규제 중심 보안 패러다임을 바꾸자

연보라 기자 bora@ciociso.com

지난 5월, 전자금융거래법의 공인인증서 의무적용을 폐지하는 내용의 개정안이 임시국회에 제출됐다. 이번 개정안에서는 정부에서 특정 솔루션을 지정하는 방식의 규제가 아닌, 시장의 자율에 맡기도록 하는 내용을 담고 있다.

공인인증서는 금융거래 이용자의 아이덴티티 신뢰성을 확인하기 위한 수단으로 지난 10여 년간 모든 금융기관에서 의무적으로 사용돼 왔다. 그러나 최근 들어 공인인증서는 실효성에 대한 의문이 지속적으로 제기되고 있다. Active-X를 기반으로 하는 공인인증서는 금융기관의 시스템 구축·관리비용을 증가시킬 뿐만 아니라 호환성이 없어 인터넷 익스플로러 사용자가 아니면 사용이 불가능한데다, 수시로 업데이트를 하는 과정에서 각종 해킹프로그램의 감염 가능성 또한 크다.

일각에서는 “지난 10여 년간 공인인증기관 4개 업체의 배만 불려줬다”는 강한 비판까지 나오고 있다. 이들은 ‘정작 필요한 것은 송금자의 본인인증이 아니라, 수신인 계좌의 신뢰성’이라고 지적한다. 단순히 송금자의 신원만 확인되면 그 이후의 과정은 전혀 책임지지 않고 있는데, 외국의 사례처럼 돈을 송금 받는 계좌에 과거 어떠한 거래가 있었는지, 신용도는 어떠한지 등 히스토리 분석을 기반으로 한 검증이 보다 시급하다는 주장이다.

공인인증서 의무사용화에서도 엿볼 수 있듯이 우리나라의 정보보안은 정부의 규제정책을 중심으로 이뤄지고 있다. 미국을 비롯한 선진국들이 정보보안을 시장의 자율경쟁에 맡기고 정부는 최소한의 규제만을 하는 데에 반해, 특정 솔루션 도입을 법으로 강제하고 있는 나라는 아마 우리나라뿐일 것이다. 최근 1~2년 사이에 개인정보보호법, 방송통신망법, 전자금융거래법 등 보안관련 법규들이 물밀 듯이 쏟아졌다. 규제 중심의 정부 보안정책은 이제껏 보안에 무관심했던 기업 및 기관들에게 경각심을 심어주고 투자를 유도하는 효과가 있었다는 점은 분명히 인정한다.

그러나 향후에도 과도한 규제로만 일관한다면 오히려 CISO 역할의 축소를 야기할 수도 있다. CISO가 규제에 따라 단순히 솔루션 도입만 하면 되는 컴플라이언스의 역할에 머무르게 될 소지가 있는 것이다. 컴플라이언스를 위한 보안이 아닌, 안전을 위한 보안을 구현할 수 있도록 CISO들에게 자율적인 판단에 따라 보안 거버넌스를 세워갈 수 있는 권한과 책임이 주어져야 한다. 더불어 국내 보안산업은 정부가 쳐준 보호막 안에서 우물 안 개구리가 되어서는 안되며, 점차적으로 글로벌 보안솔루션과의 경쟁을 통해 역량을 키워가야 할 것이다.