"망분리 개선 긍정적, 정책 실효성·기업지원 부족"...보안 B학점

[창간 24주년 특집 : 윤석열 정부 2년 평가] ⑨ 보안

컴퓨팅입력 :2024/05/22 10:20    수정: 2024/05/22 10:25

장유미, 김미정 기자

지디넷코리아는 창간 24주년을 맞아 윤석열 정부 정책 2년을 평가했습니다. 전년과 마찬가지로 통신·플랫폼·로봇·금융·반도체·SW·AI·자동차·배터리 디지털헬스케어·게임 등의 분야를 대상으로 했습니다. 현 정부 출범 이후 의욕을 갖고 시작한 정책들이 일관성 있게 효율적으로 추진되는지 살펴보았고, 정책의 실수요자들은 이를 어떻게 평가하고 있는지 들어보았습니다. 일부 분야를 제외하고는 전반적으로 평가 점수가 지난 해보다 하락한 것을 확인할 수 있었습니다. 아직 현 정부의 정책이 추진된 지 반환점조차 지나지 않은 시점이기 때문에 ‘중간평가’의 의미이지만 정책당국에서는 평가자들의 목소리를 귀담아들어야겠습니다. 이번 기획이 향후 정책이 좋은 평가로 발전하는데 보탬이 되기를 바랍니다. [편집자주]

#. 최근 신한금융지주의 인공지능(AI) 자회사 '신한AI'가 문을 닫았다. 실제 시장예측·투자자문·컴플라이언스(준법감시) 등 여러 AI 서비스를 신영자산운용 등과 함께 선보이며 의욕적으로 나섰으나, '망분리 규제'에 발이 묶여 경영 효율성은 점차 떨어졌다. 물리적 망분리 규제는 내부망과 일반 인터넷망을 분리해 외부데이터를 차단해 보안을 강화하는 취지로 지난 2013년 금융권에 도입됐으나, 이는 AI 사업 확대에 걸림돌로 작용했다. 결국 오픈소스, 클라우드 소프트웨어(SaaS) 등 외부 데이터를 적극 활용하지 못한 신한AI는 설립 5년 만에 역사 속으로 사라졌다.

'망 분리 규제'는 보안업계의 대표적인 대못 규제 중 하나로 꼽힌다. 최근 생성형 AI가 급속도로 확산되면서 금융권 뿐 아니라 보안 업계에서도 '망분리 규제' 문제가 대두되고 있다. 

윤석열 정부는 어느 정부도 시도하지 않았던 망분리 규제 개선을 시도했다는 점에서 높은 평가를 받았다. '망분리 규제' 개선은 윤석열 정부가 지난해 내놓은 '디지털플랫폼정부 실현 계획'을 제대로 구현하기 위해서도 꼭 필요한 것으로 지적되고 있다.

(그래픽=지디넷코리아)

망분리 규제 개선 외에도 윤 대통령은 취임 2년간 보안 분야에서 역대 정부에 비해 새로운 정책들을 다양하게 쏟아내고 있다는 점에서 일단 좋은 평가를 받고 있다. 하지만 정보보호제품 평가 인증(CC 인증) 개선, 사이버 보안 인력 양성 대책 등에선 실효성이 부족하다는 지적이 많다. 최근 드러난 공공기관의 정보 유출 문제도 나날이 늘어나고 있지만, 이를 책임질 '정보보호 최고책임자(CISO)'를 선임하려는 시도가 없다는 점도 아쉬움으로 지목됐다.

윤석열 정부 2년차 보안 정책 평가에 참여한 전문가들은 '망분리 규제 개선' 시도에 높은 점수를 부여했다. 기존 정부에서 시도하지 않았던 정책들을 내놓으며 AI 시대 흐름에 맞춰 개선하려는 의지를 보였다는 점을 높이 평가해 A학점을 준 전문가도 있었다.

하지만 전반적인 지원 정책에 대한 보안업계의 시선은 비교적 싸늘했다. 취재에 응한 익명의 보안업계 관계자들은 정책 실효성과 기업 지원책이 턱없이 부족하다는 점을 들어 C학점으로 평가했다. 

이들의 평가를 종합하면 윤 정부가 꾸준히 보안 분야에 관심을 보인다는 점에 대해서는 대체로 긍정적이었다. 전문가들은 이런 부분과 함께 망분리를 비롯한 중요한 규제 개선을 향한 움직임을 응원하는 차원에서 평균 B학점을 부여했다. 

