[기고] 안전한 사이버 공간 조성···종합 대책 필요하다

한국인터넷진흥원(KISA)에 의하면, 최근 국내 기업들이 겪은 사이버 침해사고가 급격히 늘고 있는 것으로 나타났다. 2024년 한 해 동안 신고된 건수는 1800여 건으로, 전년 대비 무려 48%나 증가했다. 서버 해킹과 랜섬웨어 피해 94%가 중견·중소기업에 집중돼 기업 보안의 취약성이 그대로 드러났다. 특히 지난 4개월 동안 우리나라의 금융, 통신 등의 기업 정보시스템이 해킹돼 침해사고가 빈번히 발생하고 있고, 이로 인한 국민의 개인정보가 유출되고 있다. 우리나라 사이버공간의 안전성이 위험에 처해있다. 기업을 망라한 국가나 기업 차원의 작금을 위협을 차단하기 위한 특단의 대책이 필요한 시점이다. 최근의 빈번한 침해사고의 근본 원인을 파악하는 것이 문제 해결을 위해 중요하다. 디지털 전환과 더불어 많은 서비스가 정보통신 기반에 의존하고 있고, 클라우드 활용, 원격근무, IoT 서비스 확산으로 기업 IT 환경이 복잡해지면서, 공격받을 수 있는 '면적'이 넓어졌다는 점이다. 더불어 기업의 IT 서비스를 위한 응용에 많은 취약점이 존재하고, 공격자가 이러한 취약성을 악용하고 있다. 이에 반해 여전히 많은 기업이 보안을 '투자'가 아닌 '비용'으로만 여기고 있다. 기업의 경영진 차원의 정보보호에 대한 효과적인 투자와 전략적 대응이 부족하고, 특히 중소기업은 보안 예산과 전문 보안 인력이 턱없이 부족해 기본적인 보안 조치의 운영조차 부담스러운 실정이다. 반면 사이버 공격 수법은 고도화 및 지능화하고 있다. 전통적인 지능형 지속 공격(APT)에 더해 AI 기술이 공격에 활용되면서 피싱, 기존 보안 제품을 우회하는 다형적 악성코드 제작, IT 응용에서 존재하는 취약점 탐지 용이 등이 가능하게 됐다. 보안 수준이 낮은 기업은 손쉽게 공격 대상이 될 수밖에 없는 구조가 됐다. 특히 특정 국가의 지원을 받는 해킹 조직이 배후에 있을 가능성도 제기되고 있다. 공격자와 수비자 간의 능력의 불균형이 나타나고 있다. 더불어 국가나 기업의 사이버보안 거버넌스가 작금의 고도화된 사이버공격을 방어하기 위해 충분히 작동하는지도 살펴봐야 한다. 최근의 빈번한 침해사고는 이러한 사이버보안 거버넌스가 적절히 작동하는 데에 대한 의구심을 불러일으키고 있다. 국민주권정부의 123대 국정과제에 사이버보안이 분명히 보이지 않는 것은 아쉬운 점이다. 사이버보안의 중요성은 언급되었지만, 5년간의 집권 청사진을 담고 있는 국정과제의 상위 수준에는 보이지 않았다. 이러한 상황에서 시급히 취해야 할 대응은 무엇인가? 국가, 기업, 이용자 차원의 보안 능력 강화가 필요하다. 먼저, 국가 차원의 효과적인 대응 조치 마련이 필요하다. 필자는 지금까지 기회 있을 때마다 사이버보안 이슈는 국정의 최우선 과제가 돼야 한다고 주장해 왔다. 국정최고책임자의 관심과 지원이 중요하다. 이는 사이버 공간의 안전성이 허물어지면 정보통신망을 통해 제공되는 모든 서비스가 망가지게 되어 우리의 사이버 공간이 위험에 처할 수 있기 때문이다. 국가 사이버보안 거버넌스의 효과적 운영을 통해 모든 산업 부문 간의 사이버보안 조정 활동은 더욱 활성화돼야 한다. 필자는 이스라엘의 미사일 돔과 비슷한 역할을 할 수 있는 대한민국 사이버 둠을 구축하고 운영할 필요가 있다고 주장해 왔다. 또한 가칭 '사이버 안보 전략위원회'를 새로 신설해 국가 차원의 사비버보안 거버넌스 효과성도 강화할 필요가 있다. 둘째, 자율 보안 원칙에 기반해 기업의 정보보호관리체계 개선이 필요하다. 사이버보안 위협을 완화하기 위한 기업의 기술적, 관리적, 조직적 대응책은 고도화돼야 한다. 특히, AI 기반 침해사고의 자동 탐지·대응 체계를 확대하고, 기존 인공지능 시스템의 강건성을 보장하는 보안 대책도 적용해야 한다. 기업의 보안 거버넌스를 강화하고, 정보보호최고책임자(CISO)과 개인정보보호책임자의 역할과 권한을 확대해야 한다. 효과적으로 침해사고를 탐지하는 인공지능 기반의 보안관제 서비스를 구축하고 운영해야 하며, 다중 요소 인증(MFA)과 접근의 최소권한 부여 원칙 적용, 비인가된 원격접속의 실시간 차단과 같은 필수 통제를 적용해야 한다. 또한 정기적인 백업·복구 훈련과 임직원을 대상으로 한 보안 교육·모의훈련을 반드시 병행해야 한다. 보안의 사각지대가 될 가능성이 있는 중소기업을 위한 사이버보안 지원활동도 강화해야 한다. 보안 제품과 서비스 구입과 연구개발을 위해 기업이 투자에 대한 비용에 대해 세액 공제 등 인센티브 제공도 높여야 한다. 셋째, 이용자에 대한 보안 인식제고 활동의 강화가 필요하다. 사이버 보안을 위한 이용자의 역량을 강화하기 위한 기본 수칙에 대한 인식 제고와 이를 지원하는 다양한 솔루션도 제공돼야 한다. 사이버 보안은 이제 개별 기업만의 문제가 아니다. 전자정부 서비스의 정상 운용과 국민의 삶에 커다란 부정적 영향을 주기 때문이다. 효과적인 국가 사이버보안 거버넌스 개선, 국가적 사이버보안 대응 전략 개선, 기업의 자발 보안 체계 강화가 함께 추진될 때 우리 사회와 국가의 사이버 보안과 안전은 견고해질 것이다. 지금이 바로 위기를 기회로 바꾸어야 할 골든타임이다.