 정보보호 수준을 제고하기 위한 기반을 마련하기 위해 국가 차원 정보보호 정책의 우선순위 부여와 각종 지원 정책 마련이 필요하다.

 

특히 최근 스마트폰과 SNS 보안 위협이 증가하고 있는데 이에 대한 의견은. 소셜 네트워크에서 가장 큰 보안 위협은 사용자의 위치에 대한 정보를 포함한 개인정보의 유출과 프라이버시 침해이다. 특히 사용자의 위치 정보에 대한 보호와 사용자의 위치정보보호 인식제고가 절대적으로 필요하다. 특히 쇼셜 네트워크를 통한 개인정보의 유출은 프라이버시 침해에와 함께 범죄 목적으로 활용될 가능성이 있으며 이미 범죄의 목적으로 활용될 수 있는 다양한 응용이 이미 존재하고 활용되고 있다고 알려지고 있다.

 

예를 들면 대표적인 쇼셜 네트워크 서비스인 페이스북(Facebook) 사용자의 개인정보와 위치정보 등을 분석해 사용자에 대한 범죄가 나타날 가능성이 매우 높다. 따라서 소셜 네트워크 서비스 제공자는 이러한 위협들에 대한 대비책을 마련해야 하며 이 대비책에 대한 글로벌 차원의 표준화된 합의가 필요하다. 특히 프라이버시 침해를 최소화할 수 있는 기술적, 관리적 대응 기법과 모범 사례에 대한 연구를 시작해야 한다. 이러한 연구는 국내 단독 연구보다는 국제협력 연구형태로 수행되어야 한다. 또한 이용자 자신의 개인정보는 이용자 스스로 지켜야 하며 이에 대한 위협과 이의 침해사고 파급효과에 대해 이용자에게 알리는 인식제고가 필요하다.


요즘 주로 연구 하고 있는 분야는. 연구 분야는 무선네트워크 보안 프로토콜, 센서네트워크 보안, 공격자 역추적 기술, RFID 보안, IPTV 보안, 아이디 관리기술, 정보보호 수준 평가 지표 등의 다양한 응용 보안 기술을 연구하고 있다. 정보보호 기술에 바탕을 둔 법제도 등의 정책 연구도 수행하고 있다. 또한 네트워크 보안 및 응용 보안 분야에 대한 연구에 그치지 않고 연구결과를 국제표준화로 연결하고자 한다. 이를 위해 ITU-T(국제전기통신연합 전기통신표준화부문, International Telecommunication Union Telecommu nication Standardization Sector) 연구반 17의 부의장과 연구반 17/작업반 2의 의장으로 활동하고 있으며 ISO/IEC JTC 1 SC 27에서 네트워크보안 국제표준 에디터로 활동하는 등 ITU-T와 ISO/IEC JTC 1에서 현재 개발 중인 10건의 국제 표준 에디터로 활동하고 있다. 통상 에디터는 국제표준을 개발하고 문서화 작업을 수행하는 역할을 수행한다.

 

국가 정보보호 정책 및 규제와 연관된 국제 표준화도 매우 중요하다고 본다. 대표적으로 우리나라 국가정보보호지수를 ITU-T 국제 표준으로 개발하기 위한 ITU 권고 X.csi(사이버보안지수) 표준화 아이템을 지난 4월 ITU-T 연구반 17 회의에서 신설한 바 있고 현재는 에디터로 활동하고 있다.

 

우리나라 정보보호분야의 발전 방향은. 우리나라 정보보호분야는 정보보호 연구개발을 통한 기술수준 향상, 정보보호 인력양성, 정보보호 산업발전, 정보보호 법제도 향상 등 4가지 축이 적절하게 선순환적으로 연결되어야 발전할 수 있다고 생각한다. 현재 정보보호 인력은 전 세계 차원에서 부족하므로 인력양성을 위해 산업체를 포함한 관련 주체의 인력 양성을 위한 지원이 필요하며 정보보호 기술개발은 미국, 일본 등 선진국의 경우 가장 높은 우선순위를 두고 지원하고 있음을 감안해 우리도 우선순위를 높여야 할 것이며 정보보호 법제도 향상을 위한 노력도 꾸준히 필요하다.

 

특히 국내 정보보호 산업은 전년대비 9.2%(8,072억), 2014년까지 연평균 10.3% 정도의 성장세가 예측되는 유망 산업이다. 다만 150여개 가까운 정보보호 업체를 보유하고 있고 국내 정보보호 산업 규모는 아직 상대적으로 선진국에 비해 작은 규모이므로 지난 20여년간 습득한 경험과 노하우, 마케팅 전략을 통해 일본, 싱가폴 등 안정적 해외 시장을 적극 개척할 필요가 있다. 이를 위한 기반 조성은 정부의 역할이다.

 

앞으로의 계획은. 대학 교수의 기본 책무는 역시 후학 양성이다. 지난 2001년에 국내 최초로 학부과정에 정보보호학과를 신설했고 이를 통해 정보보호 분야의 이론과 실무를 겸비한 고급 인력 양성을 위해 노력할 생각이다. 또한 정보보호분야 국제 표준화 활동에 우선순위를 둘 것이다. 이를 통해 국내 보안 기술을 국제 표준화로 추진하여 국내 정보보호 산업과 기술의 국제 경쟁력을 강화하는데 일조하고 싶다.


최근 기억에 남는 일이 있다면. 최근 방송통신위원회가 개최한 ‘2010년도 해킹 방어 대회’에서 우리 학부 및 석사과정의 제자들로 구성된 ‘염흥열 교수의 제자’라는 팀이 우승을 차지한 바가 있다. 이 사실은 사전에 알지 못했고 대회가 끝나고 나중에야 알게됐다. 하지만 이러한 성과는 정보보호 이론뿐만 아니라 실무지식을 갖추지 않으면 달성할 수 없다고 생각하고 그들을 지도하는 교수의 입장에서 이번 해킹대회의 쾌거를 개인적으로는 매우 자랑스럽게 생각하고 있으며 기억에 남는 일이 됐다. 향후에도 이론 및 실무 기술을 겸비한 정보보호 공학도를 육성하여 각 분야에 공급함으로써 우리나라 정보보호 수준을 향상하는데 노력을 경주할 것이다.

<글/사진 : 김태형 기자(is21@boannews.com)>


[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>