디지털 권리장전을 한국이 주도하여 세계 표준을 만들어 가고 있다. 국력이 느껴지고 미래의 청사진이 기대되는 가슴 벅찬 일들이다. 생성형 AI로 촉발된 AI전쟁이 시작된 지 불과 몇 년 만에 세계가 요동치고 있다. AI 승자가 패권 국가가 될 것이라는 예상은 이제 상식화 되고 있으나 진정한 패권 국가가 되기 위해서는 기술적 측면과 정신적 측면을 모두 겸비한 지속 가능한 수준의 양 날개가 있어야 한다.
기대가 큰 만큼 실망이 클 수 있듯이 그 위험성이 큰 것도 사실이다. AI의 성공을 위해서는 기술적이든 정신적이든 디지털전환이 전제조건이며 강력한 사이버보안이 받쳐주지 못하면 사상누각이 돼 일시에 한꺼번에 모든 것을 잃어버릴 수 있는 위험성이 함께 내재한다.
사이버보안이 디지털전환에 일부 보조적인 수단으로서가 아니라 최우선적으로 다루어야 할 문제이고 미래를 대비한 과감한 변신이 필요한 때이다. 정보화 시대의 인트라넷 환경과 지능화 시대의 인터넷 환경이 다르고 목적과 용도가 다르기 때문에 대한 통찰력을 가지고 미래를 준비해야 한다. 사이버보안의 역량에 따라 디지털전환의 성패가 달라질 것이다.
보안은 시작도 끝도 없는 긴 여정이라 하고, 보안 강화와 업무 효율은 상반 관계라 하며, 보안은 소모성으로 생산적이지 않다고 이야기한다. 보안은 너무 어려워 보안 전문가들만이 취급할 수 있는 것이라 이야기한다. 기술적으로 보면 맞는 말이지만 개념적으로 보면 상황은 많이 다르다.
개념만 이해하면 그렇게 어렵지도 않고 편리성과 생산성을 높일 수 있는 것이 보안이다. 이와 관련해 세계적으로 추진되고 있는 것이 제로트러스트 보안이며 한국도 이미 지난 7월에 가이드라인이 제정되어 기술적 표준이 마련됐다. 보안관련 규제와 규정도 이에 맞게 과감히 바뀌어야 할 때가 됐다. 기술적으로는 많이 준비되어 있다. 제도가 바뀌고 시장이 열리면 놀랄 정도의 빠른 속도로 기술이 뒷받침해 줄 것이다.
OECD 중 한국이 규제 관련해서 세계 최고 수준이다. 영국이 매년 약 30개의 규제 관련 새로운 법이 만들어지는 반면 한국은 매년 약 2,000개의 신규 규제가 제정된다. 선진국의 경우 1개의 신규 규제관련 법을 만들 때에는 최소 1개에서 3개의 기존 법은 폐기하는 1 in 2 out 또는 1 in 3 out 제도를 시행하고 있다. 국회와 정부의 역할이 규제 중심적으로 매몰되지 않고 보다 선제적으로 변화에 대응할 수 있어야만 디지털 권리장전의 선도 국가가 될 수 있다.
그동안 정보화 시대에는 네트워크가 보안의 중심 역할을 해왔는데 지능화 시대에서는 데이터가 보안의 중심이 되어야 한다. 보안에 있어 가장 중요한 것은 궁극적으로 보호하고자 하는 데이터이다. 데이터 중에서도 보호하고자 하는 데이터의 급에 따라 보안 등급을 나누고 등급에 따라 보안의 강도를 정하면 된다. 국가의 경우 국민의 생명과 재산 그리고 국토 방위를 위한 것이 최상위 등급 데이터이고 기업의 경우 영업과 기술의 기밀 데이터가 이에 해당될 것이다.
현재 사이버보안에서 가장 중요시 되는 제도 개선은 어떻게 어떤 방향으로 해야 하나? 첫째, 국가와 기업은 보호해야할 데이터의 비밀 등급에 대한 기준을 정해 표준화해야 하고 분류된 데이터 중심의 보안 인증제도로 전환해야 한다. CC등 네트워크를 중심으로 하는 보안인증제도를 데이터 등급 분류에 따른 보안인증제도로 과감히 전환해야 한다. 분류 표준과 인증 기준이 마련되면 관리와 운영을 쉽게 할 수 있는 상용 솔루션은 바로 개발 지원될 것이다.
둘째, 최상의 등급에 해당되는 극비 데이터는 물리적 망분리를 포함해 은행의 금고와 같이 강력하게 별도의 특별관리를 해야 한다. 셋째, 최상위의 극비를 제외한 데이터는 은폐를 기반으로 하는 제로트러스트 방식으로 안정성과 효율성을 동시에 만족하는 방식으로 대전환이 필요하다. 즉 극비에 해당되는 데이터는 더욱 강화된 망분리 제도를 적용하고 그 외의 데이터는 제로트러스트의 7대 원칙과 아키텍처로 체계화해 하이브리드 방식을 권장한다.
결론적으로 가장 중요한 것은 데이터의 등급별 분류 표준과 분류된 데이터 기반의 보안인증제도의 간소화가 사이버보안의 핵심이다. 너무 어렵게 보안문제를 풀기에는 시간이 없다. AI 공격에는 AI 방어 밖에는 방법이 없다. 보안전문가의 로그 분석으로 대응하기에는 역부족이다. 실시간 대응이 가능한 AI 공격조와 AI 방어조로 재편되어야 한다. 보안 대응의 민첩성이 중요한 이유이다.
사이버보안을 기술적 관점에서 접근하면 너무 어렵고 끝이 보이지 않는다. 개념적 관점에서 접근하면 놀랄 만큼 쉽게 풀릴 수 있다. 사이버보안 강국으로 디지털전환과 디지털 권리장전의 성공을 이끄는 사이버 G2 국가를 기대한다./글 엠엘소프트 대표 이무성
이무성 (주)엠엘소프트 대표/ CEO
1995년 6월 스타트업 벤처 엠엘소프트(구 미디어랜드) 설립 이래 28년 째 한 분야만 집중해오고 있다. 단말기(endpoint)와 관련된 솔루션 사이버 보안 전문 기업인이다. 현재 국내 대표 금융사 및 공기업, 대기업, 정부부처, 군 등 보안이 필요한 다양한 분야에 엠엘소프트 보안 솔루션이 운영되고 있다. 현재 한국클라우드산업협회(KACI, 회장 윤동식) 클라우드 보안분과 위원장, 한국 제로트러스트보안협회 회장으로 활동 중이다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>