[포럼] 사이버보안 표준화, 우리가 주도하자

염흥열 순천향대 정보보호학과 교수

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[포럼] 사이버보안 표준화, 우리가 주도하자
보안은 정보자산의 기밀성, 무결성, 가용성을 보장하는 기술이다. 법제도 강화, 조직의 보안 정책 이행, 사회의 보안 문화 확산이 함께해야 사이버공간의 신뢰성과 보안을 유지할 수 있다. 정부는 작년 12월 사이버보안을 10대 국가 핵심전략기술의 하나로 선정해 그 중요성을 인정했다. 미국 국립표준기술연구원 (NIST)에서는 '사이버보안 프레임워크'을 "사이버 위협을 예방하기 위한 방어 조치, 신속하게 보안사고를 알아내는 탐지 조치, 그리고 보안사고로부터 정상 서비스로 회복하는 사후 조치로 구성되는 틀"이라고 정의하고 있다.

향후 10년 동안 신규 정보통신기술은 인공지능, 양자 컴퓨터, 5G·6G, 블록체인·대체불가토큰(NFT), 메타버스, 사물인터넷 등을 들 수 있다. 먼저, 정보관리 방식은 크게 변경될 것이다. 기존 관리 방식을 탈피해 분산화되고 탈중앙화된 방식으로 정보가 관리되는 블록체인 기술 기반 서비스, 정보자산의 고유성과 소유성을 입증하는 대체불가토큰(NFT), 중앙은행 발행 디지털 화폐(CBDC) 등 탈중앙화된 정보관리 기반의 다양한 서비스가 속속 등장할 것이다. 이런 신규 정보통신 기반 서비스와 응용이 안전하게 작동하기 위해서는 서비스나 제품 설계 때부터 시작해 전 생명주기 동안 보안이 고려돼야 하는 '내재화된 보안(security by design)' 원칙의 적용이 필요하다.

2030년 초에 나타날 것으로 예상되는 상용 양자컴퓨터의 출현은 기존 인터넷 신뢰 체계의 전면적 전환을 요구한다. 그 이유는 널리 이용되는 공개키 알고리즘의 보안성이 심각하게 영향 받기 때문이다. 상용 양자컴퓨터은 고속 및 병렬 연산 특성을 갖는다. 연산속도를 크게 향상시켜 많은 연산을 요구하는 과학적 연구의 성능에 충족하는 반면, 기존 공개키 암호 알고리즘의 안전성을 깨는 데 이용될 수 있다. 상용 양자 컴퓨터가 등장하면 RSA 등 공개키 알고리즘은 더 이상 안전하지 않게 된다. 따라서 기존 공개키 알고리즘에 기반을 둔 인터넷과 네트워크의 신뢰 체계는 상용 양자컴퓨터에도 견딜 수 있는 새로운 신뢰 체계로 전환돼야 한다.

지금부터는 2030년대 사용할 6G 이동통신망의 개념이 정립돼야 하고 세부 구현 기술도 필요하다. 6G 네트워크에서는 고신뢰의 낮은 지연성, 광대역성, 수많은 디바이스 수용가능성 등의 5G 네트워크 특성에 더해, 통신 경계를 바다와 우주공간으로 확대하는 초공간성, 지금부터 훨씬 빠른 이용자에게 주어지는 채널의 초광대역성, 지금보다 훨씬 더 많은 단말의 수용성, 흠없는 고속의 보안성을 요구하게 된다.

국민의 온라인 디지털 신원 증명에도 커다란 변화가 일어날 것이다. 기존의 플라스틱 카드 형태의 주민등록증에 의존하던 기존 신원증명방식을 탈피해, 디지털 신원 증명 정보를 모바일 단말에 담아서 온라인과 오프라인에서 동시에 이용할 수 있는 자기 주권형 디지털 신원증명방식으로 발전할 것이다. 대표적인 디지털 신원증명 방식은 블록체인에 기반한 모바일 운전면허증이 될 것이다. 영지식증명 기술과 디지털 신원 증명 기술이 결합해 꼭 필요한 신원정보를 꼭 필요한 검증자에게 제시하는 프라이버시 강화형 디지털 신원 증명방식도 나타날 것이다. 프라이버시 우려를 완전히 해소할 수 있는 디지털 주민등록증의 도입과 활용도 고려해야 할 것이다.

