사람과 사물 '초연결 사회'
안보의 중심은 사이버
핵심은 정보보호, 전문인력 양성

글/유준상 한국정보기술연구원 원장

IT기술이 발전하면서 우리생활에 깊숙이 접목되고 있다. PC를 중심으로 개인의 단순 정보를 처리하던 시기에서 인터넷을 통해 정보의 공유와 협력을 실현하는 시기를 거쳐 이제는 PC를 벗어나 모바일을 중심으로 사람과 사람의 연결은 물론 사람과 사물, 사물과 사물이 연결되는 초연결사회(Hyper Connected Society)로 진화하고 있다. IT 기술의 혁신적인 진화는 새로운 비즈니스 모델, 새로운 형태의 일자리, 새로운 삶의 형태를 만들어 내면서 새로운 패러다임을 만들어내고 있다.

사람·사물·데이터등 초연결 네트워크

IT기기를 통한 사람과 사람의 연결을 대표하는 SNS(Social Networking Service) 서비스는 이제 스마트기기들이 제공하는 다양한 기능을 활용하여 공간(위치 및 지도정보)과 활동(사진 이미지와 동영상)까지 연결하는 서비스로 변화하였으며, 증강현실 서비스는 가상 환경과 실 생활공간을 연결하는 서비스를 제공함으로써 초연결사회의 모습을 대표적으로 보여주고 있다.

이러한 초연결사회는 애플 아이폰과 함께 등장한 새로운 트랜드인 스마트 디바이스가 이끌어낸 변화라고 할 수 있다. 스마트 디바이스의 등장은 단말기 성능의 비약적인 상승을 가져왔으며, 이는 정보 생산과 활용의 주체가 기업과 같은 집단에서 개인과 개인의 연결로 만들어지는 네트워크로 변화하도록 만들었다. 스마트 디바이스는 하드웨어와 소프트웨어의 단순한 결합을 넘어 인터넷과 SNS를 통한 사람과 사람의 연결, 클라우드를 통한 기기와 기기의 연결을 통해 서로가 가진 정보를 공유하고 재생산하는 새로운 환경을 제공하고 있다. 이런 새로운 트랜드는 기존의 네트워크 인프라의 변화에도 지대한 영향을 미쳤다. 네트워크 인프라는 PC 중심의 유선 인프라를 넘어 모바일을 중심으로 하는 무선 네트워크 환경으로, 클라우드 서비스를 중심으로 네트워크 환경에서 데이터를 저장, 관리하는 환경으로 진화하고 있다. 이제 네트워크 인프라는 단순히 통신을 위한 라우터(Router)와 게이트웨이(Gateway), 기지국(Base station) 등의 장비를 의미하는 것이 아닌 네트워크 중심의 데이터 수집, 저장, 처리를 담당하는 데이터 센터(Data Center)까지 포함하는 확장된 개념으로 보아야 할 것이다.

이런 IT산업의 혁신적인 변화는 기존 산업에도 지대한 영향을 미치고 있다. 이미 다양한 산업에서 IT융합을 바탕으로 새로운 고부가가치를 창출하는 시대가 도래하고 있다. 안경, 시계, 발찌, 의류 등은 이미 IT와 융합하여 웨어러블 컴퓨팅 산업을 만들어 냈으며, 자동차와 융합한 스마트카, 전기·전력분야와 융합한 스마트 그리드, u헬스, u시티 등 다양한 IT융합이 추진되고 있고 최근 조선산업과 융합한 새로운 산업이 탄생하기도 했다. 이처럼 기존 산업에서도 IT융합이라는 시대적 요구를 반영하여 초연결은 실제로 생활, 자동차, 전력, 의료, 교통, 금융, 제조, 도시관리 등 다양한 분야에서 적용되며 더 다양한 연결을 만들어 내고 있다.

