[CIOCISO매거진 김은경 기자] 단순 기업을 노린 사이버 공격을 넘어 이제는 각종 산업에 필수가 되어버린 보안의 위상에 비해 아직 국내 보안산업은 글로벌 리딩 그룹들에 비해 뒤쳐진 것은 사실이다. 게다가 사이버 공격으로 인한 피해를 오롯이 기업과 개인 등 피해자에게 떠넘기는 것은 물론 비난이 심해지는 경우가 발생하면서 사이버보안에 대한 논의가 시급해졌다.

과학기술정보통신부(장관 이종호, 이하 과기정통부)는 3월 9일 사이버보안 전문기업인 지란지교시큐리티에서 2023년도 제3차 디지털 국정과제 연속 현장 간담회의 일환으로 ‘국민과 함께하는 위기의 사이버보안 현장 토론회’를 개최했다.

과기정통부는 그동안 디지털 국정과제 연속 현장 간담회 결과 분석 및 경험을 토대로 올해부터는 현장에서 실효성을 높일 수 있는 정책방안 마련을 위해 타운홀(Town Hall)과 100분 토론 방식을 기반으로 일반인, 학생들까지 참여자의 폭을 넓히고, 정부 정책 중심 토론을 벗어나 국민의 관심거리를 중심으로 하는 주제별 집중 토론방식을 도입했다.

이번 간담회는 국내 사이버보안 전문기업인 지란지교, 지니언스, 오내피플과 한국인터넷진흥원, 한국정보보호산업협회 등 사이보안 관련 산·학·연·관 전문가들과 일반인, 학생, 현역 군인 등이 참여했다.

박윤규 과기정통부 차관은 인사말에서 “지난해부터 현장 간담회를 여러 차례 진행해 왔는데, 올해는 형식을 바꾸면서 유익한 내용을 담고자 한다”며 전문가 토론 방식의 현장 간담회를 소개했다. “지난해 역대 대통령 최초로 사이버보안 행사에 대통령이 참석하신 것이 사이버 보안에 대한 정부의 생각을 상징적으로 보여준다고 생각합니다. 정보보호 대상이 대부분 공공에 초점을 맞춰져 있는데, 사실 정보보안 시설과 자원은 민간에 더 많죠. 최근 LG유플러스 사태를 비롯해 사이버보안 사건사고가 많은데, 정부는 민간의 사이버보안 영역을 강화하는 데 노력하고 있습니다. 최근 제로트러스트나 공급망 이슈도 정부가 주도해 새로운 보안위협에 잘 해처나갈 수 있도록 하겠습니다.”

이동범 한국정보보호산업협회(KISIA) 회장은 ‘사이버보안 위협 증가, 해법은 없는가?’를 주제로 주제발표를 진행했다. 이동범 회장은 “최근 미국 정부가 발표한 국가사이버보안전략을 보면, 서문에 일반 개인 사용자들에게 너무나 많은 책임이 지어지고 있다는 내용이 있다”면서, “국민 개개인을 노리는 공격도 많지만, 공공과 민간기업들이 사이버공격을 받을 때에도 결국 국민이 그 피해를 떠안는 경우가 많은데 이를 해결하기 위해서는 보안 투자가 필요하다”고 말했다. 그러면서 이 회장은 “새로운 보안 패러다임이 등장하는 이때 우리도 모태펀드 조성 등 정보보호 산업에 대한 투자를 늘리고 이를 바탕으로 한 정책, 기술개발, 인재양성, 인식제고 등을 이뤄야 한다”고 주장했다.

이어 본격적인 주제 토론이 진행됐다. 첫 번째 주제로는 최근 LGU+ 고객정보 유출 등 계속되는 사이버침해사고로 인한 국민들의 불안과 경제적 피해가 증가하고 있는 점을 주제로 진행했다. 이와 관련 일반인 참석자의 해킹 피해에 대한 불안과 정부 정책에 있어 희망사항을 듣고 관련 전문가들과 심도 있는 논의를 진행했다.

특히, 국민 패널로 참석한 심하늘 씨는 아버지의 피싱 피해 사례를 설명하면서 “사회생활을 오래하셨던 아버지도 당하실 만큼 사이버공격은 일반인이 막아내기 어렵다”고 지적했다. 이어 “피해를 입고난 뒤 경찰에 신고했지만, 피싱 범죄는 범인을 잡기도 어렵고 피해금액 역시 보존받을 방법이 없었다”고 토로했다.

