/사진=이미지투데이
17일 정보보호 업계에 따르면 한국인터넷진흥원(KISA) 정책개발팀과 김정덕 중앙대 교수는 전날 이 같은 내용이 담긴 '침해사고 등 사이버공격 대응 관점에서의 사이버 복원력 정책 이슈 분석 및 시사점' 보고서를 발간했다.
연구진은 사이버 복원력에 대해 "사이버 보안과 달리 업무의 연속성을 유지하기 위한 신속한 복원과 위협에 대한 사전 예측 기반의 예방이 핵심 목표"라며 "공격 발생시 효과적 대응과 피해 최소화, 신속한 서비스·시스템·네트워크 정상화를 통한 운영 복귀가 중점"이라고 밝혔다. 사이버 보안이 보안 부서 중심으로 이뤄졌다면, 사이버 복원력은 전사 조직간 생태계에 적용된다는 설명이다.
반면 국내에선 사이버 복원력이 '회복성', '탄력성' 등과 혼용되는 등 용어조차 불분명하고 실무에선 사이버 보안과 구분되지 않는 실정이다. 연구진은 "2018년 한국은행에서 금융권 대상으로 '금융시장 인프라에 대한 사이버 복원력 지침'을 배포했지만, 이후 고도화·업데이트 등 지속적 연구가 이뤄지지 않았다"며 "한국 역시 국가 차원의 핵심 기반시설 사이버 복원력 구축을 위한 정책을 개발하고 관련 법규를 정비함과 동시에 전문조직을 구성하는 등의 정책수립이 필요하다"고 지적했다. 아울러 "기존 정보보안 관련 법제에 추가적인 사항을 반영할 것인지, 별도의 법 제도 개발을 통해 보완할 것인지에 대한 논의가 필요하다"고 덧붙였다.
한국 정부는 2019년 '국가 사이버 안보전략'을 수립할 당시 '정부 업무의 연속성 확보'를 언급한 데 이어 올해 2월 전략을 개정하면서 '국가 핵심 인프라 사이버 복원력 강화'를 5대 과제로 삽입했다. 정보통신망법에는 2022년 판교 데이터센터 화재를 계기로 사이버 복원력의 취지를 일부 반영해 서비스 사업자에게 의무를 부과하는 조항이 신설된 상태다.
이 시각 인기 뉴스
연구진은 "국가 차원의 핵심 기반시설에 사이버 복원력을 구축하기 위해 정책·법규를 정비하고 전문조직을 구성하는 등의 정책을 수립해야 한다"고 밝혔다. 이어 "제도적 기반을 마련하기 위해 기존 정보보안 관련 법제에 추가적인 사항을 반영할 것인지, 별도의 법제 개발을 통해 보완할 것인지에 대한 논의도 필요하다"고 지적했다.
관계당국에 따르면 정부는 사이버 복원력 전면 도입에 앞서 국가 사이버 안보 수행체계를 일원화하기 위해 최근 사이버안보 기본법 제정을 추진 중이다. 조태용 국민의힘 주도로 2020년 6월 발의된 이 법안에는 현재 공공·민간 부문으로 분리된 사이버 침해사고 대응주체를 통합하는 등의 내용이 담겼다. 다만 21대 국회 임기 만료가 다음달로 다가오면서 법 제정 논의는 차기 국회로 넘겨질 전망이다.