국내외 사이버 보안의 중요성이 갈수록 높아지고 있는 가운데 ‘유럽 일반개인정보보호법(GDPR)’까지 시행되면서 보안 분야가 이슈가 되고 있다. GDPR뿐만 아니라 지역 정보보안, 블록체인, 전자문서 등 보안업계 현안은 뜨거운 감자로 불린다.
이투데이는 7월 ‘정보보호의 달’을 맞아 국내에서 인터넷 서비스 활성화, 해킹·바이러스 대응, 개인정보 보호 등을 중점적으로 맡고 있는 김석환(60) 한국인터넷진흥원(KISA) 원장을 만나 보안의식 현황과 앞으로의 계획 등에 대해 들어봤다.
1999년 ‘Y2K’ 어떤 문제도 없었다
◇GDPR 시행, 국내선 당장 큰 문제점 없어 =전 세계에서는 5월 25일 GDPR가 시행되면서 기업들의 혼란이 우려되고 있다. GDPR 시행 일주일이 지난 시점에서 페이스북, 구글 등 글로벌 기업들이 소송을 당하는 등 전 세계적으로 뒤늦은 대응에 나서고 있다.
김 원장은 GDPR의 문제점은 “실체화되지 않는 공포감을 느끼는 막연한 우려”라고 지적했다. 그는 “밀레니엄을 앞둔 1999년 Y2K(밀레니엄 버그) 당시 2000년이 되면 엄청난 사태가 발생할 것으로 우려됐지만, 실제로는 어떠한 문제점도 없었다”라며 “GDPR 역시 막연한 공포라는 공통점을 가지고 있는 것 같다”고 말했다. 이어 “GDPR를 준수하지 않는 기업에 대해 강하게 책임을 묻겠다고 하니 공포감을 가지고 있는 것”이라며 “이를 어길 경우 경고나 시정조치 등을 하겠지만, 당장 눈에 띄는 부분은 아직 없고 현재까지 잘 대응하고 있다”고 설명했다.
구글과 페이스북 외에도 여러 개의 기업들이 GDPR를 준수하지 않아 제소됐지만, 즉각 과태료 처분을 받는 것이 아닌, 조사가 이뤄져야 한다는 점에서 당장은 큰 문제점이 발생하지 않을 것이라는 설명이다.
또 GDPR가 본격 시행되면서 개인정보보호법의 규정에 대한 개념이 명확히 확립될 것으로 전망하고 있다. 김 원장은 “GDPR 규정이 확립된 이후 우리는 이를 활용할 수 있는 제도를 준비해야 한다”며 “여러 가지 형태의 제도를 벤치마킹하고 있으며, 사회적인 합의 수준에 따라 정책적인 제언을 할 것”이라고 밝혔다.
나주 이전…지역 보안수준 향상 중점
◇취임 후 중점 분야는 지역 보안 인식의 균형 = 지난해 11월 제5대 인터넷진흥원장으로 취임한 그는 올해 3가지 분야를 중점으로 다루고 있다. 우선 4차 산업혁명을 맞아 개인정보 보호에 선제적으로 대응하고 있다. 개인정보 보호와 활용은 인공지능과 빅데이터를 활용하는 민감한 사업이다. 김 원장은 “논리적인 부분보다는 어느 정도까지 비식별 조치를 해야 경제적인 가치를 끌어올릴 수 있는지 찾아보고 있다”며 “기술적인 분야에 초점을 맞추고 있는 만큼 절충점을 기술적으로 찾아보고 싶다”고 말했다.
두 번째는 정보보호산업이 가시적으로 성과를 만들어낼 수 있도록 지원하고 있다. 현재 경기도 판교에는 정보보호 클러스터가 있는데, 이를 중심으로 스타트업들에 줄 수 있는 도움이 무엇일지 고민하고 있다. 그러면서 가장 절실한 것은 ‘투자’라고 강조했다. 김 원장은 “스타트업들에 투자를 유치할 수 있는 기회를 만들어 주고 잘할 수 있도록 지원할 계획”이라며 “미국이나 중국 등 해외에까지 진출할 수 있는 맞춤형 전략을 만들어 가시적인 성과를 내고 싶다”고 말했다.
마지막으로는 지역으로 이전한 공공기관으로서 균형 발전을 이룰 수 있도록 노력하겠다고 밝혔다. KISA는 지난해 7월 전남 나주 빛가람혁신도시로 이전해 1년가량 지역의 보안 수준을 경험했다. 김 원장은 “수도권을 제외한 다른 지역에 있는 중소기업들은 보안 수준이 상당히 미흡하다는 점을 확인했다”며 “해커들은 열악한 보안 수준을 파고들기 때문에 중소기업의 정보 수준을 높여 줄 필요가 있다”고 말했다. 이어 “내년에는 클라우드를 기반으로 통합 솔루션을 제공해 보호 수준을 높일 계획”이라며 “홈페이지와 이메일, 데이터 보안에서 벗어나 전체적인 보안 의식을 높일 것”이라고 강조했다.
