인터넷진흥원장 "이대론 사이버위협 대응 한계…협업체제 시급"
"한국인터넷진흥원 인력 늘리고 민간부문 관리권한도 부여해야"
(서울=연합뉴스) 고현실 기자 = 한국인터넷진흥원(KISA) 백기승 원장은 "랜섬웨어 등 사이버 위협이 확대되면서 보안기관 간 협업이 중요해졌지만, 정작 정보 공유는 원활하지 않다"며 기관 간 협업 체계의 강화 필요성을 강조했다.
9일 KISA에 따르면 백기승 원장은 최근 기자간담회에서 이같이 말하며 "피해가 민간으로 확산하는 단계에서 일차적인 예방과 처지 기능을 갖춘 기관끼리 원활한 협업 체계를 모색해야 한다"고 촉구했다.
백 원장은 "사이버 공격이 소프트웨어의 취약점을 이용해 대량 무작위 확산 방식으로 바뀌고, 국가 간 사이버 전쟁으로 번지고 있다"며 "관련 기관 각 정보 공유를 강화하는 시스템을 고민할 때"라고 강조했다.
2009년 한국정보보호진흥원·한국인터넷진흥원·정보통신국제협력진흥원 등 3개 기관이 통합해 출범한 KISA는 민간 영역의 보안을 담당한다. 공공 분야는 정부, 국방 분야는 군 당국이 담당한다.
KISA는 사이버 침해 사고 발생 시 검·경찰과 협력해 사고 조사와 후속 조치에 나선다. 하지만 법적인 관리 감독 권한은 없어 사고 대응에 한계가 있다는 지적을 받아왔다.
백 원장은 "최근 문제가 된 웹호스팅 업체의 경우 실제로 감독할 권한이 없어 관리하는 데 어려움이 있다"며 "감염된 PC를 보고도 차단하거나 막을 수 없는 구조"라고 설명했다.
현재 정보통신망법은 사고 발생 시 즉시 미래부나 KISA에 신고하도록 규정하고 있지만, 신고를 미룰 경우 강제할 조치가 마땅히 없는 상황이다.
백 원장은 "최소한 네트워크를 차단하거나 정지하는 권한이 있어야 피해를 줄일 수 있다"며 "보안 위협이 사이버에서 실제 삶의 공간으로 확대한 만큼 집행기관에 법적으로 (관리 감독) 권한을 부여하는 방안을 검토할 시기"라고 주장했다.
그는 "이제는 사회 전 영역의 보안이 일정 수준에 도달하지 않으면 전체가 위협받는 상황"이라며 "보안 영역에서 영세하다는 이유로 예외는 안 되며, 동일한 수준에서 법과 책임 의무를 다해야 한다"고 강조했다.
KISA는 공인인증서 관리도 담당한다. 공인인증서는 구동을 위해 액티브X 등 별도의 프로그램이 필요해 번거롭다는 비판을 받아왔다.
정부는 2020년까지 액티브X 폐기와 함께 공인인증서 폐지도 중장기적으로 검토하겠다는 입장이다.
백 원장은 공인인증서가 액티브X와 함께 폐기 대상으로 오른 것에 아쉬움을 드러냈다.
그는 "공공과 금융 부문이 사용자 개인 단말의 보안성을 신뢰하지 않아 액티브X 등을 요구하다 보니 공인인증 기술이 도마 위에 오른 것"이라며 "보안을 고객에게 떠넘기는 관행이 문제"라고 항변했다.
백 원장은 "공인인증은 보안성이 뛰어나 오히려 해외 여러 국가가 도입을 검토하고 있다"며 "별도 프로그램 설치가 필요 없는 웹표준 방식의 공인인증서도 이미 개발을 완료했다"고 설명했다.
정보 대상이 누군지 알 수 없게 하는 비식별화를 통한 개인정보 활용 가능성도 강조했다.
백 원장은 "비식별화는 법적인 문제가 생겼을 경우 최종 책임을 누가 지느냐에 대한 우려가 있다"며 "의견을 모아서 비식별화를 법제화하는 방안을 논의할 계획"이라고 밝혔다.
정보보호 인증과 관련해서는 "ISMS(정보보호관리체계)와 PIMS(개인정보보호관리체계)를 통합하는 방안을 검토 중"이라며 대학교 등 분야별 특성에 맞춰 제도를 보완하겠다고 말했다.
KISA는 정부의 공공기관 지방 이전에 따라 이달 초 전남 나주 혁신도시로 이전했다. 사이버침해대응본부는 서울 청사, IoT융합보안혁신센터 등은 판교에 둬 3원 체제를 구축했다.
현재 KISA의 실시간 대응 인력은 모니터링과 조사 분석을 포함해 60명 남짓이다.
동시 다발적 공격에 대응하기 위해서는 증원이 절실하다는 게 KISA의 입장이다.
더욱이 워너크라이 랜섬웨어로 지난 5월 14일 국가 사이버위기 경보 단계가 '관심'에서 '주의'로 올라간 뒤 현재까지 유지돼 인력의 피로도가 높아진 상황이다.
KISA는 명칭을 변경하는 방안을 검토하고 있다. 정보보호 인력이 전체의 70%이고, 주된 업무 역시 보안인 만큼 '한국인터넷정보보호원' 등으로 변경할 필요가 있다는 게 KISA의 설명이다.
