국가 사이버보안 역량 평가: 정책, 법, 조직, 예산, 교육, 기술, 협력 등 7가지 중요

[보안뉴스 김경애] 세계 각국에서는 자국의 사이버보안 역량을 어떻게 평가하고 있을까? 요즘처럼 사이버테러, 사이버전, 개인정보 유출사고 등이 비일비재하게 발생하는 상황에서는 국가 안보차원에서 사이버보안 역량을 객관적으로 평가하는 일이 점차 중요해지고 있다. 우리나라의 경우 북한과의 사이버전과 중국발 해킹, 그리고 IS 등 테러단체의 사이버공격 가능성 등 다양한 보안위협에 노출돼 있는 상황이지만, 국내 특수성을 반영한 사이버보안 역량 평가항목은 찾아보기 힘들다.


해외에서는 사이버보안 역량을 평가하기 위한 기준이나 잣대가 이미 상당수 구축되어 있는 상태다. 美 헤리티지 재단의 ‘2015 군사력 지수’, BSA의 ‘사이버보안 대쉬보드’, ITU의 ‘세계 사이버지수’, ASPI의 ‘아태지역 사이버 성숙도’, RAND의 ‘사이버방어 역량 성숙도 모델’, 옥스퍼드 대학의 ‘사이버보안 역량 성숙도 모델’, 美 에너지부의 ‘사이버보안 역량 성숙도 모델’ 등 국가 및 기관 저마다의 특성에 따라 평가항목을 만들어 사이버보안 역량을 평가하고 있다.

이에 우리나라도 사이버보안 역량을 평가하기 위한 보다 구체적인 항목이 필요하다는 의견이 제기되고 있다. 이와 관련 한국정보보호학회 논문지에 게재된 ‘국가 사이버보안 역량 평가를 위한 평가항목 연구’에 따르면 사이버보안 평가 항목으로 ①정책 ②법·제도 ③조직 ④예산 ⑤교육·훈련 ⑥기술·표준·인증 ⑦협력을 꼽았다. 이는 앞서 언급한 해외사례를 토대로 우리나라의 사이버공간 특성을 반영해 도출한 결과다.

1. 정책
우선 첫 번째 평가항목인 정책의 세부항목으로는 △사이버보안 정책 및 전략 발전수준 △기반시설보호 정책 및 전략 발전수준 △사고 대응 △위기관리체계 발전수준 △사이버보안 규정 준수 관리 및 감사 체계 발전수준이 도출됐다.

특히, 사이버보안 정책 및 전략 발전수준 항목은 해외 사례에서도 가장 중요한 항목으로 선정되는 등 국가 사이버보안 역량 평가를 위한 가장 기본적인 항목이라고 할 수 있다. 이와 관련 BSA는 국가 사이버보안 정책 존재 여부 및 채택 시기를 평가하고 있고, ASPI는 국가 사이버보안 정책 관련 조직구조를 평가항목으로 선정해 높은 가중치를 부여하고 있다.

2. 법·제도
법·제도 항목은 △정보시스템 및 사이버보안을 위한 기본법 △정보보호 △사이버범죄 △사이버보안 사고보고 의무에 관한 법률이나 규정의 발전수준이 포함돼 있다.

더욱이 사이버보안 기본법은 사이버보안의 기본 방향과 정책 수립·추진에 필요한 사항을 규정하는 가장 기본적인 법률로, 다른 하위 법률 제정의 근간이 되기 때문에 매우 중요하다는 지적이다.

정보보호에 관한 법률은 옥스퍼드 대학과 BSA에서도 평가항목으로 선정했고, 옥스퍼드 대학과 ITU는 사이버범죄에 관한 법률의 발전수준을 평가항목으로 선정했다. ASPI는 사이버범죄 관련 조직구조의 존재 여부를 주요 평가기준으로 삼는다.

3. 조직
조직에 관한 평가 항목은 △사이버보안 전담 조직의 발전수준 △CERTs의 발전수준 등을 세부항목으로 도출했다. 사이버보안 전담 조직은 해외 역량 평가 사례에서도 중요한 항목으로 평가되고 있는데, CERTs의 경우 국가 사이버보안 역량 평가를 위한 기본 항목으로 지정했다.

전담 조직의 경우 직접적인 업무 집행은 물론 정책 결정에 있어서도 책임을 지도록 한다. 이는 책임기관을 규정함으로써 권한과 책임을 명확히 하고, 조직 간의 중복 및 충돌을 예방해 행정 운영의 효율성을 향상시키기 위한 것이다. 이러한 전담 조직의 역할과 권한 등을 평가함으로써 해당 국가의 사이버보안 역량을 측정할 수 있다는 얘기다.

