미래유망직업
[기획] 사이버 보안 체계 자립화한다
#여성과학기술인#STEM#사이버보안#사이버보안10만인재양성#제로트러스트
조회수 809
좋아요2
작성일2023-01-04
[기획] 사이버 보안 체계 자립화한다
새해 국가 보안을 위협하는 글로벌 해킹이 증가해 관련한 대비가 필요하다는 정부 분석이 나왔다. 지난해 10월 정부에서는 앞으로 육성해야 할 국가전략기술 중 하나로 사이버 보안을 손꼽았다. 사이버 보안의 중요성과 미래 정책 방향을 살펴보자. |
ⓒ shutterstock
│올해도 사이버 보안 위협은 계속돼
최근 러시아의 우크라이나 침공, 코로나19 장기화에 따른 디지털 전환, 글로벌 기업을 향한 해킹 공격이 맞물리면서 사이버공간의 긴장감이 높아졌다. 과학기술정보통신부, 한국인터넷진흥원(KISA)은 지난 12월 26일 발표한 ‘2022년 사이버 보안 위협 분석과 2023년 사이버 보안 위협 전망’에 따르면, 지난해 국가·사회 혼란을 일으키는 사이버 공격, 재택근무, 클라우드 전환 등 IT 환경 변화를 악용한 공격, 랜섬웨어, 디도스 공격의 사이버 보안 위협이 있었다고 분석했다. 해커집단 랩서스, 친러시아 성향의 해킹조직인 킬넷 등 글로벌 해킹그룹에 의한 사이버 공격이 계속 발생했다. 클라우드 기반의 악성코드가 발견되고 클라우드 설정 오류로 인한 공항 데이터가 대량으로 유출되기도 했으며, 배달대행업체가 디도스 공격을 받았고, 콜택시 중계 서비스 제공사가 랜섬웨어에 감염돼 전국 콜택시가 마비되기도 했다.
지난해 KISA에 접수된 보안사고 신고는 전년에 비해 약 1.6배 증가했는데, 전체 신고 중 약 30%가 랜섬웨어 사고였다. 규모로 보면 중소기업이 88.5%를 차지해 제일 피해가 컸으며, 업종으로는 제조업이 40%를 차지해 가장 피해가 컸다.
올해도 지난해에 있었던 사이버 보안 위협이 계속될 전망이다. 글로벌 해킹 조직의 활동은 증가할 것이며, 주요 기반 시설이나 글로벌 기업을 대상으로 한 대규모 사이버 공격 시도도 이어질 것으로 예상된다. 코로나19 장기화로 사회 전반이 더 빨리 디지털로 전환되면서 클라우드 전환 과정에서 새로운 보안 취약점이 드러나고 있으며, 갈수록 복잡해지는 기업의 소프트웨어 공급망을 노린 공격도 많아질 것으로 보인다. 악성코드를 삽입하거나 소스코드를 탈취하는 식이다.
│2030년 국내 보안 기업의 매출액 20조 원 목표
컴퓨터, 네트워크, 데이터를 악의적인 전자적 공격으로부터 보호하는 전반적인 활동이 바로 사이버 보안이다. 정부는 지난해 10월 28일 대통령 주재 국가과학기술자문회의를 열고 미래 성장과 기술강국 도약을 향한 ‘국가전략기술 육성방안’을 발표하면서 12대 국가전략기술 중 하나로 사이버 보안을 제시했다. 특히 사이버 보안은 급격한 성장과 국가안보 관점에서 핵심이익을 좌우하는 ‘미래도전’ 기술군에 포함됐다. 이 기술군은 민관협업으로 시장에서 스케일업을 하고 대체불가 원천기술을 확보하는 것이 목표다.
