ICT 융합보안 강화를 위한 신규 보안서비스 시장 선점
스마트공장 등 주요 융합산업 분야 선제적 보안 지원대책 마련 필요성 제기

[보안뉴스 원병철 기자] 과학기술정보통신부(이하 과기정통부)가 5개년 계획으로 추진 중인 ‘제2차 정보보호산업 진흥계획’의 ‘10대 중점 추진과제’ 중 네 번째는 바로 ‘5G+ ICT 융합보안 산업 저변확대’다. 과기정통부는 ICT 융합산업 확산에 따른 ICT와 제조·운영기기의 결합으로 기존 사이버보안 위협이 다양한 전 산업의 안전 위협으로 전이됐으며, 5G 상용화로 ICT융합 서비스·기기가 확산됨에 따라 해킹사고 발생 시 국민의 생명·안전 및 경제 전반에 직접적 피해를 초래한다고 지적했다.


이에 과기정통부는 ICT 융합산업 보안모델 개발 및 실증을 통한 보안 안정성 확보와 산업계 맞춤형 지원을 통한 ICT 융합산업 보안시장 창출, 그리고 융합보안 강화를 위한 제도 정비 등을 추진전략 삼아 5개 분야 12개 세부 추진과제를 만들었다.

5G+ ICT 융합보안 산업 저변확대 5개 분야 12개 세부 추진과제
1. ICT 융합산업 보안 강화
①5G 상용화로 초연결이 가속화되는 ICT 융합환경에서 보안위협에 선제적 대응으로 안전하고 경쟁력 있는 5G 융합서비스 환경조성(2021~)


과기정통부는 1차 산업진흥계획(2016~2020) 성과로 △ICT 융합산업별 보안가이드(7종) 발간·배포 및 IoT 인증제도 시행과 △IoT기기, ICT 융합제품에 대해 공개된 보안위협 조치를 하는 대응 위주의 초기 기반 조성 등을 내세웠다. 아울러 2차 산업진흥계획(2021~) 방향으로 △ICT 융합산업 현장 실증을 통한 보안모델 구축·확산 및 제도개선 병행 △IT 이용기업, 이용자로 확대해 ICT 융합산업 분야에 대한 보안사고 예방·대응·복구까지 종합대응체계로 전환한다고 밝혔다.


②보안모델 개발·실증
ICT 융합산업(스마트공장, 자율주행차, 스마트시티. 디지털헬스케어, 실감콘텐츠) 서비스별 보안위협 진단을 통해 개선방안을 마련, 분야별 보안모델을 개발(융합산업분야 확대, 2021~)한다. 보안모델의 현장 적용(2021)을 통해 미비점을 사전에 검토하고, 우수 적용사례를 발굴해 산업계로 확산(2022~)한다. 또한, 기존 IT 환경과 다른 융합서비스 기기·플랫폼의 보안성을 테스트·검증할 수 있는 환경을 구축할 계획이다. 이를 위해 융합산업 관계부처, 유관기관과 협력하는 융합산업 현장에 운영하고 핵심기기 보안성 시험 도구와 절차를 제공(보안리빙랩)한다.


③협력체계 구축
아울러 과기정통부는 5G+ 핵심서비스별 소관부처, 유관기관·단체 및 민간분야 전문가 등이 참여하는 민관협의체를 구성·운영(2021~)한다. 부처별 협력을 통한 핵심 서비스별 보안강화 및 제도화를 지원하며, 특히 개별법에 따른 시험·인증에 보안기준 반영을 위한 연구·실증사업 수행을 지원한다. 또한, 분야 간 협력을 통한 융합보안 확산 및 시장·기술정보도 공유한다.


2. 융합보안 강화를 위한 제도 정비
④융합서비스·제품의 보안위협에 대응하기 위한 침해사고 예방·대응, 협력기반 조성, 보안강화를 위해 개별법령의 제도 정비 추진
5G, IoT 전반의 보안 강화를 위한 정보통신망법 개정안이 공포(2020.6월)되고, 산업분야별 보안 내재화를 위해 소관부처와 협력해 융합보안 강화를 위한 추진과제를 발굴·시행한다.


3. 융합보안 산업 신시장 창출
⑤융합보안 B2B 네트워킹
융합보안 수요기업·기관과 보안업계간 정보교환 및 수요 창출을 위한 ‘융합보안 Tech-Day’를 개최(2021~)해 융합산업계의 낮은 보안인식, 융합산업 보안 전문가 부재, 정부부처 소관 등의 이슈 해결을 위해 기업·기관 보안기술 현황 조사 및 매칭지원을 추진한다.