백 원장은 "보안에 대한 국민의 요구가 커진 만큼 명칭을 기능에 맞게 바꿀 필요가 있다"고 강조했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
"한국인터넷진흥원 인력 늘리고 민간부문 관리권한도 부여해야"
(서울=연합뉴스) 고현실 기자 = 한국인터넷진흥원(KISA) 백기승 원장은 "랜섬웨어 등 사이버 위협이 확대되면서 보안기관 간 협업이 중요해졌지만, 정작 정보 공유는 원활하지 않다"며 기관 간 협업 체계의 강화 필요성을 강조했다.
9일 KISA에 따르면 백기승 원장은 최근 기자간담회에서 이같이 말하며 "피해가 민간으로 확산하는 단계에서 일차적인 예방과 처지 기능을 갖춘 기관끼리 원활한 협업 체계를 모색해야 한다"고 촉구했다.
백 원장은 "사이버 공격이 소프트웨어의 취약점을 이용해 대량 무작위 확산 방식으로 바뀌고, 국가 간 사이버 전쟁으로 번지고 있다"며 "관련 기관 각 정보 공유를 강화하는 시스템을 고민할 때"라고 강조했다.
2009년 한국정보보호진흥원·한국인터넷진흥원·정보통신국제협력진흥원 등 3개 기관이 통합해 출범한 KISA는 민간 영역의 보안을 담당한다. 공공 분야는 정부, 국방 분야는 군 당국이 담당한다.
KISA는 사이버 침해 사고 발생 시 검·경찰과 협력해 사고 조사와 후속 조치에 나선다. 하지만 법적인 관리 감독 권한은 없어 사고 대응에 한계가 있다는 지적을 받아왔다.
백 원장은 "최근 문제가 된 웹호스팅 업체의 경우 실제로 감독할 권한이 없어 관리하는 데 어려움이 있다"며 "감염된 PC를 보고도 차단하거나 막을 수 없는 구조"라고 설명했다.
현재 정보통신망법은 사고 발생 시 즉시 미래부나 KISA에 신고하도록 규정하고 있지만, 신고를 미룰 경우 강제할 조치가 마땅히 없는 상황이다.
백 원장은 "최소한 네트워크를 차단하거나 정지하는 권한이 있어야 피해를 줄일 수 있다"며 "보안 위협이 사이버에서 실제 삶의 공간으로 확대한 만큼 집행기관에 법적으로 (관리 감독) 권한을 부여하는 방안을 검토할 시기"라고 주장했다.
그는 "이제는 사회 전 영역의 보안이 일정 수준에 도달하지 않으면 전체가 위협받는 상황"이라며 "보안 영역에서 영세하다는 이유로 예외는 안 되며, 동일한 수준에서 법과 책임 의무를 다해야 한다"고 강조했다.
KISA는 공인인증서 관리도 담당한다. 공인인증서는 구동을 위해 액티브X 등 별도의 프로그램이 필요해 번거롭다는 비판을 받아왔다.
정부는 2020년까지 액티브X 폐기와 함께 공인인증서 폐지도 중장기적으로 검토하겠다는 입장이다.
백 원장은 공인인증서가 액티브X와 함께 폐기 대상으로 오른 것에 아쉬움을 드러냈다.
그는 "공공과 금융 부문이 사용자 개인 단말의 보안성을 신뢰하지 않아 액티브X 등을 요구하다 보니 공인인증 기술이 도마 위에 오른 것"이라며 "보안을 고객에게 떠넘기는 관행이 문제"라고 항변했다.
백 원장은 "공인인증은 보안성이 뛰어나 오히려 해외 여러 국가가 도입을 검토하고 있다"며 "별도 프로그램 설치가 필요 없는 웹표준 방식의 공인인증서도 이미 개발을 완료했다"고 설명했다.
정보 대상이 누군지 알 수 없게 하는 비식별화를 통한 개인정보 활용 가능성도 강조했다.
백 원장은 "비식별화는 법적인 문제가 생겼을 경우 최종 책임을 누가 지느냐에 대한 우려가 있다"며 "의견을 모아서 비식별화를 법제화하는 방안을 논의할 계획"이라고 밝혔다.
정보보호 인증과 관련해서는 "ISMS(정보보호관리체계)와 PIMS(개인정보보호관리체계)를 통합하는 방안을 검토 중"이라며 대학교 등 분야별 특성에 맞춰 제도를 보완하겠다고 말했다.
KISA는 정부의 공공기관 지방 이전에 따라 이달 초 전남 나주 혁신도시로 이전했다. 사이버침해대응본부는 서울 청사, IoT융합보안혁신센터 등은 판교에 둬 3원 체제를 구축했다.
현재 KISA의 실시간 대응 인력은 모니터링과 조사 분석을 포함해 60명 남짓이다.
동시 다발적 공격에 대응하기 위해서는 증원이 절실하다는 게 KISA의 입장이다.
더욱이 워너크라이 랜섬웨어로 지난 5월 14일 국가 사이버위기 경보 단계가 '관심'에서 '주의'로 올라간 뒤 현재까지 유지돼 인력의 피로도가 높아진 상황이다.
KISA는 명칭을 변경하는 방안을 검토하고 있다. 정보보호 인력이 전체의 70%이고, 주된 업무 역시 보안인 만큼 '한국인터넷정보보호원' 등으로 변경할 필요가 있다는 게 KISA의 설명이다.
백 원장은 "보안에 대한 국민의 요구가 커진 만큼 명칭을 기능에 맞게 바꿀 필요가 있다"고 강조했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
