[정보통신신문=박광하기자]

코로나19 사태로 정보통신 인프라를 활용한 비대면 업무 문화가 확산되고 있다. 하지만 정보보호 조치가 미흡하게 이뤄져 악의적 공격자에 의한 정보유출 등의 사고가 끊이지 않고 있는 게 현실이다. 정부는 K-사이버방역 이란 기치를 높이 들고 사회 전반적인 정보보호 문화 확산 및 관련 기술 체계의 고도화를 꾀하고 있다. 이에 정보보호산업계를 만나 사이버방역의 성공적인 발전을 위해 어떤 것들이 필요한지를 물었다. 지니언스 대표이사로 VPN, NAC, EDR 분야까지 보안의 새로운 시장을 개척해 온 이동범 한국정보보호산업협회(KISIA) 회장은 우리 사회가 정보보호 태세를 확립하기 위해서는 민 관이 따로 있지 않다는 불이(不二)의 지론을 내놨다.

▲회장 취임 후 KISIA에 많은 변화와 발전을 가져오셨습니다. 주요 성과로는 어떤 것들이 있을까요.

-협회의 15대 회장으로 취임하면서 협회의 문호를 개방하겠다는 중점방향을 제시했습니다. 정보보호산업의 발전을 위해서 다양한 구성원의 유입과 활동이 필수요소라고 판단했기 때문입니다.

먼저, 회원사 제도를 정비했습니다. 기존 정보보호기업에 한정된 가입조건을 융합, 물리, 솔루션 유통업체, 개인까지 확대해 협회 접근장벽을 낮췄습니다.

취임 후, 정보보호클러스터 운영과 K-스타트업 정보보호성장기업 도약 프로그램을 운영하며 총 28개사의 스타트업 기업을 육성했습니다.

인력양성 부문에서는 연간 150명 이상의 신규 인력을 양성해 90% 이상의 취업률을 달성했습니다. 뿐만 아니라, 새롭게 대학생 기자단(KSR), 정보보호대학동아리(KUCIS) 사업을 확대 운영하고 있습니다. 또한, 정보보호·블록체인 분야의 국가직무능력표준(NCS) 개발 및 개선에도 앞장서고 있습니다.

산업진흥부문에서도 많은 성과가 있었습니다. 데이터바우처 지원 사업을 통한 중소기업의 데이터 구매·활용비용 지원(총 2629건 중 500건을 협회에서 지원), 중소기업의 정보보호 강화를 위한 보안솔루션 공급 풀(Pool) 구성사업을 통한 국내 보안기업의 판로확대 지원(일반 보안솔루션 596개, SECaaS 96개), CC인증 대기 및 신청통합안내 사이트 운영 등의 사업을 운영하고 있습니다.

특히, CC인증분야에서 많은 개선이 있었습니다. 과기정통부, 관계기관과 협의해 국내용 CC인증서의 유효기간 확대(3년→5년), 변경승인 완화 등의 제도혁신을 달성했습니다.

이 밖에도 랜섬웨어대응협의체, KCCUF, 신종기술유출위협대응협의회, 해외시장동반진출협의체, 정보보호산업제도개선협의체, 구독형 서비스 활성화 세미나, KISIA CEO 조찬간담회 등 교류협력의 장을 확대운영하고 있습니다.

▲정보보호 기술·산업 발전을 위한 협회의 향후 계획을 듣고 싶습니다.

-코로나 사태로 어려운 측면이 많긴 하지만 스타트업 육성, 해외진출, 인력양성이란 세가지 계획을 말씀드릴 수 있겠습니다.

우선 첫째 과제는 스타트업 육성이라고 생각합니다. 글로벌 마켓에서 우리나라의 위상은 K-사이버방역을 중심으로 크게 높아졌습니다. 이에 더해 '다양성'이 갖춰진다면, 우리나라의 사이버보안업계는 더욱 크게 성장할 수 있을 것입니다.

보안이 적용되는 분야는 블록체인, 메타버스, 드론 등 굉장히 다양한데, 지금까지도 많은 사람이 몇가지 영역으로만 좁게 생각하는 경우가 많습니다. 스타트업이 이 같은 기존 인식의 한계를 극복하고 신생분야에도 과감하게 도전할 수 있도록 VC투자유치 연계 지원이나 유연한 M&A 환경을 조성하는 것이 향후 KISIA의 중요 과제라고 생각합니다.

둘째 과제는 해외진출입니다. 국내를 방문하는 해외 바이어와 스타트업의 교류를 지원하는 제도와 같이 국내 정보보호기업의 해외진출이 용이하도록, 산업계의 목소리를 정부나 관계부처에 전달하는 역할도 지속적으로 수행할 예정입니다.

셋째 과제는 인력난 해결입니다. 국내 취업난이 심화되는 가운데 정보보호산업 분야에서는 인력난이 지속되고 있습니다. 신규인력양성 및 기존인력의 재교육을 통한 정보보호 전문인력 확대 양성을 내년 주요사업과제로 준비하고 있습니다.

▲정보통신 인프라 발전 추세에서 정보보호기술·산업의 역할은 어떻게 바뀌어가야 한다고 보십니까.

-현재 5G를 넘어 6G 시대를 대비해야 하는 시점입니다. 현재 상용화 되고 있는 자율주행자동차를 비롯해, 위성통신, 만물인터넷(loE, Internet of Everything)의 등장에 따라 초연결시대가 향후 10년 안에 현실화될 것으로 예견되고 있습니다.

이러한 정보통신기술(ICT)의 혁신은 현대사회가 금융, 근무환경, 전 생활영역 더 나아가 사회체계 전체가 디지털화 될 것을 암시합니다. 바꾸어 말하면 사회체계 전체가 사이버 위협에 노출되고, 다양한 공격방법이 등장한다는 것입니다.