사람, 사물, 공간, 환경, 데이터 등의 초연결은 네트워크 인프라 가치를 극대화하여 우리의 생활과 산업구조를 변화시키고 있으며, 더 나아가 국가시스템의 혁신적인 변화를 이뤄낼 것이다. 이러한 혁신을 통해 인터넷을 기반으로 사람과 사물, 데이터, 프로세스 등 모든 것들이 클라우드(Cloud) 환경을 통해 언제(Anytime) 어디에서나(Anywhere) 어떤 사물(Anything)과도 유기적으로 연결 될 것이고 이에 따라 무수히 많은 데이터(Big Data)가 생성 되는 만물인터넷(Internet of Everything)이 우리 현실세계의 개념을 더욱 확장 시킬 새로운 인프라로 자리매김하게 될 것이다.

기획·설계부터 Security by Design

스마트 디바이스의 보편화와 다양한 IT융합 산업이 만들어내는 초연결시대의 실현으로 네트워크를 통해 다양한 곳에서 유입되는 정보량은 어느 때보다 폭발적으로 증가하고 있다. 그리고 그 데이터는 개인의 PC나 스마트 디바이가 아닌 네트워크에 보관되고 처리되고 있다.

이는 네트워크가 더 개인적인 데이터, 더 중요한 데이터를 더 많이 수집하고 있다는 것을 의미한다. 클라우드 서비스를 통해 데이터는 집중화되고, 대형화되고 있다. 이미 구글, 애플, 아마존 같은 기업은 21세기 빅브라더라는 수식어가 붙을 정도로 더 많은 정보를 수집·독점하고 있다. 그리고 이런 환경적인 변화는 필연적인 위험을 야기한다. 2014년 애플 아이클라우드 해킹으로 인한 연예인 사생활 유출 사고는 초연결시대의 보안 위협을 단적으로 보여주는 사례라고 할 수 있을 것이다.

이미 사이버 테러와 사이버 공격, 보안사고 등 각종 위협요소는 지속적으로 증가하고 있다. IT를 중심으로 하는 환경의 변화와 이를 위협하는 다양한 위협요소의 증가는 속도와 용량을 중심으로 발전해온 기존 성장패러다임에서는 더 이상 안전하고 지속적인 발전을 도모할 수 없다는 것을 시사한다. 초연결사회에서는 기획, 설계에서부터 정보보호를 고려하여 설계하는 Security by Design이 필요한 시점이다.

정보보호는 “비용” 아닌 “투자”

지난해 초 발생했던 롯데카드, KB국민카드, NH농협카드 3개 카드사에서 1억건 이상의 개인 신용정보가 유출되는 사고가 발생하면서 우리나라 사이버보안의 취약성이 또 다시 논란이 되었다. 이처럼 사이버테러가 매년 지속적으로 발생하고 있는 이유는 사고 이후 사후 대응에 급급한 나머지 미봉책에 불가했기 때문으로 보인다. 이렇게 반복되는 보안사고로 인해 우리나라는 IT 강국으로서의 위상이 흔들리고 있다. 이런 상황에서 이미 현실에 닥쳐온 초연결사회를 안전하게 준비할 수 있을지 의문이다.

아직 우리 기업들은 안전불감증에 빠져 수동적인 자세에서 솔루션과 장비 도입에 의존하는 방향을 유지하고 있다. 하지만, 이미 드러난 사고들을 통해 알 수 있듯이 보안사고는 대부분 인재(人災)였다. 기업은 해킹, 디도스 공격 등 외부의 공격으로부터 보호를 위해 솔루션 장비 도입으로 정보보호를 실현하고자 하나, 정작 필요한 것은 장비를 사용하는 사람의 역량 강화, 내부 개발자나 관리자를 위한 절차적 신뢰성확보에는 크게 신경 쓰지 않고 있다. 이는 근본적으로 기업들이 정보보호를 ‘투자’가 아닌 ‘비용’으로만 생각하는 그릇된 인식 때문이다. 정보보호를 위해서는 단순히 외부 공격을 막을 수 있는 장비, 솔루션으로 이루어지는 것이 아니라 정보를 다루는 모든 단계에서의 신뢰성을 보장하는 절차적 신뢰성 확보가 되어야 한다. 정보보호가 비용이 아닌 투자인 이유가 여기에 있으며, 매년 반복되는 사고를 방지하기 위해서 정부, 기업, 개인 모두의 인식전환이 필요한 이유이기도 하다.

