저자 : 배병환 한국인터넷진흥원 정책기획팀 주임연구원(bbh0113@kisa.or.kr),
강원영 한국인터넷진흥원 정책기획팀 책임연구원(wykang@kisa.or.kr),
김정희 한국인터넷진흥원 정책기획팀 팀장(kimjh@kisa.or.kr)
최근 국경을 넘나드는 사이버위협의 증가와 조직적 형태의 사이버범죄가 등장함에 따라 미국, 영국 등 주요국을 중심으로 국가 차원의 사이버보안 전략을 마련하고 있는 상황이다. 특히 영국은 사이버보안과 관련한 기술과 전문 인력을 보유한 사이버보안 선진 국가로 이미 국가 차원의 사이버보안 전략을 수립·시행하고 있으며 매년 사이버보안 전략 추진 현황과 성과를 검토하고 있다.
본 고에서는 영국의 인터넷 이용환경 및 보안 위협 현황 등 사이버보안 전략 수립 배경을 살펴보고 영국의 사이버보안 전략, 추진과정 및 성과를 소개함으로써 국내 사이버보안 정책 수립에 참고할 만한 시사점을 도출해 보고자 한다.
인터넷 이용의 보편화와 함께 국민의 경제, 사회적 활동 전반에 걸쳐 ICT 의존도가 확산되면서 사이버 공간에서 발생하는 위협은 사회 안정 및 국가 안위로 직결되는 중요한 요인이 되고 있다.
최근 사이버 공간에서 발생하는 위협을 통해 신종 사이버 범죄 증가, 사이버 범죄로 인한 피해 규모가 크다(세계 연간사이버범죄로 인해 발생하는 경제적 손실은 약 4450억달러(452조원) 규모로 추산되며 사이버범죄의경우 투자대비 이를 통해취할 수 있는 이득이 높아 확대되는 추세(맥아피, 2014.6월))는 점에서 사이버보안의 중요성 인식도 한층 높아지고 있다.
특히 사이버 침해로 인한 피해는 하나의 국가에서 발생하더라도 다른 국가를 경유해 또 다른 피 해가 발생하는 등 개별 국가 차원에서 사이버위협이 아닌 국가 간 경계가 없이 확대될 수 있다.
또한 지능형 지속위협(APT)과 같은 최신 기법의 사이버위협의 등장과 같이 기존 사이버보안 대응 매뉴얼, 탐지 시스템으로 탐지·분석할 수 없는 신규 사이버 위협들이 계속해서 등장하고 있어 국가 차원의 선제적 보안 위협에 대응하기에 어려움이 발생하고 있다.
이에 따라 영국 등 주요국에서는 사이버위협에 대한 효과적인 대응을 위해 국가 차원의 사이버보안 전략을 수립하고 시행중이다. 영국은 EU 국가 내에서도 사이버보안과 관련한 기술과 전문 인력을 보유한 사이버보안 선진 국가에 속한다.
특히 기업들의 정보보호 정책 수립비율은 국내에 비해 5배 가량 높으며 정보보호 투자와 관련해서도 국내에 비해 16배 높다.(Information Security Breaches Survey(2013. PWC) 또한 국가 사이버보안 전략 수립 이후 매년 추진 과정과 성과를 검토해 차년도 사이버보안 전략 실행 계획에 반영하는 등 사이버보안 전략 실효성 제고를 위해 노력중에 있다.
이밖에도 최근 우리나라와도 사이버보안 분야 글로벌 협력체계를 구축(한국인터넷진흥원과 영국 사이버보안청간 ▲사이버위협 정보 공유 및 침해사고 공동 대응 ▲정보보호기술 공동연구 및 상호 인력 교류 ▲국가 사이버보안 정책개발 협력 및 공유 등 사이버보안 전 분야에 걸친 협력 강화 추진 등의 내용으로 업무협력 MOU 체결(2014.5월))하는 등 사이버보안 분야 협력을 강화해 가고 있다.
본 고에서는 영국이 국가 전반에 걸친 사이버보안 역량 강화를 위해 수립한 국가 사이버보안 전략을 중심으로 이를 실천하기 위한 세부 추진사항 등을 살펴보고 국내 사이버보안 정책 수립에 참고할 만한 시사점을 도출해 보고자 한다.