또한, 사이버보안 전문가들은 기업의 클라우드 전환과 원격근무, 재택근무 확산으로 기존 경계형 보안체계의 한계를 지적했으며, 제로트러스트 및 공급망 보안 등 능동적인 대응체계의 필요성에 대해 강조했다. 특히, 챗GPT로 인한 새로운 보안위협에 대해 우리 국민들이 인지하고 피해를 사전에 막기 위한 정부와 기업의 빠른 대응도 요구했다.

두 번째는 시장규모, 전문인력, 투자규모 등의 한계에도 불구하고 국내 사이버보안 전문기업들이 혁신기업으로 성장할 수 있는 방안을 토론하기 위해 2022년 스타트업대상을 수상한 오내피플 조아영 대표의 의견을 듣고 관련 논의를 진행했다. 특히, 이를 뒷받침할 수 있는 정보보호제품 신속확인제 활성화, 해외 국가들과의 지속적인 신뢰관계 유지 및 인적 네트워크 구축 등의 중요성을 공유하고 아세안 사이버 쉴즈(ASEAN Cyber Shields) 등 실질적인 해외진출 협력방안을 논의했다.

세 번째로는 사이버보안 현장에서 근무하고 있는 현역 군인이 사이버보안 교육과정 이수 및 현장 경험을 공유했고, 현장에서 적시에 활용할 수 있는 실질적인 능력을 갖춘 인재양성을 위해 사이버보안 기업 및 수요 기업에서 필요로 하는 인재육성 방안을 논의했다.

이희원 대위는 “기술적 관점에서 전문 인재를 양성하려면, 크게 3가지가 필요하다”고 설명했다. 그중 첫 번째는 제대로 된 교육 프로그램이고 두 번째는 인재양성시 사람의 숫자보다는 인재의 수준이라고 설명했다. 마지막으로 이희원 대위는 전문인력을 위한 시스템을 꼽았다. “전문가가 필요하다면 그 전문가를 이해하고 지원할 수 있는 시스템이 꼭 필요하다”는 얘기다.

이에 대해 과기정통부는 산업현장에서 즉시 활용할 수 있는 인재양성 교육을 지원하겠다고 밝혔다. 기업 주도형 인재양성 과정인 ‘시큐리티 아카데미’, 잠재력 있는 인재에게 재능 사다리를 제공하는 화이트해커스쿨 및 최고급 개발인력 육성을 지원하는 ‘S-개발자’ 과정 등 신규 과정 개설과 함께 실효성 있는 인재양성을 위해 업계와 소통을 강화하겠다는 의지를 밝혔다.

네 번째로는 기업들의 사이버보안에 대한 인식을 전환시키고, 사이버보안에 대한 투자확대를 위해 기업의 입장에서 사이버보안 투자를 확대할 수 있는 방안을 공유했다. 이와 관련 과기정통부의 정보보호 공시제도 운영·확산, 정보보호최고책임자(CISO) 지정·운영 등 기존 제도의 활성화 외에도 보안사고 기업에 대한 취약점 점검 이행 의무화 방안, 주요 디지털 서비스 대상 다중인증 확대 필요 등 현장의 목소리에 대한 심도 있는 논의를 진행했다.

신종회 엔씨소프트 CISO(상무)는 “실제 기업에서 직원들에게 보안에 대한 인식을 물어보면, 어렵고 무겁다, 그리고 어둡다는 말을 많이 한다”면서, “그래서 엔씨소프트는 보안을 모르면 당한다가 아닌 보안을 잘 알면 안 당한다는 콘셉트로 재미를 강조하며 편하게 다가갔다”고 설명했다.

마지막으로 박윤규 과기정통부 제2차관은 “민간의 높은 사이버보안 역량이 국민의 일상과 국가경제의 튼튼한 버팀목이 되어 국가 전체의 사이버보안 경쟁력으로 이어질 것”이라고 강조하면서, “정부의 사이버보안 정책들이 국민의 일상과 산업 현장에 자연스럽게 스며들어 실질적인 효과를 발휘할 수 있도록 산·학·연·관이 함께 힘을 합칠 수 있도록 노력하겠다”고 말했다. 아울러 “오늘 토론회에서 나왔던 여러 요청과 고민거리에 대해서는 깊게 생각하겠다”고 덧붙였다.