사이버테러를 위한 공격방법은 기술의 발달과 함께 점점 지능화, 자동화, 대형화되면서 그 피해 또한 급격하게 증가하고 있다. 하지만 정부는 아직도 사고가 발생한 후 사후약방문(死後藥方文)격으로 관계법령을 고치거나 처벌기준을 강화하는 정도의 모습만 보이고 있다. 그러나 이런 규제 강화는 실효성이 없는 규제들이 대부분이며 사고가 발생한 기업들에게 아무런 제재가 되지 못하고 있다. 사고가 난 기업들에게는 그에 걸맞은 법적·행정적 책임을 물어야하지만 솜방망이 처벌로 인한 그 결과는 지금처럼 계속해서 보안사고가 일어나고 있으며 그 피해가 커지고 있는 것이다. 진화하는 위협을 따라잡기에 법과 제도를 통한 직접적인 규제는 늘 더디게 진행 될 수밖에 없다. 그 때문에 정부 정책은 사전 예방을 위한 준비와 사고에 대한 철저한 책임부여를 중심으로 하는 정책으로 변화하여, 미국 등 해외의 기업처럼 문제가 발생하였을 경우 회사가 문 닫을 수 있다는 위기감과 책임감을 부여할 수 있어야 한다. 이를 통해 기업의 인식변화와 사고 방지를 유도할 수 있을 것이다.

그리고 기업에서는 정보보호를 소홀히 하면 기업의 존폐가 위험하다는 위기의식을 가지고 정보보호에 대한 적극적인 투자가 필요하다. 이를 위해 외부적인 요소에 대한 투자도 중요하지만 내부의 역량과 정보보호를 위한 절차적 신뢰성 확보에도 힘써야 할 것이며 인적 자원에 대한 투자를 아끼지 않아야 할 것이다.

마지막으로 우리 개인도 개인정보에 대한 의식을 고취시켜 개인정보가 곧 자신의 재산임을 인지하고 소중하게 다루는 자세가 필요할 것이다.

정보보호의 핵심은 바로 “사람”

창조경제의 핵심이 바로 정보보호이며, 그 중에서도 가장 중요한 것이 바로 ‘사람’이다. 문제를 일으키는 것도, 이를 해결하는 것도 결국‘사람’이기 때문이다. 100% 완벽한 보안은 없다. 공격을 위한 방법은 계속해서 진화하고 이를 대응하는 방법도 발맞추어 진화하고 있다. 정보보호가 지속적인 “투자”여야만 하는 이유는 바로 장기적인 관점에서 시간과 비용을 지속적으로 투자해야하는 사람이 그 핵심이기 때문이다.

정보보호를 위한 ‘사람’은 정보보호를 담당할 수 있는 ‘인재’와 인재에 걸맞은 대우가 만들어낼 수 있다. 이를 위해 우리는 인재를 발굴하고 육성하고 지원할 수 있는 체계적인 프로세스를 확립할 필요가 있다. 그리고 이렇게 육성된 인재가 다양한 기업과 기관에서 그 역량을 발휘할 수 있도록 권한과 함께 그에 걸맞은 대우가 필요하다.

즉‘사람’을 귀하게 여기는 사회적 문화조성이 필요하다.인재의 양성은 백년지대계(百年之大計)라고 한다. 앞으로 백년을 위한 초석이자 근본이기에 그만큼 체계적인 계획아래 꾸준히 추진해야 한다는 의미다. 정보보호를 위한 인재 양성역시 백년대계로 추진되어야 한다. 정형화된 교육을 통해 배출되는 인재가 아닌 창의적이고 혁신적인 우수한 인재가 필요한 정보보호분야는 ‘선택과 집중’을 통해 체계적으로 최정예 정보보호 우수인재 양성이 필요하다. 이를 위해서는 중기적, 장기적인 안목으로 준비해야한다.

우리나라는 현재 근시한적 관점에서 취업을 목표로 하는 교육프로그램을 중심으로 인재를 양성하고 있다. 이는 청년들의 취업과 정형화된 업무 프로세스와 기술을 기반으로 하는 산업분야에서는 필요한 인재를 적시에 제공하겠다는 그 취지에는 부합한다. 하지만 최우수 인재가 필요한 정보보호분야는 이러한 근시한적인 관점에서의 교육프로그램에 치중되다보면 창의적이고 우수한 인재들이 그 꿈과 끼를 발현 시킬 수 있는 교육환경을 제공할 수 없다.

