한국CISO협의회, 18일 더플라자 호텔에서 ‘제94차 CISO포럼’ 개최
이재진 KDATA 유통기반실장, 최환진 시큐아이 CEO 발표자로 나서

[보안뉴스 양원모 기자] 늘 누군가에게 위탁되는 게 익숙한 개인정보. 그러나 이제는 개인정보의 처리 및 관리를 정보주체 본인이 결정하는 ‘마이데이터(MyData)’ 시대가 다가오고 있다. 해외에선 이 흐름에 어떻게 대응하고 있고, 국내에선 어떤 관련 사업이 추진되고 있을까.


18일 서울 중구 더 플라자 호텔 루비홀에서 한국CISO협의회(회장 최동근)가 개최한 ‘제94차 CISO포럼’은 이에 대한 답을 들을 수 있는 자리였다. 이날 행사에서는 마이데이터뿐 아니라 4차 산업혁명 시대에 접어들며 급속히 진행 중인 IT·OT 컨버전스 환경에서의 보안을 고민하는 시간도 마련됐다.

마이데이터의 현재와 미래
이날 이재진 한국데이터산업진흥원(KDATA) 유통기반실장은 마이데이터 국내외 현황과 사업추진 계획을 소개했다. 올해 과학기술정보통신부에서 서비스 실증을 위해 총 80억을 지원받은 마이데이터 사업은 정보주체(개인)가 자신의 정보를 본인 판단에 따라 제3의 서비스에 활용하도록 하는 것이다. 이 실장은 “국내에도 알게 모르게 마이데이터 개념이 많이 들어와 있다”고 말했다.

최근 데이터 경제가 화두로 떠오르면서 데이터는 △맞춤 서비스 △사회 이슈 해결 등 다양한 분야에서 활용 가치가 증가하고 있다. 특히, 국가 및 기업, 개인의 경쟁력을 좌우하는 핵심 척도로 떠오르고 있다. 마이데이터의 추진 배경이다. 그러나 개인정보 활용에 대한 사회적 반감 등 넘어야 할 산이 많다. 이 실장은 “이런 이유로 업계에서는 데이터 활용이 어려운 상황”이라며 “개인정보보호법 등에서 허용하는 개인동의 기반 아래 (데이터의) 활용 체계를 고민했다”고 말했다.

해외에서는 마이데이터 서비스가 성공적으로 정착한 모양새다. 구글의 ‘테이크아웃’이 대표적이다. 연락처, 일정, 구글 드라이브 파일, 구글 포토의 메타데이터, 크롬 북마크, 각종 앱 세팅 정보 등 원하는 분야에서 사용자 의사에 따라 개인정보를 내려 받을 수 있다. 미국 오바마 정부에서 추진한 ‘블루 버튼’ 서비스도 주목할 만한 사례다. 각 지역별로 흩어져 있는 퇴역 군인들의 의료 기록을 한 곳에 모아 의료 서비스를 지원하는 사업이다. 이외에도 영국의 ‘마이덱스(MyDex)’, 일본의 ‘마이나포탈’, ‘정보은행’ 등도 마이데이터를 활용한 것으로 볼 수 있다.

국내로 눈을 돌리면 국세청의 ‘연말정산 간소화 서비스’가 마이데이터와 유사한 서비스로 꼽힌다. 실제 금융업계는 마이데이터 활용이 활발한 분야 중 하나다. △금융결제원 ‘내 계좌 한 눈에’ △한국신용정보원 ‘내 보험 다 보여’ △한국예탁결제원의 증권정보 API 서비스 ‘SEIbro Open API’ 등 이미 실생활에서 다양한 서비스가 활용 중이다. 민간에선 △쿠콘 ‘정보API스토어’ △데일리 ‘브로콜리(앱)’ △레이니스트 ‘뱅크샐러드(앱)’ 등이 마이데이터 응용 사례로 평가된다. 의료 분야도 마이데이터 활용 가능성이 높은 분야지만, 진료기록 등 핵심 데이터 확보가 어려운 점이 장애물로 평가된다.

