 |
염흥열 순천향대 정보보호학과 명예교수<사진>는 최근 <디지털데일리>와의 인터뷰에서 국내 이동통신사가 글로벌 보안표준을 수용하는 부분에서 어려운 점을 묻는 질문에 이 같이 말했다.
최근 국내 이동통신사에선 대대적인 유심(USIM) 해킹 사고가 발생했다. 특히 사고 직후 가입자식별번호(IMSI)가 암호화되지 않은 사실이 알려져 논란이 됐다. 당시 사측은 “암호화가 안 돼 있도록 하는 것이 국제표준화단체(3GPP) 표준”이라는 입장을 밝혔지만, 업계에선 1위 이동통신 사업자가 ‘최소한의 방어선’조차 구축해 두지 않은 부분을 지적했다.
글로벌 표준과 별개로 IMSI 암호화를 의무화해야 하냐에 대해선 여전히 갑론을박이 존재하는 상황 속에서 염 교수는 국제 표준화 기구에서 정의되지 않았더라도 기업 스스로가 능동적으로 실무적 차원의 사실표준을 개발하고 적용할 필요가 있다고 봤다. 그는 2016년부터 8년간 국제전기통신연합 전기통신표준화부문(ITU-T) 정보보호연구반(SG17) 국제 의장 역할을 수행하며 사이버보안 및 디지털 인증 분야에서 우리나라의 위상을 크게 높인 인물이다.
염 교수는 “표준화 기구의 작업 방법이 기고서에 근거하고 있다는 점을 감안하면 모든 실무 표준의 개발에 어려움이 있다”라며 “이번 유출 사고를 통해 국내 이통사의 정보시스템의 보안 표준 적용 결여 문제가 두드러졌는데, 보안사고가 기업의 큰 경영 리스크라는 점에서 어떠한 이유에서로 투자를 회피하려는 행위는 적절하지 않다”라고 꼬집었다.
특히 국내 기업이 글로벌 표준을 실무에 적극 반영할 수 있도록 하는 올바른 거버넌스 방향에 대해 그는 “기업 스스로 보안 위험 평가에 의한 상시적인 보안 대책을 강구하는 정보보호 관리체계의 구축과 운영이 중요하다”라며 “기업의 실무 보안 활동의 국제표준의 수용은 통신사와 정부와 구성된 이동통신망 보안 협의회와의 사전 사고 예방 활동을 통해 달성될 수 있다”고 제언했다.
‘보안’은 6G시대 네트워크가 가져야 할 필수 능력에도 포함됐다. 인공지능(AI)의 핵심 인프라로서 네트워크의 중요성이 커질 것으로 예상되기 때문이다. 더욱이 6G 상용화가 예상되는 2030년은 앙자컴퓨터의 상용화도 예고돼 있다.
이에 염 교수는 국내 이통사가 ▲AI 시스템 자체의 보안을 강화하고 ▲네트워크 제품에 양자내성암호(PQC)를 적용하며 ▲제로트러스트 개념의 네트워크 아키텍처를 구축해야 할 것이라고 봤다. 나아가 글로벌 표준을 단순 수용하는 것이 아니라 표준 개발에 적극 참여해야 한다고도 그는 강조했다.
염 교수는 “사이버 보안 위협을 적절히 대응하기 위한 보안 대책을 제안하는 글로벌 표준화 개발 국가로 전환해야 한다”라며 “또 인력 양성을 통해 국제 표준화 작업에 적극 참여할 우수한 전문가를 키워야 하며, 이를 위한 정부의 역할은 매우 중요하다. 정부의 지원 기반을 마련할 필요가 있다”라고 강조했다.
다음은 염흥열 순천향대 정보보호학과 명예교수와의 일문일답.
Q. 6G시대 네트워크 보안에선 어떤 부분이 강조될지.
▶ 국제 표준화기구인 ITU와 3GPP에서는 2029년 말 6G 서비스 개시를 목표로 6G 보안 관련 표준을 개발하고 있다. 이동통신 제품 생산 산업체는 이를 토대로 관련 보안 제품과 서비스를 개발하게 된다.
