"디지털 뉴딜 정책을 적극적으로 뒷받침하기 위해 한국인터넷진흥원(KISA)은 정보보호를 책임지는 기관으로서 전문성을 제고하려 한다. 위탁 사업을 주로 도맡던 기관이 왜 정책 기획을 언급하는지 의아해할 수 있다. 그러나 KISA에 대한 다양한 사회적 요구가 이런 흐름을 만들고 있다. 관련 부처들과 협업하는 기업들, 국민들이 정책 측면에서 위상을 높이기를 요구하는 시점이다."
이원태 KISA 원장은 향후 KISA 운영 방향에 대해 지난 21일 진행된 그룹 인터뷰를 통해 이같이 표현했다. 포스트 코로나 시대 국가 발전 전략으로서 산업의 디지털화를 꾀하는 '디지털 뉴딜' 중 디지털 경제의 안전을 뒷받침하는 'K-사이버방역' 체계를 구축하기 위해, 정책 입안자로서의 역할을 적극 수행하겠다는 포부다.
지난 1월 취임한 이원태 원장은 이날 인터뷰에서 임기 내 중점 추진 과제들을 제시했다.
코로나19 이후 비대면 사회 전환에 따른 주요 서비스 보안 체계 구축을 먼저 언급했다. 원격근무 등 비대면 솔루션과 무인편의점 등 무인서비스를 대상으로 보안 취약점 여부를 살피고, 보안 기술을 적용할 계획이다. 통신사와의 협력을 통해 모바일 앱?서비스에 대한 보안 취약점 진단 체계도 마련할 예정이다.
인공지능(AI)을 활용한 위협 정보 공유 체계도 확립할 방침이다. 보안 위협 빅데이터 수집 범위를 SNS, 다크웹, 클라우드 등으로 확대하고 AI 학습 데이터셋을 구축해 온·오프라인을 통해 공유할 계획을 갖고 있다.
민관이 협력하는 사이버 위협 정보 공유 체계도 구축할 예정이다. 보안 관제사와 IDC, 클라우드 사업자와 웹 호스팅사로부터 위협 정보를 실시간으로 받아 AI, 빅데이터 분석을 거쳐 대응하는 식이다. 기존 사이버위협정보분석공유시스템(C-TAS)의 새로운 버전이란 설명이다.
인재 양성 측면에선 비대면·디지털 분야 정보보호 특성화 대학과 융합보안 대학원 확대하고, 현장 실무형 보안 역량 강화를 위한 재직자 교육도 확대한다고 밝혔다. 개인정보위원회와 공동으로 전문 관리자 양성 체계도 만들 방침이다.
현재 수도권 위주인 침해 대응 체계도 전국 단위로 구축한다. 각 지역에서 준비하는 융합산업에 맞춰 보안 역량을 강화하기 위한 리빙랩도 고도화할 계획이다.
중장기적으로는 미래 디지털 위협에 대비한 정책 프레임워크를 구성하고, 디지털 보안 정책 역량을 강화해나간다는 방침이다. 이같은 과제들을 수행함으로서 경과적으로 침해 사고에 대한 사후적 접근보다는 사전 대응 역량을 강화해나간다는 구상이다.
아울러 기관 내부의 사기 진작에도 관심을 두고 있다고 언급했다. 이 원장은 "비대면 서비스가 확산되면서 보안 수요도 폭증하는 동시에, 코로나19 장기화 및 기관의 지방 이전으로 내부 직원들의 동요도 결코 작은 문제가 아니라고 판단했다"며 "일과 삶의 경계가 무너지고, 대면 관계에서 얻는 긍정적 영향력도 감소한 점등을 고려할 때 직원들의 삶의 질 개선도 중요하다는 생각이 들었고, 노사 협력 등을 통해 이런 문제를 해결해나가고자 한다"고 밝혔다.
Q. KISA 운영 방식에 어떤 변화를 줄 예정인가.
"단순 집행 기관의 이미지는 벗어나고 싶다. 중요한 일을 하는데도, 그런 측면이 알려지지 못해 아쉽다는 느낌이 있었다. 디지털 분야 최고 전문기관으로 거듭날 수 있는 발판을 만드는 것이 소임이 아닌가 싶다. 거시적, 장기적으로는 국가 정책 형성 과정에 참여했으면 하는 생각을 갖고 있다."
Q. 변화를 위해 극복해야 할 기관의 한계는 무엇인가.
"공급자 관점의 사업 추진 방식이 제일 시급하다. 과거에 비해 기관 예산과 인력은 늘어났는데, 그런 방식의 한계점이 드러났다. 여기에 안주해선 안된다고 본다. 정부 부처 뿐만 아니라 국민까지 염두하고, 정책 수요자 중심의 사업 추진 방식을 꾀해야 한다. 정책 기획 능력이 중요하게 된 것도 이런 점 때문이다. 그 동안 이런 능력을 확보하는 데 소홀했던 것 같다. 이런 부분을 조직 개편으로 보완하고자 했다."