정보통신망은 공격자 입장에서는 사이버범죄를 위한 유용한 도구이며, 방어자 입장에서는 사이버보안의 핵심 인프라입니다. 정보통신 인프라를 관리하는 방어자가 최신의 유효한 방어수단을 통해 공격자의 악의적 공격 시도를 제어할 수 있어야 정보통신 인프라의 건전한 활용·발전이 가능하다고 할 것입니다.

일례로, 국내에서는 공공분야 및 금융기관 등에서 망분리를 체계를 구현하는 것으로 자신들의 정보보호 조치를 모두 이룬 것처럼 여기는 경향이 있습니다. 하지만 수년 전부터 경고되고 있는 사이버 공격 수법은 망분리 환경에서도 정보유출 및 침해 사고가 얼마든지 발생할 수 있음을 우리에게 일깨워주고 있습니다. 망분리 체계를 갖췄다고 방심한다면 여러 경로를 통해 침투한 악성 프로그램이 내부망에서 사용자 단말을 급속도로 감염시켜 정보유출 등의 피해를 다대하게 일으키게 됩니다. 이를 예방하기 위해서는 수직적 보안(Vertical Security)은 물론 수평적 보안(Horizontal Security) 등의 다양화된 정보보호 체계·기술을 도입해 활용하는 것이 필수적입니다.

이처럼 사이버 공격이 지능화·고도화되는 시대에서 정보보호기술·산업은 필수적인 요소로 자리 잡게 됐습니다. 모든 산업에 융합되고 있는 만큼 기업들은 다양한 기술과 접목하며 발전할 수 있는 보안기술을 개발하고, 이를 상품화하는데 주력해나가야 할 것입니다.

▲시민들의 정보보호 인식 수준을 높이기 위한 정보보호산업계의 활동이 있을까요.

-산업계에서는 실생활과 밀접한 보안 이슈에 대해 전문적인 지식을 전달하고 있습니다. 예를 들어 지니언스에서는 '재택근무 정보보안 가이드라인'을 발표했으며, 이스트시큐리티에서는 '언택트 근무환경 점검 설문조사'를 실시하기도 했습니다.

이렇게 코로나19로 인해 확산되고 있는 재택근무 환경 뿐만 아니라, 전반적인 사이버 환경에서의 시민들의 정보보호 인식을 점검하고 수준을 제고시킬 수 있는 다양한 방법들에 대해 고민해야 합니다.

그러기 위해서는 일반 시민에 앞서 산업계 종사자에서부터 인식 수준을 제고시키는 것도 중요하다고 생각합니다. 기업에서 정보보호 관련 각종 교육, 캠페인을 운영하거나 주기적으로 모의훈련 혹은 실태 점검을 시행해 종사자들의 정보보호 수준을 주기적으로 점검해야 할 것입니다.

또한, 이렇게 기업에서 정보보호를 위해 진행하고 있는 활동들을 정보보호 공시 제도를 통해 자율적으로 공개함으로써 소비자 등 일반 시민들에게 정보보호에 대한 중요성을 각인시켜주는 것도 좋은 방법이라고 생각합니다.

▲국내 정보보호산업 경쟁력 강화를 위해 우리 사회가 어떤 노력을 기울여야 할까요.

-국내 정보보호산업의 경쟁력 확보를 위해서는 다양한 도전이 가능한 환경이 가장 중요하다고 생각합니다.

이스라엘을 우수 선례로 말씀드릴 수 있겠습니다. 이스라엘에서는 실패기업에 더 많은 자금이나 인큐베이팅 프로그램을 지원합니다. 창업 과정의 시행착오가 사회적으로 용인되는 것입니다. 또한, 정부와 민간의 공동 펀드를 중심으로 풍부한 자금 풀을 만드는 것은 물론, 해외자본이 자유롭게 유입될 수 있는 환경을 마련했습니다.

스티브잡스의 명언 중 "Connecting the dots"라는 말이 있는데, 현재에는 '점'에 불과한 사건들이 미래에는 생각지도 못한 결과를 낳게 된다는 뜻입니다. 기업이 겪는 어떤 실패와 경험도 무의미한 것은 없습니다. 우리나라에서도 청년창업가들이 자유롭게 도전할 수 있는 환경을 만들어주는 것이 가장 중요할 것입니다.

국회와 정부의 노력이 필요하단 점도 언급하고 싶습니다.

시간이 흐를수록 기술 발전 속도에 가속도가 붙으며 전 세계가 무한경쟁 체제에 돌입했습니다. 이미 미국과 중국은 국가차원에서 체계적으로 ICT와 정보보안기술을 공격적으로 육성하고 있습니다. 하지만 아직 국내에서는 정보보호와 관련한 정책, 제도 등이 그 기술개발속도를 따라가지 못하고 있습니다. 제품의 시장 출시가 늦어지거나 많은 비용이 발생하게 되면 피해에 대한 사전적 대응이 어려워집니다.

따라서 정부와 국회가 선제적인 입법을 진행하고, 노후화된 제도를 개선하는 게 최우선 과제라고 할 것입니다.

예를 들어, 그동안 국내용 CC인증은 정보보호제품의 취약점을 없애고 품질을 높여 산업발전에 이바지했습니다. 그러나 클라우드, AI, 빅데이터 등 급변하는 디지털 환경 속에서 새로운 보안취약점 역시 계속 발생하고 있습니다. 기존 보안기술로만 대응하는데 한계가 있기 때문에, 보안 인증제도 역시 시대적 흐름에 맞게 변화돼야 할 것입니다. 관련 기술의 인증 제도를 하나로 통합해 운영하는 방안을 마련하는 것도 하나의 방법이 될 수 있을 것입니다.

박광하 기자 다른기사 보기