현재 KDATA는 3단계에 걸쳐 마이데이터 사업을 추진 중이다. 개인정보 통제권 및 이동권 등 사업에 기반이 되는 제도들을 손 본 뒤, 의료·금융 등 주요 분야 민간데이터를 활용한 마이데이터의 경험을 대중에 확산시켜 마이데이터 다양화에 힘쓴다는 계획이다.

특히, 과기정통부 지원을 받아 의료·금융·에너지·유통 등 5개 분야에서 진행되는 8개의 실증 서비스는 마이데이터의 성공 가능성을 판단할 시금석이 될 전망이다. △의료 마이데이터 플랫폼 및 검진데이터 활용 건강관리 서비스(의료) △본인정보 통합조회 및 생애주기별 맞춤형 금융상품 추천서비스(금융) △에너지 마이데이터를 활용한 사용자 맞춤형 절감서비스(에너지) △소상공인 성장을 돕는 문서·자금 플랫폼 서비스 등이다.

OT는 서자?... “IT 만큼 다양한 솔루션 필요”
이날 포럼의 또 다른 주제는 ‘IT·OT(제조설비기술) 컨버전스 환경의 디바이스 보안’이었다. 발표를 맡은 최환진 시큐아이 CEO는 4차 산업혁명의 특징 중 하나인 ‘초연결성(Hyper Connectivity)’을 언급하며 IT에 비해 열악한 OT 솔루션 환경을 지적했다. 최 CEO는 “OT는 굉장히 광범위하고, 현장에 노출돼 있는 기기임에도 불구하고 솔루션이 많이 없다”고 말했다.

더욱 우려스러운 건 OT 공격 방식이 점점 진화하고 있다는 점이다. 최 CEO는 △러시아 천연가스 회사 가즈프롬 파이프 통제권 탈취 사건(2000) △미국 오하이오 핵발전시설 웜 감염(2003) △대만 반도체업체 TSMC의 워너크라이 공격(2018) 등을 OT 침해사고의 예시로 들며 해커의 공격 범위가 넓어지고, 검증된 멀웨어를 활용하는 쪽으로 변화하고 있다고 진단했다. 그는 “(그러나) 오퍼레이션 레벨에서 (업계가) IT 만큼의 보안 프레임워크를 가져가고 있느냐”고 반문했다.

최 CEO는 미국표준기술연구소가 제시한 사이버보안(IT) 프레임워크처럼 OT 분야에도 보안 프레임워크가 필요하다고 주장했다. OT 네트워크의 가용성에 미치는 영향을 최소화하기 위해 패시브(N/W 패킷 미러링) 방식으로 가시성을 확보하고, O/S 보호를 통해 외부로부터의 악성코드를 막는 효율적인 방어체계를 구현하는 것 등이다. 그는 “생산설비는 한 번 도입되면 폐기할 때까지 쓰는 게 대부분”이라며 “설비 O/S를 격리하고, 사용자 권한을 상속하는 솔루션이 있으면 (최소한) 위협 탐지 부분에선 맘을 놔도 될 것”이라고 말했다.

최 CEO는 그러면서 네트워크·디바이스 보안의 구성 요소로 △알려지지 않은 위협 대응 △프로그램의 경량화(1MB 미만) △노(No) 업데이트 등을 설명하며 L0에 해당하는 필드 네트워크부터 L4인 IT 네트워크를 아우르는 IT·OT 통합 위협 인텔리전스의 필요성을 강조했다. 그는 “IT 쪽에 많은 보안 솔루션이 있는 것처럼, OT에 대해서도 고민하고 노력해야 할 때”라고 말했다.

한편, 최동근 한국CISO협의회장은 개회사에서 지난 13일 정보통신망법 개정으로 CISO 겸직이 금지된 것을 언급하며 “협의회가 할 일이 많아졌다”고 짚기도 했다. 최 회장은 “언론에서 CISO 자격 요건에 해당하는 사람을 찾기 힘들다는 말이 나오는데, 사실 그렇지 않다. 우리가 CISO 풀을 만들어 흩어져 있던 CISO들의 정보를 관리하면 이런 말이 나오지 않을 것”이라며 “풀 운영 방법에 대해 고민해야 한다”고 주문했다.
[양원모 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>