그런 의미에서 “차세대 보안리더 양성 과정(Best of the Best)”은 앞서 이야기한 근시한적인 관점에서 취업을 목표로 하는 교육 프로그램의 한계를 뛰어넘어 중기적인 관점에서 시급하게 필요한 화이트 해커 양성에 가장 적합한 프로그램이라 생각한다. 이 프로그램은 도전정신과 열정을 갖춘 창의적인 인재를 조기에 발굴하고 양성하는 프로그램으로서 체계적인 사후 관리를 통해 차세대 보안리더를 국가의 제도권 내에서 화이트 애국전사로 육성한다는데 큰 의미를 가지고 있다. 그리고 그 대상이 어린학생을 포함한다는 점에서 중장기적인 관점을 모두 내포하는 인재양성 방향에도 적합하다. 이 때문에 미국, 이스라엘 등 선진국에서도 그 선례를 찾아 볼 수 없었던 교육 프로그램으로 평가받고 있으며, 해외에서도 그 우수성을 인정받아 벤치마킹하려는 발길이 이어지고 있다.

정보보호 특성화대학 육성시급

또 하나의 중기적인 관점에서 인재양성 방안은 정보보호 특성화대학의 육성이다. 정보보호 특성화대학은 다양한 영역의 융합적인 인재들을 전문적인 고급 정보보호인력으로 양성 할 수 있는 최적의 시스템이다. 정보보호 특성화대학은 기존 교육과는 차별화가 필요하며, 최고의 인재양성을 위해 우수한 대학을 중심으로 선택과 집중이 필요하다.

그리고 장기적인 관점에서 국민적 인식 제고와 아동·청소년을 대상으로 하는 활동이 필요하다. 이제 정보보호는 국가나 기업의 몫뿐만 아니라 국민 개개인이 중요성을 공감하고 스스로가 정보보호를 위한 활동에 적극적으로 참여해야 한다. 이를 위해 초등학생, 중학생, 고등학생 등 청소년을 대상으로 지성교육과 연구활동 등을 통해 정보보호에 대한 지식을 함양하고, 체험활동, 인성교육, 재능기부 등 다양한 활동으로 정보보호에 대한 흥미를 유발시킬 수 있어야 한다. 아동·청소년에 대한 투자는 그들에게 정보보호에 대한 흥미를 유발시켜 정보보호 분야의 주역으로 성장할 수 있는 계기가 될 것이다.

아동과 청소년에 대한 투자와 함께 일반 소비자를 대상으로 하는 체험 및 교육활동을 통해 국민 개개인의 정보보호 인식제고와 보호 능력 향상을 도모하여야 한다. 개인의 PC와 스마트폰이 사이버 공격의 도구로 활용될 수 있는 이 시대에서 개인의 정보보호에 대한 중요성과 국민적 공감대 형성, 인지도 향상과 보호 능력 향상은 매우 중요하다. 사회 전반적으로 정보보호에 대한 중요성을 인식하고 기업과 개인의 정보보호 활동에 대해 이해하는 문화는 장기적으로 정보보호 저변확대는 물론 정보호호를 투자로 인식하는 인식의 전환에 지대한 효과를 미칠 수 있다. 이는 결국 기업과 국민의 정보보호 수용성을 크게 향상할 수 있음을 의미한다.

이와 같이 교육을 통한 인재발굴 및 인력양성, 대국민을 대상으로 하는 홍보활동으로 국민적 공감대를 형성하고 국가와 기업의 인식 개선을 통해 정보보호의 중요성을 우리 모두 이해하고 노력해야한다.

이러한 변화를 이끌어 내기 위해 기업은 모든 활동을 제대로 수행할 수 있도록 정보보안최고책임자(CISO)나 정보보안 전담조직에게 그 역할과 책임에 걸맞은 권한도 함께 부여해 주는 것이 가장 중요하며, 국가는 정보보호산업과 정보보호 전문가들의 위상 강화와 권익 신장을 위한 제도와 정책을 마련하여 이를 장기적인 관점에서 지속적으로 추진해야 할 것이다.

