2016년 2월 정보보호최고책임자(CISO)협의회 포럼 개최
미래부의 2016년 주요 정책 방향과 2016년 보안 트렌드 공유

[보안뉴스 민세아] 북한의 미사일 발사 도발, 사드 배치 문제, 인포콘 3단계 격상 등의 이슈로 보안위협이 더욱 고조되는 가운데 기관 및 기업의 보안을 책임지는 CISO들이 한 자리에 모였다.


개회사에서 정보보호최고책임자(CISO)협의회 이홍섭 회장은 “국정원의 사이버위기경보가 격상되고, 군에서는 인포콘을 3단계로 격상했다. 북한이 핵실험, 대륙간탄도미사일(ICBM) 발사 등으로 한반도의 긴장감을 고조시키고 있다. 북한이 우리나라 기상청의 기상정보시스템을 해킹해 광명성호 발사에 이용했다는 보도와 서울메트로의 지하철 운영지원 시스템이 바이러스에 감염됐다는 감사결과, 그리고 청와대 안보실을 사칭한 이메일이 북한 소행이라는 수사발표 등으로 당분간은 이런 분위기가 지속될 것으로 보인다”고 현 상황을 우려했다.

이 회장은 “인터넷과 관련된 주요 정보를 북한이 호시탐탐 노리고 있는 것 같다. 위의 문제들은 망분리 등 가장 기본적이고 근본적인 것을 준수하지 않는데서 시작한다. 이럴 때일수록 CISO들의 역할이 중요하다. 기본에 좀 더 충실할 필요가 있다”고 당부했다.

이어진 주제발표에서 미래창조과학부 사이버침해대응과 김우철 사무관은 정보보호 관련 주요 제도, CISO역량 강화, 정보보호산업진흥법 시행과 관련해 2016년 정보보호 분야 중점 추진정책을 발표했다.

정보보호 관련 제도로 국가·사회적 중요성 및 피해규모, 침해사고 발생 가능성 등을 종합적으로 고려해 주요정보통신기반시설로 지정하는 ‘주요기반시설 지정제도’, 기업이 스스로 수립·운영하고 있는 정보보호 관리체계가 기술적·물리적·관리적 기준에 적합한지를 심사해 인증하는 ‘정보보호 관리체계(ISMS) 인증제도’, 민간이 평가의 주체가 되어 정보보호 준비 수준을 평가하고 준비등급을 부여하는 ‘정보보호 준비도 평가’에 대해 집중 소개했다.

이 가운데서도 지난해 정보통신망법이 개정되면서 ‘ISMS 인증제도’에 많은 변화가 일어났다는 게 이 사무관의 설명이다. 기존에는 주요정보통신제공자를 대상으로 하던 제도가 이제는 의료, 교육, 에너지, 가스 등 사회·경제적 파급효과가 큰 전 ICT분야로 확대된다는 것. 또한, 인증기준 개정 수요를 조사해 인증 기준을 정비함으로써 인증기준의 최신성을 확보하고, 인증의무 미취득 사업자에 대한 과태료를 1천만 원에서 3천만 원으로 상향 조정한다는 방침이다.

일반적으로 IT 대기업 및 금융기업군, 중견 IT 기업군의 경우 대부분의 CISO가 정보보호에 대한 인식과 역량을 갖춘 반면, CISO의 약 80%를 차지하는 중소기업군의 경우, 기업 내 CISO의 필요성이나 역할에 대한 인식이 부족한 실정이다. 이에 미래부는 기업의 정보보호 대응능력 수준 제고를 위해 기업 규모를 고려한 △CISO 역량수준별 맞춤형 교육 △중소기업을 중심으로 한 맞춤형 컨설팅 강화 △정보공유 커뮤니티를 통한 역량을 강화하는 등 차별화된 접근방식을 적용할 계획이다.

