"사이버보안 정책적 접근해야…해킹 공격 후 '복원력' 집중"

유럽연합(EU)이 '네트워크 및 정보시스템의 사이버 보안 지침(NIS2 지침)' 등 사이버 보안 관련 입법에 속도를 내고 있다. 국내에서도 EU 입법 동향을 참고해 사이버 보안에 있어서 기술 대응뿐 아니라 제도적 대응이 필요하다는 주장이 나왔다. 사이버 공격을 단순히 막고, 처벌하는 것뿐 아니라 대규모 공격이 발생하더라도 사회의 필수 기능을 정상적으로 이어가기 위한 복원력에 집중하도록 정책적으로 뒷받침해야 한다는 것이다.

윤지영 한국인터넷진흥원(KISA) 법제연구팀장은 지난 15일 광화문에서 기자들과 만나 이같이 밝혔다.

윤주연 KISA 법제연구팀장이 'EU 디지털 미래 구축을 위한 사이버보안 방향과 시사점'에 대해 발표하고 있다. [사진제공=KISA]

코로나19 이후 사회 전 분야에서 사이버 공격 범위와 위험이 커지고 있다. EU는 '디지털 미래 구축', '유럽 복구 계획', 'EU 안보 연합 전략' 등 주요 정책에서 사이버 보안 전략을 논의하고 있다. 특히 사이버 보안 조치와 관련해 'NIS2 지침'을 지난 1월 발효했다. 대규모 사이버 공격이 발생하더라도 필수적인 경제·사회 활동을 이어가기 위한 복원 방안을 담은 지침이다. 윤 팀장은 "이전에는 사이버 공격을 어떻게 처벌할지에 초점을 뒀으나, NIS2 지침은 사이버 공격에 대한 방어를 고민하고, 처음으로 제도적으로 접근했다"고 말했다.

지난 1월 발효한 '주요 조직 복원력 지침(CER 지침)'의 경우 자연재해, 테러 등 모든 종류의 위협에 대한 주요 조직의 보호 의무와 복구 전략을 담았는데, 여기에 사이버 위협도 포함했다. 또 '사이버복원력법(CRA)'은 장치나 네트워크에 직·간접적 데이터 연결을 하는 모든 제품에 대한 사이버 보안 기준을 적용하도록 하면서 기업의 책임을 강화했다.

윤 팀장은 EU를 참고해 국내에서 사이버 보안 규제에 대한 인식 전환이 필요하다고 말했다. 사이버 공격 시 사회 필수 기능을 복원하기 위해 정책적으로 뒷받침해야 한다는 것이다. 그는 "사이버 보안은 기술적으로 접근하는 경우가 많은데, EU는 정책적 관점에서 제도적, 규범적으로 접근하고 있다"고 말했다. "예컨대 기업이 피해를 입은 경우, 피해자라 책임을 묻기 어려울 수도 있지만 EU는 사회적으로 중요한 서비스면 일정부분 책임을 져야 한다고 본다"는 설명이다.

이어 최영준 KISA 팀장이 제로트러스트 가이드라인 1.0과 제로트러스트 구현 전략을 설명했다. 제로트러스트는 '절대 믿지 말고 계속 검증하라'는 새로운 보안 개념이다. 사용자나 기기 등이 접속을 요청할 때 철저하게 검증하고, 최소한의 권한만 부여해 접근을 허용한다. 임직원 계정을 탈취해 엔비디아, 마이크로소프트(MS) 등 굵직한 글로벌 기업의 내부 데이터를 빼낸 해커 조직 랩서스 사태 이후 주목받고 있다. 국내에서는 과학기술정보통신부와 KISA가 국내 환경을 반영한 제로트러스트 가이드라인 1.0을 발표했다. 미국에서도 바이든 정부 행정명령을 통해 내년 9월까지 제로트러스트 전략을 도입할 계획이다.

그러나 최근 제로트러스트가 마케팅 용어로 변질되고 있다는 지적이 나온다. 모든 보안 문제를 해결할 수 있는 '만능열쇠'처럼 과장되는 것이다. 최 팀장은 "모든 기업이 제로트러스트를 한다고 하는데, 제로트러스트는 일종의 개념"이라며 "제로트러스트를 도입한다고 보안이 완벽해지는 것이 아니고, 도입 후 고민할 부분도 많다. 미국 국방성도 목표 기간을 10년으로 설정했다"고 말했다. 이어 "직원 불편을 최소화하면서 보안성을 유지하는 전략이 필요하다"고 덧붙였다.

최 팀장은 "올해 하반기 실증사업을 통해 통신·금융·공공 분야 등 다양한 환경에서 제로트러스트 보안 모델을 구현할 예정"이라며 "기업의 자체적인 실증 사례 적용 등을 포함해 가이드라인 1.0을 고도화하겠다"고 밝혔다.

오수연 기자 syoh@asiae.co.kr