[포커스온] 정부, 2023년 보안 투자 전면 확대한다

사이버 보안 인재 10만 양성 지속

새 정부는 보안 정책의 핵심으로 사이버 보안 인재 10만 명 양성을 강조했다. 2022년 7월 관련 발표 당시 정부는 사이버 인재 양성을 위한 청사진으로 융합 보안 대학원, 정보 보호 특성화 대학 등 보안 교육 전문 대학 육성과 보안 솔루션 개발자 육성 프로그램(S-개발자) 등 다양한 신규 특화 교육 사업을 추진하겠다고 밝혔다.

이 계획에 따라 사이버 보안 인재 양성 정책은 2023년에도 지속될 전망이다. 2023년 사이버 보안 인재 육성에는 총 274억 원의 예산이 투입된다. ‘융합 보안 핵심 인재 양성 사업’에 작년 대비 17.4% 늘어난 68억 원, ‘정보 보호 전문 인력 양성 사업’에 작년 대비 68.2% 늘어난 163억 원, ‘지역 정보 보호 교육 지원 사업’에 작년 대비 47% 증가한 24억 원이 투입된다.

일단 사이버 보안 실무에 특화된 보안 전문가 양성을 위한 과정이 추진된다. 정부는 사이버 보안 개발자 양성을 위해 신설한 S-개발자 과정을 계속 진행하면서, 기업이 선발·교육·취업을 모두 주도할 수 있게 지원하는 ‘시큐리티 아카데미’ 과정도 도입한다.

한국인터넷진흥원(KISA)은 중앙 정부의 사이버 인재 양성 정책에 맞춰 다양한 보안 인재 양성 프로그램을 추진 중이다. KISA는 2018년부터 정보 보호 분야 취업을 희망하는 구직자를 대상으로 ‘K-Shield 주니어' 사업을 실시해왔다. K-Shield 주니어 사업은 기업의 보안 업무 현장과 가장 유사한 실습 환경을 구성하고 산업계 수요를 반영한 정보 보호 실무 중심의 교육을 실시한다. 2023년에도 이 사업은 계속 유지된다.

또한 KISA는 사이버 보안 전문 인력 육성과 보안 교육 정착을 위한 '정보 보호 특성화 대학' 사업도 수행하고 있다. 산학 협력에 기반해 정보 보호 관련 학과를 대상으로 특성화 직무 과정을 지원한다. 정보 보호 특성화 대학으로 선정되면 실습 인프라 구축, 커리큘럼 개발, 교육 과정 운영, 연수, 인턴십을 제공받는다. 더불어 국내 보안 기업과의 협력을 통한 보안 제품 개발, 기술 연구 산학연계 프로젝트 참여도 가능하다. 이 사업은 전국의 보안 전문 학과를 대상으로 2026년까지 지속될 예정이다.

KISA는 사이버 위기 대응력 향상을 위한 실전형 사이버 훈련장도 운영하고 있다. 보안 교육을 받은 인력들이 실제 보안 전문가로 성장하기 위해서는 실제 사이버 위협 상황에 대한 훈련이 필수적이다. 이에 2023년에는 20개의 신규 사이버 훈련장이 개설된다.

정보 보호 산업 육성 확대

정보 보호 산업 육성도 확대된다. 2023년 정보 보호 산업 육성에는 총 300억 원의 예산이 투입되는데 구체적으로는 ▲정보 보호 공시 제도 활성화에 74억 원 ▲CC인증 신속확인제 도입 등 정보 보호 시스템 평가 및 인증 기반 강화에 22억 원 ▲전자 서명 인증 활성화를 위한 디지털 인증 확산 센터 신규 구축에 45억 원이 배분된다.

2022년 ‘정보 보호 산업의 진흥에 관한 법률(정보보호산업법)’이 개정되면서 정보 보호 공시 의무화가 시행됐다. 정보 보호 공시 제도는 국민의 안전한 인터넷 이용 및 정보 보호 투자 활성화를 위해 정보 보호 투자·인력·인증·활동 등 기업의 정보 보호 현황을 일반에 공개하는 의무 공시 제도다. 이에 따라 대상 기업들은 정보 보호 관련 사항을 필수적으로 공시해야 한다.