Q. 정보보호 정책 기능을 수행하는 기관들이 지금도 여럿 있는데.
"정보보호 분야 중장기 정책을 수립하는 데 있어 적극적으로 목소리를 내려 한다. 대표적인 예가 K-사이버방역이다. 전략적 프레임워크를 만들고 국가 정책에 기여하는 역할을 KISA가 많이 해야 한다. 개인정보 정책도 마찬가지다. 과학기술정보통신부, 개인정보보호위원회 등 여러 부처들의 정책들을 적극적으로 뒷받침하려 한다.
기존 R&D 기능도 외부 위탁과제 중심으로 이뤄졌는데, 침해사고 대응 관련 R&D 수요에 대해 제일 잘 아는 건 KISA다. 기관 본위의 R&D 기능으로 전환코자 하는 것은 그래서다."
Q. C-TAS 2는 타 공공기관의 위협 정보 공유 시스템과 연계될 수 있나.
"국가정보원에서 추진하는 민간 업체 대상 정보 공유 체계 구축과 굉장히 맞닿아있다고 생각한다. 사이버 위협 대응 체계를 강화하는 데 도움이 될 거라 본다. 현재 사이버공격에 대해 공공 분야는 국정원이, 민간은 과기정통부가, 국방은 국방부 쪽에서 대응 중인데 상호 협력은 잘 이뤄지고 있다고 본다. 국정원의 위협 정보 공유 체계와 긴밀히 연계해 정보보안 수준 높아질 수 있도록 노력하겠다."
Q. 국내 기업의 랜섬웨어 감염 피해가 지속적으로 나오고 있다. 해커의 협박에 복호화 비용을 지불하는 사례도 속속 등장하고 있다. 어떤 대응책을 꾸리고 있나.
"KISA만으로는 충분히 대응하기 어렵고 범 부처적으로 접근해야 할 사안이다. 여러 기관, 기업 등 사이버위협 대응 주체들이 긴밀히 협력해야 한다.
범죄자와 협상하지 말아야 한다는 보편적 원칙을 고려하면 복호화 비용을 지불하진 않았으면 하는 생각이다. 그러나 기업 성격이나 입장에 따라 비용을 낼 수밖에 없는 경우도 있을 것이다. 사이버위협에 대한 충분한 정보가 없어서 문제가 이어지고 있다고 본다. 랜섬웨어 대응 정책 방향에 대해서는 과기정통부 랜섬웨어 대응 지원반에서 구체적 내용을 발표할 계획이다."
Q. 국민이 체감할 수 있는 블록체인 시범사업을 추진할 계획이라고 밝혔는데, 시범 사업 중 하나인 분산ID(DID) 기반 백신 접종 증명 앱은 어떻게 추진되고 있나.
"현재 관련 논의가 잘 진행되는 것으로 알고 있다. 지난 10일 질병관리청으로부터 공문을 회신받고시범사업 우선협상대상자들의 제안 기술에 대해 기술적인 검토를 하고 있다. 이번 주까지 기술 관련 협의를 완료하고 이후 일정에 대해 질병청, 과기정통부와 협의해나갈 예정이다."
Q. 암호화폐 거래소 해킹 관련해 KISA에서 적극 대응해온 것으로 안다. 9월까지 거래소들이 금융위원회에 등록해야 하는데, 이 시점 이후 해당 업무 소관이 금융보안원으로 옮겨가는 것인가.
관련기사
- 정부, 사이버보안 AI 데이터셋 만든다2021.04.20
- "보안도 데이터가 경쟁력"…공공-민간 협력 는다2021.03.07
- 'K-사이버방역'에 3년간 6700억 투입2021.02.18
- 정부, 1조원 들여 '비대면 서비스 보안' 키운다2020.07.14
"아직 소관 부처가 정해지지 않은 상태다. 국무조정실 중심으로 논의가 진행되고 있다. 암호화폐에 대한 법적 지위나 제도화 논의가 지속될텐데, 제도화 방향에 따라 국민이 체감할 수 있도록 보안 이슈에 대응할 계획이다.
9월 암호화폐 거래소에 대해 정보보호관리체계(ISMS) 획득이 의무화되기 전까지는 ISMS 획득을 잘할 수 있도록 중점적으로 점검하고 개선방안을 안내할 예정이다. 9월 이후에는 ISMS 획득 기업만이 운영이 가능해지기 때문에 이 체계 안에서 처리되지 않을까 싶다."