영국의 인터넷 이용환경 및 보안 위협 현황
영국의 인터넷 이용 환경 = 영국 경제를 견인하는 성장 동력은 금융위기 이전까지 문화 콘텐츠가 중심이었으나 금융위기 이후 ICT 산업으로 그 축이 이동하고 있다. 대표적으로 2010년 데이비드 캐머런 총리는 취임과 동시에 ICT 경쟁력 강화를 통한 경제성장을 이끌기 위해 ‘테크시티 프로젝트‘를 추진했다. 그 결과 2013년 기준 런던 동부지역 내 구글, 아마존 등 글로벌 ICT 기업과 스타트업 기업 등 약 1300개 이상의 기업들을 유치하는 성과를 올렸다.
또한 영국은 자국민들의 인터넷 이용 편의성 증진을 위해 유무선 브로드밴드 기간 시설망 구축 및 투자 확대 등 국가차원의 지원을 지속적으로 강화하는 노력을 기울였다. 더불어 이러한 노력의 결과로 영국, 프랑스, 독일, 스페인, 이탈리아 등 EU 5개국 내 유·무선 브로드밴드 서비스 경쟁력이 가장 높은 국가로 선정됐으며 인터넷 이용률 역시 87%로 전년보다 계속해서 증가하고 있는 것으로 나타났다.
영국은 G-20 국가 내에서 국내총생산량(GDP)대비 인터넷 경제가 많은 비중을 차지하고 있는 국가다. 영국은 국가 경제 성장을 견인할 신성장 동력의 수단으로 ICT를 활용함과 동시에 경제구조에 있어 ICT가 차지하는 비중이 높게 나타나고 있다. 이와 함께 영국 국민들의 사이버상에서의 이용율이 높게 나타나고 있음을 알 수 있다.
영국의 사이버위협 현황 = 영국 기업혁신기술부(Department for Business Innovation & Skills)의 ‘2014 ISBS(Information Security Breaches Survey)’에 따르면 2014년 민간기업 대상의 침해사고건수가 작년보다 감소한 것으로 조사됐으나 피해액은 크게 증가한 것으로 나타났다.
또한 BT(British Telecom)의 IT 의사 결정자를 대상으로 조사한 설문 결과를 살펴보면 조사 대상자의 17%만이 사이버보안을 정책 의사결정시 우선순위로 고려하고 있는 것으로 나타나 사이버위협에 대한 인식 역시 미흡한 것으로 조사된 바 있다.
사이버위협 피해 경험 및 유형 = 대기업의 81%가 악의적인 침해(malicious breaches) 공격을 받은 것으로 나타났으며 대기업의 66%는 심각한 침해사고를 경험한 것으로 조사됐다. 중소기업의 경우에도 60%가 악의적인 침해 공격을 받았으며 50%는 심각한 침해사고를 경험한 것으로 조사됐다.
사이버 위협의 유형으로는 바이러스와 악성 소프트웨어에 의한 감염으로 피해가 가장 많으며 대기업의 73%와 중소기업의 45%가 경험한 것으로 조사됐다. 이와 같은 수치는 지난해 보다 각각 14%와 4%씩 증가했다.
사이버침해 사고에 따른 피해규모 = 2014년 사이버침해사고에 따른 피해액은 중소기업 6만5000~11만5000유로(약 8830만원~약 1억5635만원), 대기업 60만~115만유로(약 8억125만원~약 15억3574만원)으로 전년 대비 약 1.5~2배 수준으로 증가한 것으로 나타났다.
또한 유형별로는 아래의 표와 같이 사업 중단, 사고 대응에 소요되는 직접적인 비용 지출 등이 가장 큰 비중을 차지하는 것으로 나타났다.
영국 사이버보안 추진체계 및 전략
영국 사이버보안 추진체계 = 영국의 사이버보안 전략은 내각부(Cabinet Office)를 중심으로 운영되고 있다. 내각부는 정보보호 정책 총괄과 함께 정부기관의 정보보호 활동 및 업무 조정을 담당하고 있으며 산하기관으로 정보보증중앙기구(CSIA : Central Sponsor for Information Assurance), 사이버보안청(OCSIA: Office of Cyber Security and Information Assurance), 민간비상대비사무처(CSS : Civil Contingencies Secretariat) 등이 속해 있다.