AI 혁신 막은 '망분리 규제' 10년…드디어 메스 든 尹 정부 

국내 망분리 정책은 2006년 국가사이버안전전략회의에서 최초 보고된 이후 주요 정부 부처를 중심으로 본격적으로 확산했으며 민간기업에도 확대 적용됐다. 공공부문은 국가정보보안기본지침에, 민간은 개인정보보호법 시행령에, 금융은 전자금융감독규정에 관련 법적 근거가 마련돼 있다.

윤 대통령은 지난해 말 열린 국방혁신위원회 회의에 참석해 '망분리 제도 개선이 필요하다'는 학계 의견을 들었다. 기관·기업 내부망과 일반 인터넷망을 단절하는 망분리가 가장 확실한 보안 조치라는 평가와 달리 업무 효율성을 저해하고 신기술 활용 등 혁신을 가로막는다는 비판이 대립하며 그간 망분리 제도는 해결 방안을 찾지 못했다.

그러나 정부·민간 간 자유로운 데이터 이동과 디플정 최상위 통합플랫폼인 'DPG 허브' 구축 등 디플정 구현에 망분리는 도움이 되지 못했다. 클라우드 전환, AI 확산 분위기 속에 기존 방식으로는 효과적인 업무에 한계가 있다는 판단도 섰다. 이에 윤 대통령은 망분리 제도 개선을 지시하며 범부처 합동 태스크포스(TF)를 구성했다. 

윤석열 대통령 (사진=뉴시스)

국정원이 주도하는 TF는 민감 개인정보, 공개정보, 기밀 등 데이터 보안 중요성에 따라 망분리 정도를 달리하는 방향으로 가닥을 잡은 것으로 알려졌다. TF는 오는 9월 구체적인 내용을 발표할 계획이다.

김승주 고려대 정보보호대학원 교수는 "우리나라 망분리는 근본적으로 외국과 다른 형태라는 게 문제"라며 "해외에선 회사 업무망이 중요도에 따라 등급별로 나누어져 있어 일반 직원들 업무는 인터넷에 연결된 상태로도 할 수 있다"고 설명했다.

이어 "해외는 데이터 중요도 중심의 망분리를 하고 있는 반면, 한국식 망분리는 모든 시스템을 인터넷과 단절시켜 재택근무나 4차 산업혁명에 맞지 않는다"며 "해커들이 넘기에 보안 장벽이 높을 수 있겠지만, 넘었을 경우에는 외국보다 기밀 안전 위협이 더 크다는 점에서 개선이 반드시 필요해 보인다"고 덧붙였다.

해커 막겠다더니 더 크게 터졌다…뒷짐 진 공공기관, 책임은 '모르쇠'

이 같은 우려는 결국 최근 공공기관의 잇따른 정보 유출 문제로 현실화됐다. 실제 법원 내부 전산망에서 지난 2년간 1천 기가바이트(GB)가 넘는 규모의 자료가 유출됐고, '정부24'에서도 개인정보가 유출되는 등 관련 사고가 잇따랐다. 

더불어민주당 윤영덕 의원이 개인정보위로부터 제출받은 자료에 따르면, 부처에 신고된 공공기관 개인정보 유출건수는 2019년 5만2천 건에서 지난해 8월 기준 339만8천 건으로 크게 늘었다. 같은 기간 민간기업에서 신고한 유출 건수는 1천398만9천건에서 261만7천건으로 줄었다. 공공기관의 유출 건수가 민간기업을 넘어선 것은 지난해가 처음이다.

(사진=이미지투데이)

업계에선 민간기관과 달리 공공기관에서 개인정보보호책임자(CPO)가 없기 때문이란 지적이 해마다 나왔다. 개인정보보호법에 따르면 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등은 전문성과 독립성 등을 갖춘 CPO를 의무적으로 지정해야 한다. 반면 공공기관에서 근무하는 CPO는 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있다.

김승주 고려대 정보보호대학원 교수는 "개인정보 유출 사고가 벌어질 때 공공기관은 담당자에 대한 처벌이나 사과하는 모습을 보기 힘들다"며 "개인정보를 총괄하고 책임지는 '정보보호 최고책임자(CISO)'를 둘 의무가 공공기관에 없기 때문으로, 현 정부가 민간기업과의 형평성을 맞출 필요가 있다"고 말했다.

정보보호 인증제 개선 '환영'…실질적 지원책은 '미흡'

업계에선 지난달 윤 정부가 '정보보호·SW분야 인증제도 개선 방안'을 내놓은 것에 대해 일단 환영했다. 정보보호기업은 공공시장 진출을 위해 CC인증(정보보호제품 평가·인증) 등 사전인증을 취득해야 하지만 중소·영세 기업이 대다수다 보니 5천만원이나 되는 비용을 들여야 하는 등 부담이 컸다. 특히 스타트업이나 인증취득 경험이 없는 기업은 어려움이 더 많았다.

