[기고] 사이버보안지수 개선 절실하다

염흥열 순천향대 정보보호학과 교수
필자가 자주 듣는 질문은 "우리나라의 사이버보안 수준은 타 국가에 비해 어느 정도입니까?"라는 것이다. 이 질문에 대한 정확한 답은 쉽지 않으나, 국제전기통신연합에서 격년으로 발표하는 '글로벌사이버보안지수(GCI)'를 보면 일정부분 가늠할 수 있다고 말하고 있다. 컨설팅 회사인 EY는 사이버 위협은 향후 10년간 세계 경제의 가장 큰 위협이라고 발표한 바 있다. 시만텍 사이버위협 보고서에 의하면 2018~2019년에 모바일 기기를 대상으로 하는 랜섬웨어 공격이 33% 증가했고 공급자 체인 공격이 78% 증가했다고 밝혔다. 맥아피는 2019년 사이버범죄로 인해 글로벌 경제의 손실이 90조 달러에 이른다고 발표한 바 있다.

국제전기통신연합에서는 각 국가 단위로 사이버보안 위협 준비 태세를 평가한 글로벌사이버보안지수를 격년으로 발표하고 있다. 평가 지표는 5가지 주요 추진분야에서 25개의 평가 지표로 구성돼 있다. 주요 추진 분야는 법적 조치, 기술적 조치, 조직적 조치, 역량 개발 조치, 그리고 국제협력 조치 등이다. 평가방법은 회원국에 평가지표에 대한 질의서를 보내고 회원국이 그 질의서에 증빙자료를 제출하는 절차로 수행된다. 우리나라는 2018년 발표된 세 번째 글로벌사이버보안지수에서 194개 응답국가 중 15위를 차지해 잘 준비된 상위 국가 군에 포함돼 있다. 2020년 발표될 예정이던 네 번째 글로벌사이버보안지수의 평가 작업은 아직 진행 중에 있으며 그 결과는 코로나 사태로 인해 지연돼 올해 6월 쯤 발표될 것으로 예측된다.

과학기술정보통신부는 지난달 28일 안전하고 신뢰할 수 있는 세계 최고의 디지털 안심 국가 실현을 위한 K-사이버 방역 추진전략을 발표했다. 주요 정책 과제로 △사이버 보안 대응체계를 고도화하고 △핵심 기술 역량을 확보하며 △산업육성 기반을 확충하기 위해 성장 지원을 강화하고 △법제도 정비를 들고 있다. 2023년까지 총 6700 억원을 투자하여 글로벌사이버보안지수 평가 국가 순위를 5위 이내, 민간 침해사고 발생률 1.5% 이하, 정보보호시장 규모 16조원 이상 달성을 목표로 제시하고 있다.

현재 글로벌사이버보안지수의 지표의 구성을 고려하고, K-사이버 방역 전략에서 목표로 하는 글로벌사이버보안지수의 국가 순위를 2023년까지 5위로 끌어올리기 위해서는 다음과 같은 사항이 고려돼야 한다. 먼저, 글로벌사이버보안지수의 국가 순위를 K-사이버 방역 대책의 주요 목표로 설정한 것은 국내 사이버 공격 대응 준비 태세를 강화한다는 측면에서 바람직하다. 간접적인 효과는 국내 사이버 공간의 신뢰성 확보를 통해 글로벌 전자거래 등을 촉진하여 국가 경쟁력의 향상을 도모할 수 있다. 지표의 구성이 매우 넓고 여러 부처의 활동과 연관되므로 글로벌사이버보안지수의 평가 대응은 범부처 차원의 국정 최고 수준에서 수행돼야 하며, 국가사이버안보 전략을 발표한 청와대 국가안보실의 조정과 지휘로 과기정보통신부 등 여러 정부부처의 협력이 필요하다. 통상 격년으로 평가되므로 평가 준비와 대응도 매년 상시적으로 추진되어야 한다.

둘째, 국제전기통신연합 글로벌사이버보안지수의 지표 개선과 각 지표의 가중치 작업에 한국인터넷진흥원을 비롯한 전문 공공기관 등 전문가들이 적극 참여해 우리나라 실정을 반영한 지표의 제안과 가중치 설정 등의 지원 활동을 통해 세계 사이버보안 수준 향상에 기여해야 할 것이다. 단기적으로 2022년에 실시될 것으로 예측되는 5번째 글로벌사이버보안지수 평가에 대한 준비를 지금부터 민관과 공공의 동반 관계로 시작해야 할 것이다.

셋째, 글로벌사이버보안지수 평가를 국내 사이버보안 준비 태세 강화에 활용해야 한다. 법적 조치 분야에서 국제 공적 표준에 근거한 정보보호 관련 보안 인증 제도의 시행을 강화해야 한다. 기술적 조치 분야에서는 국가 침해사고 대응팀 임무에 온라인 어린이 보호를 위한 인식제고와 교육 자료의 제공 등의 업무를 포함하도록 해야 한다. 우리나라 공공 및 민간의 침해사고대응팀의 성숙도 수준을 국제 평가기관에 의해 검증 받는 것은 시급하다. 국제 사이버보안 표준의 도입과 이행을 위한 기본 틀을 강화해야 하며, 온라인 어린이 보호에 대한 긴급 보고 능력도 강화해야 한다.

넷째, 현재 사이버 위협 상황과 공급망 보안 강화 필요성을 고려해 2019년 4월 발표된 우리나라 국가 사이버안보 전략의 검토와 개선도 필요하다. 국가 사이버보안 전략은 민간 사이버보안 전문가의 협의를 통해 개선돼야 한다. 역량 개발 분야에서, 사이버보안 연구개발 프로그램을 강화하고 국가 사이버보안 산업을 육성을 강화해야 한다. 특히 판사, 검사, 수사관 등의 법률 전문가의 사이버보안 인식제고 교육의 실시도 필요하다. 양자간 및 다자간 국제협력을 강화하고, 국내외 사이버대응 조직 간의 민간과 공공 간의 동반 관계의 구축도 필요하다.

다섯째, 질의서에 대한 증빙자료는 영문으로 제출해야 하므로 평가 지표와 관련된 영문 자료와 영문 웹사이트의 준비 및 제공도 필요하다.

이러한 고려사항이 실행되면 2023년 세계 5위 이내의 글로벌사이버보안지수의 국가 순위 목표를 달성할 수 있을 것으로 기대한다. 이 목표 달성을 통해 우리나라 제4의 공간인 사이버 공간에 대한 신뢰와 보안을 확보하고, 국가 경쟁력 향상과 신규 융복합 서비스 안전성 확보 등 K-사이버 방역 추진 전략의 효과를 극대화해야 한다.