이외에도 영국 주요기반시설 보호를 담당하고 있는 내무부(Home Office)와 통신정보 수집·제공을 담당하고 있는 외무부(Foreign& Commonwealth Office), 국가 산업 발전을 위해 정보보호 정책을 담당하는 기업혁신기술부(Department for Business Innovation and Skills) 등이 영국의 사이버보안을 담당하고 있는 대표적인 정부부처다.
내각부 = 내각부는 정부가 수립한 목표 달성을 위해 총리를 지원하는 핵심적인 역할을 담당하는 정부부처로 내각의 업무를 지원하고 정부내 각 부처간의 연계와 정책 시행을 위해 노력하고 있는 정부부처다.
사이버보안과 관련해서는 CSIA, OCSIA, CSS 등을 통해 사이버보안 활동 총괄을 담당하고 있다. CSIA는 영국 정부의 정보보증(Information Assurance) 개선을 주로 담당하고 있으며 이를 위해 정보통신기술을 활용해 정부의 공공서비스가 원활히 제공될 수 있도록 지원하며 훼손될 위험이 있는 정보 및 정보시스템을 보호해 국가기반보호센터(CPNI), 중대조직범죄청(SOCA) 등 협력관계 있는 기관들을 주도해 정보보안 활동을 전개해 나가고 있다.
OCSIA는 정부 전략의 수립 및 사이버보안 강화 기능을 담당하고 있으며 2009년 발표된 영국 최초의 국가 사이버보안 전략에 따라 설립된 기관이다. 내각부 장관 감독하에 사이버보안 전략 실행을 위한 재정지원프로그램인 국가사이버보안프로그램의 관리와 조정을 담당하고 있다.
CSS는 내각부 내의 비상사태에 대응하는 업무를 담당하기 설립된 기관이다. 비상사태가 발생할시 문제의 상황을 분석하고 행정부와 주요 관계자들과의 협력을 통해 비상상황의 대응과 복구 노력을 기울이고 있다.
내무부 = 내무부는 테러·범죄 및 반사회적 위험으로부터 사회를 지키며 주요 기반시설의 보호와 입국관리, 테러대응, 경찰 통솔 등을 담당하고 있는 정부부처다. 내무부 산하에는 미국의 FBI와 유사한 국가 사이버범죄 대응기구인 국가범죄수사국(NCA)과 국가기반보호센터(CPNI)를 두고 있으며 이들 기관은 영국에서 발생하는 주요 사이버범죄와 주요기반시설 대상의 물리적, 전자적 공격으로부터 보호 업무를 담당하고 있다.
특히 특정 위협, 취약성에 대한 정보를 주요 협력 기관들과 공유함으로써 적절한 대응책을 마련하고 주기적인 평가 정보를 제공하고 있다.
외무부 = 외무부는 해외에서의 영국 이익을 증진하기 위한 목적을 가진 정부부처로 산하에 정보통신본부(GCHQ)를 두고 있다. 정보통신본부는 통신정보(Signals Intelligence)의 수집·제공과 관련 기관에 보안 정보를 권고·보고하는 업무 등 크게 2가지 업무를 담당하고 있다.
정보보안과 관련해서는 정부의 정보통신시스템을 포함한 정보를 사이버위협으로부터 보호하는 것과 관련되며 정보통신본부 산하의 국가정보보증기술국(CESG, The National Technical Authority for Information Assurance)에서 이를 담당하고 있다.
기업혁신기술부 = 기업혁신기술부는 영국의 산업 생산성을 증진하고 기업들의 사업 환경 개선을 담당하는 정부부처다. 사이버보안과 관련해서는 기업혁신기술부 내 정보보안정책팀(Information Security Policy Team)을 통해 ▲기업의 사업상 정보보호와 관련된 권고 내용을 담은 홈페이지 운영과 관련 출판물 등을 제공하고 ▲정보보안 실태조사를 2년에 한 번씩 실시해 기업들이 직면하는 보안 위험에 대한 이해도 높이는 노력을 하고 있다.
또한 ▲업계의 의견을 반영한 국내외 기준 및 규제정책을 마련하며 유럽네트워크정보보안국(ENISA) 운영위원회의 일원으로 업무지원 활동 수행하고 있다.