정보 보호 공시 의무 부과 대상 범위는 매출·정보 보호 중요도 등에 따라 차이는 있지만, ISMS 인증 의무 대상과 비슷하다. ▲이동통신사 등 인터넷 서비스 제공자(서울시 및 모든 광역시에 정보통신망 서비스를 제공하는 자) ▲데이터센터(정보통신망법 제46조에 따른 집적정보통신시설 사업자) ▲병원(의료법 제3조의4에 따른 상급종합병원) ▲클라우드 사업자(클라우드컴퓨팅법 제2조 제3호에 따른 사업자) 등이다.

의무 대상 기업이 정보 보호 공시를 하지 않으면 법에 따라 과태료를 부과 받는다. 미공시 기업은 1차 위반에 300만원, 2차 위반에 600만원, 3차 위반에 1000만원의 과태료가 부과된다. 또한, 관련 서류를 제출하지 않거나 거짓으로 제출하는 경우에도 마찬가지다. 다만 개별 기준에 따라 과태료 금액을 1/2 범위로 줄일 수는 있다.

KISA에 따르면, 2022년 6월 30일까지 약 600곳의 대상 기업이 의무적으로 정보 보호 공시를 해야 했지만 아직까지도 정보 보호 공시를 하지 않은 기업들이 많았다. 이에 KISA는 2023년에는 더 많은 기업들이 정보 보호 공시를 할 수 있도록 권고할 예정이다.

또한 혁신 보안 제품의 인증 절차를 최소화하는 신속확인제 도입에 따라 보안 기업들의 공공 시장 진출도 가속화될 전망이다. 그동안 국내 기업들은 국가용 보안 요구 사항을 반영한 공통평가기준(CC) 인증 제도를 거쳐야만 국가·공공 기관에 보안 제품을 납품할 수 있었다. 하지만 신속확인제 도입으로 기업은 약 1~2달 만에 인증 확인을 받을 수 있게 됐다. 이에 복잡한 절차에 대한 비용 부담으로 인증에 어려움을 겪던 스타트업들이 큰 혜택을 받게 될 것으로 보인다.

민간 인증서 등 전자 서명 인증 활성화도 더욱 확대될 예정이다. 과기정통부와 KISA은 2022년 9월부터 다양한 전자 서명 수단 도입을 희망하는 민간 인터넷 서비스 기업(민간 단체·협회 등도 포함)을 대상으로 간편 인증 통합 모듈 지원 시범 사업을 추진 중이다. 이를 통해 정부는 현재 등록된 13개 전자 서명 사업자의 간편 인증 통합 모듈을 개발하고, 인터넷 서비스 기업 40개를 선정해 통합 모듈 설치를 지원한다. 만약 2023년 통합 모듈이 개발되면 사용자들은 PC·스마트폰을 통해 새로운 SW를 추가로 설치할 필요가 없게 된다.

사이버 위협 대응 보안 기술 R&D 활성화

진화하는 사이버 위협에 대응하기 위한 보안 기술 연구 개발(R&D) 사업도 활성화된다. 정부는 보안 기술 R&D에 총 959억 원을, 사이버 침해 사고 예방·대응을 위한 해킹 바이러스 대응 체계 고도화에는 641억 원을 투입한다.

랜섬웨어 등 암호화 사이버 위협 대응 기술 개발에는 30억 원이 배분됐다. KISA와 과기정통부는 급증하고 있는 랜섬웨어 공격의 동향과 이에 따른 대응 방안을 공유하기 위해 2022년 9월 국내 최초로 산·학·연·관이 함께하는 ‘제1회 랜섬웨어 레질리언스 컨퍼런스’를 개최했다.

KISA는 랜섬웨어에 대한 적극적인 대응의 필요성을 알리기 위해 앞으로 매년 컨퍼런스를 개최할 계획이다. 이를 통해 공공, 금융, 학계 등 다양한 분야의 관계자와 함께 랜섬웨어 대응 및 예방 방안을 지속적으로 모색한다.

또한 KISA는 과기정통부와 함께 ▲인공지능(AI) 기반 자율형 차단 기술 ▲랜섬웨어 수사 사례 ▲국내·외 랜섬웨어 복구 동향 및 기법 등을 기반으로 국가 차원에서의 암호화 사이버 위협 대응 기술을 더욱 고도화해 나갈 예정이다.

해양수산부, 국토교통부 등 부처는 협력을 통해 ICT 인프라, 지능형 교통시스템(ITS), 스마트 선박·항만(LTE-M) 등 대국민 공공 인프라에 대한 암호화된 사이버 공격을 탐지·대응하는 차세대 보안 기술을 개발할 계획이다.