공공기관에 클라우드 관련 제품을 공급하기 위한 클라우드 보안인증(CSAP) 역시 마찬가지다. 평균 5개월 이상 소요되고 3천만원에 달하는 수수료 비용을 들여야 했다.

이에 과기정통부는 인증 소요 기간을 평균 5개월에서 최장 2개월 이내로 단축하고, 인증 수수료를 50% 이상 낮추는 등 개선안을 발표했다.

(사진=코파일럿 제작)

그러나 일부 기업들은 이런 정책 실효성에 물음표를 던졌다. 인증 소요 기간을 단번에 줄이긴 힘들다고 입을 모았다. 인증 과정에 생기는 이해관계가 복잡하게 얽혀있다는 이유에서다. 

한 업계 관계자는 "해당 정책은 돈 받고 인증 업무 돕는 기관들 밥줄 뺏는 꼴이 될 수 있다"며 "해당 기관들이 소요 기간 단축에 반기를 들 수 있다"고 말했다. 또 "해당 정책은 과기정통부뿐 아니라 국정원 등 여러 정부 이해관계도 복잡히 엮여 있다"며 "인증 간소화는 당장 실현되기 힘들 것"이라고 덧붙였다.

"사이버 인재 10만 육성, 질 낮고 디테일 부족"

업계에선 사이버 보안 인재 육성 정책이 효과가 없을 것이라고 내다봤다. 정부가 인재를 육성하는 건 좋은 취지지만, 이에 대한 사후 관리 정책이 없다는 이유에서다. 고급 개발 인력 육성도 힘들다는 목소리도 나왔다. 

한 보안 업계 관계자는 "인재 10만명이 보안 분야에 정착할 수 있는 가이드라인이 없다"며 "장기적으로 보안 산업 활성화에 도움 주긴 힘들 것"이라고 지적했다. 이에 "현재 국내 보안 기업은 다수가 중소기업"이라며 "10만 인재 모두 국내 보안업계로 오는 것도 비현실적"이라고 설명했다.

고급 인재를 육성할 수 있는 보장도 없단 지적도 나왔다. 김승주 교수는 "개발 인력 양성은 시간도 오래 걸리고 비용도 많이 든다"며 "정부가 고급 보안 개발 인재 양성에 지금보다 예산을 더 투입해야 한다"고 말했다. 그는 "현재 정부 예산안, 운영 중인 여러 교육 프로그램 모두 보안 분석 전문가 쪽"이라며 "정부가 여러 차례 보안 내재화 얘기를 하는데, 이를 위해서도 보안 개발 인력을 늘려야 한다"고 강조했다.

"보안 관심 갖는 尹, 실효성 있는 정책 더 내놔야"

전문가들은 윤석열 정부가 꾸준히 보안 분야에 관심을 보인다는 점에 대해서는 긍정적으로 평가했다. 

김승주 고려대 정보보호대학원 교수는 "어떤 역대 대통령도 손대지 않은 망분리를 개선하기 위해 나섰다는 점과 미국 체계를 본받아 지난달 12일 한국형 위험관리체계(K-RMS)를 도입했다는 점에선 긍정적으로 평가한다"며 "앞으로는 공공부문 CSIO 선임, 보안 분석 전문가와 보안 개발 전문가의 인력 양성 밸런스를 맞추려는 노력에 좀 더 집중해주길 바란다"고 말했다.

(사진=픽사베이)

보안 관련 예산도 늘려야 한다는 지적이 나왔다. 업계 관계자는 "정보통신산업진흥원(NIPA)과 한국인터넷진흥원(KISA) 등에서도 보안 사업 규모와 범위를 줄이는 추세"라며 "보안 기업 다수가 중소기업인 현실에서 지원사업을 활용한 R&D 투자가 줄 수밖에 없다"고 지적했다. 

관련기사

그는 "이는 곧 한국 보안 기술 경쟁력 저하를 일으킬 수 있다는 의미다"라며 "실질적인 보안 정책을 위해 R&D 예산을 충분히 확보해야 한다"고 강조했다.

조영철 한국정보보호산업협회장은 "정부는 올해 사이버 보안 펀드 조성을 확정하는 등 국내 정보보호 산업의 탄탄한 기반을 조성했다"며 "앞으로 정보보호 생태계 조성을 위해 정보보호 예산 확보에 신경 쓰길 바란다"고 말했다.