특히 최근 논의에서 6G 통신이 가져야 할 핵심 능력으로 ‘보안과 회복력’이 언급됐다. ‘보안(security)’은 기밀성·무결성·가용성을 보존하는 것이고, ‘회복력(resilience)’은 자연재해나 인공적인 재해가 발생하더라도 네트워크 및 시스템이 계속 동작하도록 만드는 능력을 말한다. 3GPP가 개발 중인 ‘6G 활용 사례와 서비스 요구사항’에 대한 기술보고서(3GPP TR 22.870)에도 서비스 보안 요구사항으로 이러한 내용이 포함됐다.
이에 해외 주요 기업들은 AI와 6G 시대를 대비해 자신의 정보시스템에 ‘제로트러스트 아키텍처’를 적극 도입하고, 로그인 분석 등 보안 관제에 AI를 활용하여 기존 보안 제품이나 서비스의 기능을 고도화하고 있다.
Q. 6G 보안 표준과 관련해 국제 표준화 단체에선 현재 어떠한 논의가 이뤄지고 있는지.
▶ 인공지능 시대에 대비하여 6G 보안 표준은 3GPP뿐만 아니라 다양한 표준화 기구들에서 개발하고 있다. ETSI, ITU-T SG17 등 다양한 국제표준화 그룹에서 관련한 보안 표준을 개발하고 있다.
특히 5G나 6G 네트워크는 IETF에서 개발된 인터넷 또는 전송 보안 프로토콜로 IPSec이나 TLS를 사용하고 있고 사용할 것으로 기대된다. 네트워크 보안 표준은 한 표준화 기구에 의해서 완성될 수 있는 것이 아니라 여러 표준화 기구의 협력으로 완성될 수 있다.
최근 ITU-T SG17에서도 6G 네트워크 보안에 대한 국제표준화 준비 작업을 수행하기 위한 기술보고서를 개발하고 있다. 본 기술보고서는 6G 네트워크 환경에서 고려되어야 할 보안 사항들을 사전에 분석하는 데 목적이 있다. 6G 보안 위협과 대응 전략을 사전에 분석함으로써 향후 6G 보안 국제표준 개발 방향을 제시하기 위함이다. 본 기술보고서는 한중일이 에디터쉽을 맡았는데 최근에 개최된 회의에서는 다양한 신기술의 도입이 고려되어야 한다고 논의됐다. 세계이동통신사업자연합회(GSMA)도 단순히 6G 기술뿐 아니라 (네트워크) 보안·신뢰성 강화를 중심으로 한 표준 개발을 적극 추진하고 있다.
Q. 앞으로 네트워크 보안에서 어떠한 부분이 강화돼야 한다고 보는지.
▶ 6G 네트워크나 서버에서 많은 AI 시스템이 활용될 예정이다. 이런 AI 시스템 자체의 보안을 강화할 필요가 있다. 이에 데이터 포이즈닝, 모델 도난, 모델 인버전 등의 다양한 보안 위협에 해소할 수 있는 강력한 AI 시스템 보안 체계를 구축해야 한다. AI 기술을 활용해 6G 네트워크에서 작동하는 네트워크 방화벽 등의 보안 기능을 향상시킬 수도 있다.
양자내성암호(PQC)를 네트워크 제품에 적용하는 것도 중요하다. 현재 전통적인 공개키 암호 시스템은 상용 양자컴퓨터가 나타나는 경우 더 이상 안전성을 보장받을 수 없다. 이에 현재의 이동통신 시스템에서 이용되는 공개키 암호 시스템을 양자내성 특성을 갖는 암호 체계로 전환해야 한다. 지난해 NIST는 3개의 양자 내성 특성을 갖는 키 암호화 방식과 디지털 서명 방식을 표준화 했다. 특히 2030년 양자컴퓨터가 상용화될 것으로 예상되는 만큼 네트워크 보안 제품에 이용되는 암호체계의 전환이 시급하다.
마지막으로 제로트러스트 개념의 네트워크 아키텍처 구축이다. 이러한 제로트러스트 보안 방식에 대한 국제표준화가 현재 3GPP와 ITU-T SG17에서 개발되고 있다.