국방 드론 사이버 보안 기술 개발에도 18억 원을 투입한다. 군에서의 드론 사용이 늘어남에 따라 현재 군이 도입하고 있는 드론의 사이버 보안 기술 확보를 위해 민·군 협력 사이버 보안 R&D가 2023년부터 본격적으로 추진된다.

데이터 프라이버시 기술 개발에는 2022년보다 7억 원 증가한 56억 원이 투입된다. 디지털 대전환으로 데이터는 ICT 분야의 핵심 자원으로 등극했다. 하지만 2021년 기준 기업의 데이터 유출 사고당 피해액이 역대 최고인 49억 원을 기록하는 등 데이터 활용 확산에 따른 개인정보 유출 피해도 증가하고 있다.

이에 정부는 2025년까지 ▲암호화된 상태로 데이터 분석과 연산 가능이 가능한 동형암호 기술 ▲원본 데이터의 통계적 특성을 가진 가상 데이터인 재현 데이터 생성 기술 ▲데이터에 적절한 잡음을 추가해 개인정보 노출을 방지하는 차등 정보 보호 기술 등을 확보할 예정이다. 이를 통해 정부는 공공, 행정, 의료 등 다양한 분야의 데이터를 안전하게 활용할 수 있는 기반을 마련한다.

비대면 서비스 물리 보안 통합 플랫폼 개발 사업에도 40억 원이 투입된다. KISA는 2022년부터 2025년까지 비대면 서비스 물리 보안 통합 플랫폼 운영 체계 R&D를 위한 공동 연구 기관과 기업을 모집하고 있다. 이를 통해 각 산업 현장에 필요한 물리 보안 통합 플랫폼을 구축한다. 2022년에는 ‘스마트 건설 시설의 물리 보안 통합 플랫폼 개발 연구’가 시행됐으며, 2023년에는 새로운 연구를 앞두고 있다. 정부는 이 사업을 통해 국내 물리 보안 산업을 활성화하고 차세대 물리 보안 제품의 확산에 따른 기술 표준화 및 성능 검증에 대한 기술을 개발해 나갈 예정이다.

또한 정부 기관 주관의 버그바운티 프로그램도 더욱 활성화된다. KISA는 과기정통부와 함께 2017년부터 AI, 에너지·자동차 등 융합 보안, 빅데이터, 개인정보 비식별 기술 등 5개 분야의 사이버 보안 난제를 해결할 수 있는 연구를 위한 ‘사이버 보안 챌린지’를 운영하고 있다. 2023년 열릴 사이버 보안 챌린지에는 총 33억 원이 투입된다.

사이버 침해 사고 예방·대응을 위한 해킹 바이러스 대응 체계 고도화에는 2022년(633억 원)보다 8억 증가한 641억 원이 투입된다. 특히 ▲해킹 바이러스 대응 체계 고도화 ▲상시 이상 징후 모니터링 ▲AI 기반의 보안 위협 대응 등 사업이 더욱 강화된다.

먼저 정부는 가장 많은 피해를 내고 있는 랜섬웨어 피해를 최소화를 위해 2022년부터 연동된 ‘사이버 위협 정보 분석 공유 시스템(C-TAS)’과 ‘국가 사이버 위협 정보 공유 시스템(NCTI)’을 통해 다양한 기업들의 사이버 위협 정보 공유 시스템 참여를 더욱 확대한다.

또한 정부는 웹사이트 2만여 개에서 탐지한 위협 정보와 국외에서 수집한 위협 정보의 공유를 확대하고, 주요국들의 인터넷 보안 기관(CERT), 한미 사이버 워킹 그룹 등 사이버 보안 협의체를 통해 국가 간 랜섬웨어 정보 공유도 활성화한다.

보안 수준이 취약한 중소기업의 보안 취약점 진단을 위해 2021년부터 제공하고 있는 SW 개발 보안 허브 구축도 700개 기업으로 확대될 예정이다. 또한 2020년 9월부터 제공된 ‘내 PC 돌보미 서비스’에는 IoT 등 모바일 기기 점검 서비스와, 서버 보안 관리에 어려움을 겪는 중소·영세 기업을 대상으로 한 서비스도 추가된다.

디지털 대전환과 함께 증가하는 보안 위협에 대응하기 위해서는 보안 기술과 보안 인력 등 국가차원에서의 보안 자원 확보가 중요하다. 이번 정부는 디지털 플랫폼 정부라는 국정 과제를 내세웠다. 이에 앞으로 우리나라 정부의 보안 정책이 국가 산업 전체에 미칠 영향은 더욱 커질 것으로 보인다.