4. 예산
예산이 선정된 이유는 국가 정책에서 예산의 중요성과 비중을 고려했기 때문이다. 이는 국가가 사이버보안 관련 정책 수립이나 집행을 위해 얼마나 지출하고, 이를 위한 재원 조달방법은 평가하기 위한 것이다. 즉, 예산은 사용할 수 있는 자금한도를 나타내며, 예산 금액과 활동의 범위가 비례하므로 ‘권한 기능’이라고 할 수 있다.

이 때문에 사이버보안 예산은 국가의 사이버보안에 대한 의지를 나타내며, 향후 사이버보안의 발전 가능성을 나타내는 지표로 볼 수 있다. 또한, 국가 예산은 정량적 지표로 평가 결과에 객관성을 부여할 수 있다.

5. 교육·훈련
교육·훈련 항목의 경우 △사이버보안 인력 양성 체계 구축 △교육의 다양성 확보 △인식제고 △모범 사례 공유 프로그램의 발전수준 등이 세부항목으로 도출됐다. 미국의 경우 지난 2011년 ‘국가 사이버보안 교육 프로젝트 전략 수행계획(NICE, The National Initiative for Cybersecurity Eduction)’을 발표하고, 사이버보안 인력 양성을 위한 교육 및 훈련을 체계적으로 추진하고 있다.

우리나라의 정보보호 인력 교육에 관련해서는 종합적인 교육·훈련 체계가 마련되어야 한다고 전문가들은 강조한다. 이를 위해서 대학 커리큘럼, 직업훈련 등의 교육체계를 마련해 지속적·종합적인 사이버보안 인력 양성에 나서야 하고, 초급에서 전문적인 교육까지 수준별 교육을 온·오프라인 등의 다양한 형태로 지원하는 평가항목이 필요하다는 것.

또한, 국내외 모범사례 공유를 통해 사이버보안 역량이 향상될 수 있도록 지원하는 평가항목과 사이버보안의 중요성을 알리기 위한 인식제고 활동을 유도하는 평가항목도 포함되어야 한다는 게 보안전문가들의 설명이다.

6. 기술·표준·인증
기술·표준·인증 항목에서는 △연구·개발·조직 △표준·인증기관 발전수준 △기술 보유 수준이 세부 항목으로 도출됐다.

미국은 2009년에 발표한 ‘사이버공간 정책 재검토(CPR, Cyberspace Policy Review)’ 명령에 따라 대통령실 주도로 사이버보안 연구개발 전략을 수립하고 있다. 또한 ‘네트워크 및 정보기술연구개발’ 프로그램인 IT 이니셔티브를 만들고 ‘사이버보안 정보 신뢰’, ‘고신뢰성 소프트웨어 및 시스템’을 주요 연구개발 분야로 선정해 사이버보안 기술 연구개발을 수행하고 있다.

특히, 표준·인증 기관 설립 여부는 사이버보안 기술의 발전은 물론 사이버보안 인력·조직·기술의 신뢰성 확보에 기여할 수 있어 매우 중요한 항목이다.

7. 협력
협력 항목에서는 △민관 협력 △부처간 협력 △국제 협력 체계 발전수준 등이 포함됐다. 민관 협력 항목의 경우 해외 사례에서 사이버보안 역량 평가를 위한 기본 항목으로 강조되고 있다. 특히, 주요 기반시설의 사이버보안 강화와 인력양성 측면에서는 정부와 기업의 공조체계 구축이 반드시 필요한 항목이라고 할 수 있다.

미국은 2010년 국토안보부, 국방부가 미국 전역에 걸쳐 사이버보안 강화를 위한 공동 계획에 합의하고 부처간 협력 강화를 위해 노력하고 있다. 우리나라도 부처간 협력의 중요성을 인식하고, 관련 법률을 제안해 대응체계를 마련하고 있다. 향후 부처간 협력을 지속적으로 강화하기 위해서는 해당 항목도 주요 평가항목으로 선정할 필요가 있다.

이렇듯 국가 사이버보안 역량을 객관적으로 평가하기 위해서는 앞서의 7가지 항목을 중심으로 항목별 측정 및 평가 기준을 마련하는 것과 동시에 추가 항목 선정을 위한 보다 구체적인 연구가 필요할 것으로 보인다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>