그럼에도 불구하고 아직 정보보호를 비용으로 인식하는 이러한 실태에서 최정예 정보보호 우수인재의 꾸준한 양성과 지속적인 홍보활동을 IT 산업의 진흥을 담당하는 기관에서 병행하기란 어렵다. 아직 정보보호는 IT 산업의 진흥을 가로막는 비용으로 기업들은 이 비용을 줄이고자 하기에 진흥을 담당하는 기관은 정보보호 전문인력의 양성과 홍보에 소극적일 수밖에 없다. 필연적으로 전문성이 결여되고 정보보호 산업 현장의 수요를 적극적으로 반영하기 어렵다. 이 때문에 정보보호 전문인력의 양성과 인식개선을 위한 활동은 산업의 needs를 즉각적으로 수렴하여 반영할 수 있는 유연성있는 (사업)운영 능력을 가진 전문교육기관에서 실시하여야 한다.

안보의 중심은 이제 사이버안보

우리가 가진 세계 최고 수준의 우수한 과학기술과 정보통신기술(ICT)이라는 토양에서 초연결사회를 선도하기 위한 핵심은 바로 모든 산업의 근간이 되는 정보보안이다. 이를 육성해야만 튼튼한 사이버안보 속에 안전한 초연결사회가 실현 될 것이다.

사이버 공격이 갈수록 거세지는 가운데 미국은 자국의 안보위협 요소 1순위로 사이버 공격을 꼽고 있다. 그리고 이에 대응하기 위해 “공격받으면 반격하는”13개 사이버 공격부대를 미 국방부에 만들고 실질적인 사이버 무기로 활용하고 있다. 이제는 현실의 미사일뿐만 아니라 사이버미사일이 우리의 안보를 위협하는 시대 인 것이다.

안보라는 개념은 매우 복잡하여 간단하게 정의 내리기 어려운 개념이이다. 국가 방호가 안보의 중심이던 냉전기 이후 에너지, 환경, 인권, 테러 등의 새로운 영역으로 안보의 개념이 확대되고 있으며, ICT의 발전과 함께 그 영역은 사이버 공간까지 확장되었다. 사이버안보는 국민, 기업, 정부, 국제기구 등이 행위주체가 될 뿐만 아니라 군사, 정치, 경제, 사회 등 전 분야를 포괄하게 되었다. 웜 바이러스인 ‘스턱스넷(Stuxnet)’의 이란 핵 시설 공격, 우리나라의 2011년 3월 3.4 디도스(분산 서비스거부 : Distributed Denial of Service) 공격 최근 2013년 3월 3.20 사이버테러, 같은 해 6월 6.25 사이버 공격 등과 같은 사이버 공격은 사이버 공간에만 한정되는 문제가 아닐뿐더러 피해의 정도도 생활의 불편을 넘어 실질적이고 직접적으로 영향을 미칠 정도로 점차 강해지고 있다.

NSC 내에 사이버안보 컨트롤타워

국가안보가 군사적 도발뿐만 아니라 사이버보안 분야에서까지 확대됨에 따라 NSC의 사이버보안조정 기능과 권한을 향후 지속적으로 확대하고 관련 역량을 확충할 필요가 있다. 자원이 부족하고 일상적인 온·오프라인 전쟁위협에 직면하고 있는 상황에서 사이버보안은 국가안보를 강화하면서 동시에 산업경쟁력을 강화하여 창조경제를 실현시킬 수 있는 핵심적인 영역이라고 생각한다. 이러한 사이버보안 기능과 역량을 지속적으로 확대할 필요가 있다. 사이버보안 분야의 경우 국가안보와 직결된 문제이고 한 개 부처가 아니라 여러 부처가 동시에 관련이 있는 영역이라 각 부처의 이해관계와 요구를 조율하여야 한다. 이를 위해 국가적으로 범부처 차원의 계획을 마련하고 유지할 수 있는 권한과 능력의 확보가 핵심이라고 생각한다.

이제 NSC 상임위원회에 사이버안보 비서관을 신설하여 체계적인 사이버안보 컨트롤 타워의 역할을 수행 할 수 있도록 해야 할 것이다.

[본 기사는 월간 경제풍월 제185호 (2015년 1월호) 기사입니다]