KISA는 지역에서 보안컨설팅을 진행하고 2년가량이 지나면 졸업시킨 뒤 다른 기업을 돕는 형식으로 지원할 방침이다. 취약한 보안에 대한 의식을 높이고 정보보호 경험을 제공하게 되면 대한민국 전체의 보안 의식이 높아질 것으로 기대하고 있다.
민간기업 전자문서 활용 늘려야
◇블록체인·전자문서 등에 대한 활용성 높여야 = 블록체인의 해킹에 대해서는 현행법이 더 강화돼 KISA의 역할이 더 높아져야 한다고 강조했다. 현행법에 따르면 KISA는 공공기관이기 때문에 민간기업을 조사할 수 있는 권한이 없다. 사전 점검을 한다고 해도 강제 권한이 없어 민간 기업의 동의가 있어야만 점검을 할 수 있다는 뜻이다. 김 원장은 “올해 3월 말까지 가상통화 기업에 대해 보안 점검을 진행했는데, 문제점이 발생해도 시정하라고 요구할 뿐 강제성이 없다”며 “시정 대상이라고 통보해도 민간 기업이 거절하면 어쩔 수 없는 것이 현실”이라고 말했다. 이어 “오프라인에서는 사건이 발생하면 경찰은 들어갈 수 있는데, 다른 기관은 들어갈 수 없는 것과 같은 이치”라며 “전반적인 사이버 보안에 대해 시정 지시를 어떻게 할 것인지 고민해야 할 때”라고 지적했다.
전자문서 도입도 빠르게 진행돼야 한다고 강조했다. 공공기관 등에 전자문서가 도입되면 시간과 돈, 데이터, 출입 등 다양한 자원의 절감 효과가 있다. 국내에서는 2012년 전자문서법이 시행되면서 종이문서와 동일한 효력을 지니지만 아직 종이문서를 중요하게 생각하는 관행이 있다는 게 김 원장의 평가다. 예를 들면 어떤 기관이 기업에 자료를 요구할 때 전자문서가 아닌 종이문서로 요구한다는 것. 전자문서밖에 없다면 이를 종이로 출력해서 제출하기 때문에 전자문서 효율이 떨어진다는 지적이다. 김 원장은 “국내에서 공공 부문에서는 전자문서 활용은 높지만 민간 기업에서는 활용률이 낮은 편”이라며 “종이문서만 중요하다고 생각하는 관행을 깨뜨리는 것이 중요하다”고 말했다.
이를 위해 KISA는 우선 서울시와 업무협약을 통해 전자문서 고지를 시행하고 있다. 범칙금이 연간 300만 건에 달하는데, 이를 전자문서로 고지해 활용률을 높이는 것이다. 교통안전공단에서는 3월부터 시범적으로 서비스하고 있으며, 상당 부분 효과를 보고 있다고 KISA 측은 분석하고 있다. 올해 1~5월 범칙금이 143만 건 발생했는데, 이 중 전자문서는 48만 건에 달한다. 7월부터는 KT가 이동통신 요금 등을 문자메시지를 통한 전자문서로 발송할 계획이다. 김 원장은 “지난해부터 문서의 생성과 유통, 저장 등을 디지털로 변경하고 있다”며 “스팸등록 문제 등을 개선해 전자문서가 도입될 수 있도록 노력할 것”이라고 말했다.
정보유출, 골든타임 내 해결 목표
◇일관성 있는 통합 보안정책 필요 = KISA는 국내 개인정보에 대한 보호를 주목적으로 하고 있다. 개인이 자기 통제권을 가질 수 있도록 노력하고 개인정보의 기록 등을 삭제하며 정보를 지킨다. 이를 어긴 기업들에는 책임을 물으며 관련 법안에 대한 논의를 끊임없이 진행한다. 내년부터는 블록체인과 관련한 암호보안인증 사업 등을 진행하며 보안 얼라이언스를 구축해 운영, 가이드라인 등을 만드는 것을 준비하고 있다. 또 내년에 블록체인 기술 지원센터를 개소해 중소기업을 대상으로 한 지원을 강화한다. 보안이 취약한 부분은 컨설팅을 통해 지역 보안 의식도 높일 방침이다. 김 원장은 “KISA 본연의 업무를 진행하며 정보 유출 위협에 대한 골든타임을 앞당기는 것이 목표”라며 “우리가 분석한 데이터를 민간 기업들에 제공해 보안 제품 개발에 활용될 수 있도록 할 것”이라고 밝혔다.
다만 사이버상에서의 위협이 현실적 위협으로 등장하지만 행정 체제는 분산돼 있는 점이 문제라고 지적했다. “각각의 현안에 대해 소관 부처부터 다 다른 데다 부처마다 전문 장비들이나 스마트폰, 컴퓨터 등 각기 다른 기기들을 이용하고 있는 만큼 보안에 대한 협의와 정보 공유 등을 미리 맞추고 준비해야 한다”고 김 원장은 지적했다. 그는 “4차 산업혁명의 특성이 뚜렷해지는 시기는 앞으로 5~10년 후가 될 것”이라며 “모든 정보들이 5G망을 통해 실시간으로 전송되고 전달되는 만큼 보안에 대한 일관성 있는 통합 정책이 필요하다”고 힘주어 말했다.