또한, 지난해 12월 23일부터 ‘정보보호산업의 진흥에 관한 법률(이하 정보보호산업법)’이 시행됨에 따라 주요 내용인 △구매수요정보의 제공 △정보보호 제품·서비스의 대가 △정보보호 준비도 평가기관 등록 △정보보호 공시 △우수 정보보호기술·기업 지정 △성능평가 지원 △정보보호산업 분쟁조정위원회 등의 내용을 간략하게 소개하는 시간을 가졌다.

이어 고려대학교 정보보호대학원 김승주 교수가 ‘Security Trend 2016’이라는 주제로 많은 보안전문가들이 예상하는 최신 보안 트렌드와 이에 맞춰 어떤 연구가 진행되고 있는지 발표했다.

수많은 기업들이 발표한 2016년 보안 트렌드를 살펴보면 공통된 이슈로 꼽히는 것이 △생체인증 & 생체인식 보안(FIDO & Biometrics Security) △클라우드 & 사물인터넷 보안(Cloud & IoT Security) △커넥티드 카 & 드론 보안(Connected Car & Drone Security) △개인정보 유출(Private Data Leakage) 등이다.

이러한 이슈들로 인해 각각 △자동 인증-소프트웨어 생체인식(Active Authentication-SW Biometrics) △자동화(Automation) △고신뢰(High-Assurance) △Post Quantum Cryptography 기술들이 세계 각지에서 연구되고 있다고 김 교수는 설명했다.

현재 생체인식을 위해서는 하드웨어 센서가 필요한데, 자동 인증-소프트웨어 생체인식 기술은 이러한 하드웨어 없이도 생체인식이 가능하게 만드는 기술을 말한다. 말의 패턴을 인증하거나 사람의 특징을 이용한 인증, 서명 인증 등이 바로 행위기반 인증에 해당된다.

또한, 그는 보안 컨트롤이 점차 어려워지면서 인간이 관리할 수 있는 한계를 넘어서게 됐고 이에 따라 자동화 기술이 부각되기 시작됐다며, 그 트렌드를 반영한 대표적인 예로 데프콘의 변화를 꼽았다.

세계적인 해킹대회인 데프콘(DEFCON)에서 CGC(Cyber Grand Challenge)라는 행사가 올해 개최될 예정이라는 것. 기존 CTF(Capture The Flag)가 사람 대 사람이 경쟁하는 구조였다면, CGC는 사람이 만든 자동화될 프로그램 툴(Tool)끼리 경쟁하게 만드는 것이다. 자동화된 툴이 얼마나 정확하고 빠른 속도로 취약점을 잡아내는지가 관건이다. 관련 연구를 진행하고 있는 미국 방위고등연구계획국(DARPA)은 3년 안에 자동화된 취약점 분석 툴을 제공하고, 10년 이내에 자동으로 취약점을 찾아 자동으로 패치하는 툴을 제공할 계획으로 전해졌다.

커넥티드 카와 드론 보안과 관련해서는 고신뢰 기술 연구가 핵심 키라는 게 김 교수의 설명이다. DARPA가 개발한 신뢰도 사이버 군사 시스템(HACMS)과 호주 국립정보통신기술연구소(NICTA) 주도로 개발된 seL4(secure embeded L4)의 마이크로커널이 그 해답이 될 것으로 보인다는 얘기다. 미국에서는 이미 커넥티드 카 보안대책이 상당한 진전을 보이고 있는 상태로 알려졌다.

마지막으로, 개인정보 유출에 대한 연구로 제시된 Post Quantum Cryptography는 양자 컴퓨터 환경에 대비한 새로운 암호기술이다. 일례로 격자 암호(Lattice-based cryptography), 코드베이스 암호(Code-based cryptography), 다변수 다항식 암호(Multivariate polynomial cryptography), 해쉬 기반 암호(Hash-based cryptography) 등의 새로운 암호기술에 대해 설명한 김승주 교수는 “국내에서는 아직 Post Quantum Cryptography 연구가 미흡하지만, 향후 3년 안에 Post Quantum Cryptography에 대한 본격적인 논의가 진행될 것이므로 이에 대한 준비가 필요하다”고 전했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>