⑥보안강화 지원
사회적으로 파급력이 큰 공공분야를 중심으로 보안기술을 적용하고, 융합산업 보안 컨설팅 바우처 지원을 검토한다. 융합보안 기업의 레퍼런스 확보와 시장진출 지원을 위해 자율주행버스(세종), 스마트시티(부산), 디지털헬스케어(강원) 등 공공분야 적용을 지원한다.

⑦융합보안 버그바운티
안전한 융합보안 제품의 확산과 보안성 강화를 위한 융합보안 취약점 찾기 대회를 운영(2021~)하고, 민간 보안전문가의 집단지성을 활용하는 융합보안 보안취약점 신고·포상제를 도입해 안전성 제고 및 관심을 유도한다는 계획도 담겼다.

4. ICT 융합보안을 위한 사물인터넷(IoT) 보안인증 제도 개선
⑧IoT 보안인증 제도에 대한 의무화 등 국제시장 변화(美캘리포니아법(SB-327) 등)에 따라 글로벌을 선도하는 인증체계로 개선(2021~)
융합 가속화에 따른 다양한 산업분야(의료, 스마트홈, 드론 등) 별로 인증기준을 마련해 산업 분야별 지원을 확대한다. 또한, IoT 보안인증제도의 법적 근거를 마련하고, 해외동향과 인증제도를 분석해 인증제품 공공분야 우선 도입 등 활성화 방안을 마련한다. 이를 위해 산학연 전문가로 구성한 연구반을 운영해 논의사항을 반영할 계획이다.

⑨IoT 보안 인증의 국제표준화를 통한 국내 기업의 해외진출 지원(2024~)
국제전기통신연합기구(ITU-T)를 통해 우리 IoT 보안인증 기준(X.iotsec-4)의 국제표준화(~2021) 및 국가 간 상호인정을 추진(~2024)한다. 즉, 1단계 국제표준화와 2단계 양국간 상호인정, 그리고 3단계 다국간 상호인정 순으로 추진할 계획이다.

5. 안전한 ICT 융합보안 솔루션 개발·공급 지원
⑩취약점 점검·보완
영세 ICT 중소기업을 위해 소스코드 보안약점 점검도구와 보안 취약점 점검 테스트베드 사용을 지원한다.

⑪개발환경 점검
중소 SW 개발·공급업체를 대상으로 소스코드 백업시스템, 서버계정 관리 등 개발환경 보안점검 및 컨설팅을 지원한다. 특히, 원격근무와 재택근무 등 비대면 솔루션 및 민간에서 많이 사용하는 상용 정보보호 제품을 생산하는 사업자를 중심으로 실시할 계획이다.

⑫개발보안 지원
설계-구현-테스트 등 단계별 SW 개발에서 지켜야할 보안기능·안전한 구현 등의 ‘개발보안 가이드라인’을 제작·배포(2022~)한다. 개발보안이란 소프트웨어 개발 과정에서의 개발자 실수, 논리적 오류, 보안요소를 고려하지 않아 발생하는 보안 취약점을 최소화하기 위한 보안설계, 보안코딩, 보안테스트 등을 말한다.

5G+ ICT 융합보안 산업 저변 확대 계획, 보완점은?
이번 계획과 관련해 보안업계에서는 전반적으로 환영의 뜻을 나타내면서도 몇 가지 보완해야 할 점을 제기했다. 우선 ‘②보안모델 개발·실증’과 관련해 각 분야에 정통하면서도 정보보호까지 알고 있는 전문가가 매우 중요한데, 실상 그런 전문가를 찾기 어렵다는 지적이 나왔다. 특히, 정부에서 스마트공장에 대한 대대적인 지원을 아끼지 않고 있지만, 그 어느 곳에서도 선제적인 보안체계 구축 필요성을 말하지 않는다는 현장의 목소리가 나오고 있다. 이미 대만 TSMC나 노르웨이 노르스크 하이드로 등 대형 공장에서 발생한 보안사고로 해외는 이미 OT/ICS에 대한 보안을 강화하고 있지만, 한국에서는 몇몇 대기업과 주요시설을 제외하고는 보안에 대한 대비가 전무하다시피하다는 지적이다.

이에 보안업계에서는 ‘④융합서비스·제품의 보안위협에 대응하기 위한 침해사고 예방·대응, 협력기반 조성, 보안강화를 위해 개별법령의 제도 정비 추진’이 시급하게 이뤄져야 할 것이라고 강조한다. 그동안 보안을 고려하지 않던 분야에서는 보안의 위험성보다는 당장 개발과 판매가 시급하기 때문에 우선 법과 제도를 통해 보안을 강화하는 것이 시급하다는 얘기다. 아울러 중소기업 등을 대상으로 한 보안 지원방안이 꾸준하게 시행될 수 있도록 추진방향을 설정해야 한다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>