사이버 보안 분야의 우리 경쟁력과 산업 성숙도. ⓒ 과학기술정보통신부
사이버 보안 분야는 데이터·인공지능(AI) 보안, 디지털 취약점 분석·대응(공급망 보안), 네트워크·클라우드 보안, 신산업·가상융합 보안을 세부기술로 손꼽았다. 5년 이내 단기적으로는 AI 기반 보안관제 및 자동 대응 등에 관련된 원천기술을 개발하고, 정보통신기술(ICT) 장비, 소프트웨어 취약점(펌웨어 등)을 신속히 분석하고 대응하는 기술을 개발하고자 한다. 5~10년 뒤 중장기적으로는 모빌리티, 클라우드, 6G 등 미래 디지털 인프라를 구축하는 데 기여하는 한편, 사이버 보안 체계를 자립화하도록 노력할 계획이다.
우리나라는 사이버 보안 분야에서 경쟁력이 떨어지는 분야도 있지만, 산업 성숙도는 대체로 높은 편이다. 국내 보안 기업의 매출액은 2021년 12조 원 규모에서 2030년 20조 원 규모로 증대할 것을 목표로 두고 있다.
│사이버 10만 인재 양성 방안에서 제로트러스트 보안까지
사이버 위협이 증가하면서 사이버 전문인력의 중요성은 미래에도 지속될 전망이다. 정부가 파악한 바에 따르면 2012년 현재 미국의 보안 인재는 114만 명이지만 우리나라는 12만 명에 불과하다. 이에 과학기술정보통신부는 지난해 7월 13일 ‘사이버 10만 인재 양성 방안’을 발표했다. 최정예 사이버 인력 양성으로 안전한 디지털 강국을 구현하고자 실전형 사이버 인력 10만 명 양성, 최정예 전문 인재 2000명 육성, 우수 보안 스타트업 25개 창업 지원에 나선다는 내용이다. 민관군 협력을 통해 10만 보안인재를 양성하며 연구개발에서부터 시장확산까지 전방위적 지원을 강화할 방침이다. 특히 사이버 보안 산업 수요에 대응하는 인력의 양적 확대와 최정예 화이트해커, 보안개발자 양성 등을 통해 인력의 질적 강화를 함께 도모한다.
ⓒ 과학기술정보통신부
과기정통부와 KISA는 사이버 위협 인텔리전스 네트워크와 함께 사이버 위협을 선제적으로 예방하고 대응하기 위한 체계를 강화하고자 노력하고 있다. 사이버 위협 인텔리전스 네트워크는 사이버 보안 위협 정보를 공유하고 침해사고에 공동으로 대응하고자 KISA와 국내외 보안업체가 운영하는 협력 네트워크다. 안랩, 이스트시큐리티, 이글루코퍼레이션, NSHC, S2W 같은 국내 기업과 마이크로소프트, 카스퍼스키, 맨디언트, 트렌드마이크로, 스플렁크 같은 해외 기업이 참여하고 있다.
또 올해 발생할 사이버 위협에 대응하기 위해 과학기술정보통신부는 제로트러스트 보안으로 전환할 필요가 있으며, 공급망 보안체계 및 사이버 레질리언스 대응 체계를 도입할 필요가 있다고 분석했다. 특히 제로트러스트 보안은 모든 대상에 대한 잠재적 위협을 미리 식별하고, 새로운 접근에 대해서는 거듭 확인해 적절한 권한을 부여하는 방식이다. 과기정통부와 KISA는 지난해 초부터 연구반을 구성해 보안모델과 가이드 마련 필요성을 제시했고, 지난해 10월엔 이를 구체화하고 능동적으로 대응하고자 ‘제로트러스트·공급망 보안 포럼’을 발족했다.
날로 진화하는 사이버 위협으로부터 정부와 기업이 자산과 정보를 보호하기 위한 노력은 계속돼야 한다. 이를 통해 우리나라는 사이버 보안 체계를 자립화하는 길을 열어야 할 것이다. 이 과정에서 많은 사이버 보안 인재가 필요하다. 사이버 공격이 SNS 등으로 표적 기업 임직원에게 접근해 내부 정보를 빼내는 식의 사회공학적 방식도 늘고 있다. 이에 기본적인 IT 역량이 요구될 뿐만 아니라 성별, 국적, 문화권, 전공 등도 다양할 필요가 있다.
글_이충환 동아에스앤씨 편집위원
