사물인터넷, 인력 양성, 민관 협력과 정보 공유가 관건
대통령 바뀌면 폐지될까?...가능성 반반 점쳐져

[보안뉴스 문가용 기자] 미국 대통령 자문위원회가 국가 사이버 보안 강화를 위해 지난 주 몇 가지 권고 사항들을 정리해 ‘디지털 경제의 성장을 위한 보안’라는 이름으로 발표했다. 주요 사회 기반 시설, 컨버전스, 사물인터넷, 인력 보강, 공공부문과 민간부문의 협력, 정보 공유가 전반적으로 다뤄졌다. 자문위원회 자체는 오바마 행정부에서 올해 2월에 설립한 것으로 업계 전문가, 학자, 전 정부요원 등 12명의 전문가로 구성되어 있다.


IT 컨설팅 업체인 액센추어 페더럴 서비스(Accenture Federal Services)의 대표이자 CIA의 전 CTO인 거스 헌트(Gus Hunt)는 현재 사이버 보안 상태에 대해 “엉망이고 더 엉망이 되고 있다”고 평한다. “뭔가 희망적인 이야기를 미디어들은 하고 싶은가 본데, 현실은 전혀 그렇지 않습니다. 전혀 밝지도 않고, 사이버 공간은 사실 위험이 천만한 범죄소굴과 같습니다. 눈에 보이지 않아서 속고 있을 뿐.”

대통령 자문위원회의 권고 사항은 이런 암울한 사이버 환경을 개선하기 위한 대책의 초석으로서 발표된 것이다. 자문위원회는 다음 여섯 가지 부분을 주로 다루고 있다.
1. 정보의 기반구조와 디지털 네트워크의 보안
2. 디지털 환경 및 경제체제의 빠른 성장과 보안, 투자
3. 디지털 시대의 소비자 교육
4. 사이버 보안을 위한 인력 양성
5. 디지털 시대에 안전하고 효율적으로 운영되는 정부 만들기
6. 자유롭고 공정하고 안전하게 경쟁할 수 있는 세계적인 디지털 경제 체제

마이크로소프트 소속이자 이번 위원회의 구성원인 피터 리(Peter Lee)는 이번 권고 사항이 어떤 식으로 준비 및 집필되었는지를 소개하며 “3월에 위원회 구성이 완벽히 끝나자마자, 공청회를 수차례 열고, 사이버 보안의 다양한 관계자들을 만나 현실을 정확히 파악 하는 데에 먼저 주력하기 시작했다”고 말했다.

“저는 MS 출신이라 기술 분야에 대한 시각을 위원회에 제공할 수 있었습니다. 기술 발전이 어느 방향으로 향하고 있는지, 실리콘벨리의 발전이 미국 정부에 어떤 영향을 가져다줄 수 있는지, 어떻게 해야 둘의 협력관계를 더 단단하게 구축할 수 있는지 등과 같은 사안에서 의견을 개진할 수 있었죠.”

한편, 이번 권고 사항을 발간하는 데에 있어서 역시나 사물인터넷이 핵심이었다. 특히 사회 중요 시설 보안 부분에서 사물인터넷 기기들이 가장 큰 염려거리로 부상했다고 한다. 집필 과정에서 자문위원회는 사회 중요 시설에 사물인터넷 기기들이 계속해서 활용되고 있는 문제를 정부가 급히 다루어야 할 것이라고 강력히 촉구하기도 했다. 피터 리는 “앞으로 중요 사회 기반 시설과 일반 소비제품의 경계가 없어지는 방향으로 기술 발전이 진행될 것”이라며 “이는 모두가 연결되어 있는 시대가 될 것이기 때문”이라고 설명했다.

