• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

GDPR 이어 EU ‘사이버보안 인증 프레임워크’가 온다 2018.10.31

NATO CCDCOE의 전략가의 미래 예측 네 가지
유럽연합 사이버 보안 인증 프레임워크, 회원국들은 이미 동의

[보안뉴스 문가용 기자] 31일까지 제주도에서 열리고 있는 사이버 공격방어대회 및 컨퍼런스에 참관 중인 심 알라탈루(Siim Alatalu) CCDCOE 전략연구원은, 정책과 전략, 대외 협력이라는 측면에서 보안을 연구해온 인물이다. CCDCOE는 NATO와 긴밀히 협력하는 합동사이버방어센터다.

사이버 공격방어대회 보안컨퍼런스에서 강연 중인 심 알라탈루[이미지 = 보안뉴스]


전략을 연구한다는 건 지금 당장의 트렌드를 파악해 미래를 예측한다는 것이므로, 그에게 가까운 미래를 전망해 달라고 부탁했다. 그는 네 가지 이슈를 꼽았다.

하나는 사이버 공격 주체를 지목하는 게 가능해졌다는 것이다. “오래 전부터 보안 업계에서는 공격자를 말한다는 게 터부시되어 왔습니다. 기술적으로 명확한 증거를 확보하는 게 어렵기도 했고, 여러 정치적 혹은 전략적 상황 때문에 힘들기도 했습니다. 하지만 최근 들어서는 이 터부가 사라지고 있습니다. 예를 들어 워너크라이는 북한이 했다고 여러 나라가 발표하기도 했죠.”

이 현상은 두 가지 방향으로 뻗어나갈 수 있다고 그는 예상한다. “사이버 범죄 행위의 리스크가 커지게 하는 것이므로 어느 정도 범죄 억제력을 발휘할 것입니다. 미국은 최근 러시아 해커들에게 경고 메시지를 보냈다고 하죠. 이 역시 공격자 지목이 가능해지니까 나타나는 현상입니다. 하지만 이런 행위는 외교적 비화로 이어질 가능성도 가지고 있습니다. 사이버 공간에서의 사건 때문에 외교 차원에서의 문제가 점점 더 빈번하게 발생할 것이라고 봅니다.”

그러면서 그는 “아마도 많은 국가가 두 가지 노선으로 가닥을 잡을 것”이라고 말했다. “해외의 공격 주체에 대해서는 계속해서 ‘우리가 널 알고 있다’는 메시지를 보낼 겁니다. 공격을 계속 한다면 국가적인 조치를 취하겠다는 경고를 하는 것이죠. 그리고 국내 사용자들에게는 ‘보복 해킹’은 불법이라는 걸 계속 강조하겠죠. 공격자를 알아낼 수 있다면 보복하려는 움직임이 일어날 것인데, 이것이 성행하는 건 국가로서 달갑지 않기 때문입니다.”

두 번째는 “이제 정말로 사이버 공격으로부터 안전한 사람이나 장소는 어디에도 없다”는 것이라고 그는 꼽는다. “소위 말하는 성역(sacred ground)이 없어지고 있어요. 이게 과장도 아니고, 일종의 수사적인 표현도 아닙니다. 보안 성역이 없어진다는 건, 결국 이게 일부 전문가가 아니라 모든 사람들의 문제가 된다는 뜻입니다.”

알라탈루는 “그렇기 때문에 보안 인식 제고 활동이 중요해질 것”이라고 강조한다. “모두가 보안 전문가가 될 필요는 없지만, 보안 실천 사항을 스스로 지킬 필요는 있게 되겠지요. 그것만으로도 보안에는 큰 도움이 됩니다.”

세 번째는 “전 세계적인 움직임이 중요해질 것”이라는 점이다. 이미 인터넷 공간은 굉장히 위험한 곳이라는 걸 사람들이 인지하기 시작했는데, “그렇다고 인터넷을 통째로 없앨 수는 없으니, 문제를 바로잡기 위한 움직임이 일어날 것”이라는 설명이다.

“예를 들어 마이크로소프트는 이미 새로운 제네바 협약 혹은 디지털 제네바 협약이 필요하다고 주창했습니다. 여러 IT 업체들이 함께 가짜뉴스에 맞서겠다고 뭉치기도 했죠. 이런 식으로 보안을 둘러싼 국제적인 움직임들이 있을 것입니다. 물론 이것이 곧바로 국제법 제정으로 이어질 것이라고는 보기 힘듭니다.”

어쩌면 가장 긴급하고 중요할 수 있는 네 번째는 유럽연합이다. GDPR만큼이나 파급력이 강한 규정이 지금 마련되고 있다며 알라탈루는 “이게 next big thing이다”라고 강조했다. 이 규정의 이름은 유럽연합 사이버보안 인증 프레임워크(EU Cyber Security Certification Framework)다.

“유럽연합에 수출할 제품이나 서비스는 일정 수준의 보안 인증을 통과해야 한다는 내용을 담고 있는 규정입니다. 이 규정의 대상이 되는 품목을 정하는 부분에서도 그렇고, 인증 수준을 정하는 것에서도 그렇고 유럽에서는 지금 엄청나게 논의가 이뤄지고 있습니다.”

보안 제품이나 솔루션만이 해당되는 게 아니다. 이 규정이 다루고자 하는 건, 모든 제품과 서비스다. 통과되면 유럽과 거래하는 세계 모든 조직들이 자신이 제공하는 제품이나 서비스의 보안 수준을 높이기 위해 대대적인 투자를 감행해야 할 것으로 보인다.

“현재 이 규정안은 유럽연합 회원국들의 동의를 받은 상태입니다. 이제 유럽연합 위원회(EU Committee)의 승인을 받고, 그 다음으로 유럽의회(EU Parliament)를 통과하면 GDPR처럼 정식 도입될 것입니다.”

3줄 요약
1. 앞으로 보안은 모두의 기본 상식.
2. 국제 단위의 움직임이 일어날 것으로 예상됨.
3. 유럽연합은 GDPR 만큼 파급력 높은 규정 준비 중에 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>