사이버보안 기술은 블록체인과 디지털 신원증명 등 신규 정보통신기술을 창출하는데 이용될 수 있다. 사이버보안 기술은 정보통신 서비스나 제품의 신뢰성과 보안을 강화하기 위해 이용되거나 정보통신 기술이 사이버보안 역량을 강화하는 데도 활용될 수 있다. 대표적으로 사이버보안 기술은 인공지능 기반 서비스의 보안성을 확보하는데 이용될 수 있고 인공지능기술을 이용해 기존 사이버보안 대응 능력을 강화하는데 이용된다.

필자는 사이버보안 분야에서 대표적인 국제표준으로 다음 세 가지를 들고 있다. 국제전기통신연합 전기통신부문(ITU-T)에서 개발된 공개키 기반구조에 관한 ITU-T X.509 국제표준, 정보보호관리체계에 대한 개념과 보안 대책을 제공하는 ISO·IEC 27001, 개인정보 보호 위험에 대한 개인정보보호 대책을 제공하는 ISO·IEC 27701 국제표준 등이다. 사이버보안 분야 표준의 역할은 정보통신 제품, 서비스나 응용의 안전성 확보, 상호연동성 제공, 조직의 보안과 개인정보보호 측면에서 대응 능력을 강화하는 데 활용될 수 있다. 또한 사이버보안 국제표준은 국내 사이버보안 산업의 경쟁력을 강화할 수 있다.

국제전기통신연합(ITU)은 올해 3차례의 최상위 정책위원회 회의를 개최할 예정이다. 당초 2020년 열릴 예정이었으나 감염병 팬데믹 상황으로 인해 연기된 세계전기통신표준화총회(WTSA-20) 에서는 국제전기통신연합 표준화 부문에서 향후 3년간 추진해야 할 전기통신망·정보통신 기술의 국제표준화 방향과 내용을 결정하고 ITU-T 표준화 연구반의 의장단을 선출할 예정이다. 올해 6월에는 세계전기통신개발회의(WTDC-21)가 열리며, 여기서는 국제전기통신연합 개발부문 (ITU-D)의 향후 4년간의 추진 활동 방향을 결정하고 관련 연구반의 의장단을 선출할 예정이다. 올해 9~10월에는 국제전기통신연합 전권회의 (PP-22)가 루마니아에서 열리며, 향후 4년간의 국제전기통신연합의 국제표준화 활동 방향을 결정하고 ITU의 3개 부문의 상위 선출직을 선출할 예정이다.

이들 3개 상위 정책위원회 회의에서는 사이버보안이 핵심 중요 의제로 다뤄질 예정이다. 우리나라가 사이버보안 분야에서 국제표준화 리더십을 강화하고 국내 사이버보안 산업경쟁력 강화를 지원하기 위해서는 올해 ITU 상위 정책위 회의에서 적극적인 활동을 수행해야 한다. 특히 우리나라 산업체가 경쟁력이 강한 분산 신원증명기술, 6G 보안기술, 인공지능 관련 보안기술, 양자 내성 신뢰 체계 전환 방식 등의 주요 표준화 주제가 ITU-T에서 선정되도록 해야 한다. 또한 관련 세부 표준화 항목이 발굴되며 관련 표준화 그룹이 신설되도록 하는 후속 활동도 필요하다.

사이버보안 국제표준은 디지털 전환을 달성하기 위한 핵심 전략 기술일 뿐만 아니라 사이버공간에서 국가안보를 지킬 수 있는 핵심 툴이다. 사이버보안 국제표준은 전기통신망·정보통신 서비스나 응용, 제품의 신뢰성과 보안을 확보하고, 서비스의 상호연동성을 보장하는데 이용되기 때문이다. 정부는 국가 산업경쟁력 강화의 기반이 되는 사이버보안 분야의 국제표준전문가 인력 양성, 표준전문가 지원, 기업과 정부의 표준 활용 기반 강화, 표준 인식 제고를 위한 활동을 지원할 필요가 있다.




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]




가장 많이 본 기사