“우리 자녀들이 가지고 있는 곰인형 속 컴퓨터 칩들이 국가의 사이버 보안 문제와 직결되는 때가 올 겁니다.” 거스 헌트의 설명이다. 소비자들에게는 사소한 물건이 국가 안보에 있어 중요한 요소가 될 거라는 뜻이다. “그렇기 때문에 보안이 반드시 설계 단계에서부터 구축되어야 합니다. 또 모든 보안 관련 기능은 소비자들에게 투명하게 공개되어야 하죠. 전문가가 아니더라도 이해할 수 있는 수준으로요. 그렇지만 인간은 누구나 실수를 하기 마련이고, 그 실수 한 번이 매우 치명적인 결과를 낳을 수 있다는 불안감은 늘 존재하겠죠.”

이런 불안한 시대를 대비해 정보보안 인력을 키우는 것도 주요 미래 과제 중 하나로 손꼽혔다. 위원회가 인터뷰한 인물들 모두 인력이 부족하다는 걸 지적했고, 위원회는 이를 바탕으로 “차기 대통령은 2020년까지 사이버 보안을 담당할 수 있는 전문가 10만 명 양성을 기획해야 할 것”이라고 발표했다. 위원회는 보고서를 통해 “인재 양성은 공공부문과 민간 기업들이 힘을 합해서 해결해야 한다”고 촉구하고 있으며 “다양한 교육 프로그램의 개발은 물론 적극적인 펀딩 및 스폰서 참여도 이루어져야 한다”고 밝혔다.

이렇게 연결성이 더 높아지고 디지털 기기의 사용률이 높아지는 때의 국가 사이버 보안은 모든 사람의 책임이 된다는 데에 위원회 전부가 동의한다. 그렇기에 보안 관련 교육도 일찍부터 시작해야 한다고 위원회는 주장한다. “또, 모두가 참여하고 실천해야 하는 것 중에는 아이덴티티 관리가 있습니다. 현재 일어나는 사이버 공격 및 정보 유출 사건 대부분 사용자 ID와 암호를 훔친 것에서부터 비롯된 것이니까요. 하지만 사용자들에게 강력한 암호를 사용하라는 교육만으로는 효과가 없습니다. 이 부분 역시 정부의 정책적인 접근이 필요합니다.”

그러나 그 어떤 것도 정부 혼자서나 민간 기업체가 독단적으로 발전시킬 수 없다. 이번에 자문위원회가 민관 협력을 강조한 것이 바로 이 점 때문이다. 이는 특히 ‘정보를 공유한다’는 측면에서 극명하게 드러난다. “정보 공유는 위협을 낮추는 데에 매우 효과적인 방법입니다. 공격자들이 방어자보다 유리한 것은, 새로운 기술을 먼저 활용할 수 있어서인데, 방어자 입장에서 이에 대처하려면 뭉쳐서 정보를 교환해야만 합니다. 선공권을 가진 상대에게 넓은 방어막을 펼쳐서 대응하는 것이죠.”

피터는 “보다 빠르고 넓게 정보를 공유할 수 있게 되면 그 어떤 공격보다 봇넷 공격을 상당히 축소시킬 수 있을 것”이라고 설명한다. 하지만 기업들 입장에서는 정보 공유를 함으로써 사건 발생 시 엉뚱하게 휘말려 들어갈 수 있어 마냥 공유에 참여할 수만도 없다. 정보 공유자가 가진 책임의 범위를 정부가 확실히 정해주면 정보 공유가 더 활발해질 것이라고 위원회는 예측하고 있다.

일부 전문가들은 이 위원회가 트럼프 체제에서도 유지될 것인지가 문제라고 보고 있다. 반대로 국가의 사이버 보안 문제를 다루고 있는 이번 권고 사항들을 새 정부에서 폐지시킬 이유가 없다고 보는 사람들도 많다. 강제성이 있는 것이 아니기 때문에 굳이 논란을 일으키며 위원회의 노력을 물거품으로 만들 이유가 있겠냐는 거다. 인포섹아일랜드(InfosecIsland)의 케이시 크로스(Kasey Cross)는 “트럼프는 고용율과 산업 촉진에 초점을 두고 있다”며 “사이버 보안을 방해요소로 볼 가능성이 다분하다”는 의견이다.

이번에 위원회가 발표한 문건은 여기서 열람이 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>