Q. SK텔레콤에서 발생한 유심(USIM) 해킹 사고 등 최근 일련의 보안사고들을 통해 국내 기업들이 표준 적용에서 부족한 부분이 있다고 보시는지.
▶ 이번 유출 사고를 통해 국내 이통사의 정보시스템의 보안 표준 적용 결여 문제가 두드러졌다. 이동통신 서비스 제공자는 유관 업계가 보호하기 위해 사용되는 평균적인 보안 관행을 무시하면 안 된다.
물론 유심 정보를 암호화해서 보관하도록 하는 내용은 3GPP 표준에는 존재하지 않고 있다. 다만 과기정통부 발표에 의하면 세계통신사업자연합회(GSMA)에서는 유심 관련 정보를 암호화해서 보관하도록 권고하고 있다. 국내 통신 기업들은 3GPP 보안 표준의 준수뿐만 아니라, GSMA, ITU-T 국제표준, 정보통신진흥협회 등의 국내 표준을 준수를 고려할 필요가 있다.
또 3GPP 표준에서 정의되지 않은 실무적인 차원의 네트워크 보안 표준화도 사실표준으로 개발될 필요가 있다. 표준화 기구의 작업 방법이 기고서에 근거하고 있으므로, 모든 실무 표준의 개발에 어려움이 있다. 이러한 실무 준칙이나 표준은 정부나 공공 기관에 의해 개발되어 배포될 필요가 있다.
Q. 국내 기업이 글로벌 보안 표준을 수용하고 실무에 적용하는 데 있어 어려움이 무엇인지.
▶ 국내 기업의 글로벌 보안 표준의 수용은 매우 중요하다. 통신망이 폐쇄망이어서 안전하다는 논리와 여러 보안 투자를 회피하기 위한 다양한 이유는 보안 사고가 기업의 커다란 경영 리스크임을 고려해 더 이상 타당하지 않다. 무엇보다도 중요한 것은 기업 스스로의 보안 위험 평가에 의한 상시적인 보안 대책을 강구하는 정보보호 관리체계의 구축과 운영이 매우 중요하다.
이러한 기업의 실무 보안 활동의 국제 표준의 수용은 통신사와 정부와 구성된 이동통신망 보안 협의회와의 사전 사고 예방 활동을 통해 달성될 수 있다고 본다. 보안 협의회의 자율적인 보안 점검과 보고 등 보안 사고의 사전 예방 활동은 심각한 보안 사고를 미리 막는 유효한 수단이 될 수 있다.
더불어 국내 기업은 글로벌 보안 표준을 개발하는 활동에 적극 참여해야 한다. 이제 국내 기업도 글로벌 표준 수용 입장에서 사이버 보안 위협을 적절히 대응하기 위한 보안 대책을 제안하는 글로벌 표준화 개발 국가로 전환해야 한다. 이를 위해서는 대학과 연계해 글로벌 보안 표준 인력 양성에도 앞장서야 하며 정부도 인력 양성에 적극 지원해야 할 것이다.
Q. CISO가 형식적 지정에 그치지 않고 실질적 권한을 보장받기 위한 방안은 무엇인지.
▶ 이번 정보 유출 사고를 계기로 기업의 보안 관행에 많은 변화가 있기를 기대한다. CISO에게 실질적 권한과 그 권한에 맞는 책임을 부여해야 한다. 기업 내에서 CISO의 입지를 강화하는 여러 가지 방법이 있다. 먼저 CISO의 기업내 권한과 책임이 강화되어야 한다. 또한 CISO에 의해 평가된 보안 평가 보고서에서 제시되고 있는 기술적·관리적 보호대책에 대한 투자 계획을 이사회에서 심도깊게 논의해서 우선순위로 이를 해소할 수 있는 적정한 자원이 투입될 수 있도록 해야 한다. 또한 주요 사이버 위협에 대응하기 위한 보안 인력의 확보, 보안 제품의 투자, 보안 정책의 개선 등이 기업 내에서 확실히 반영될 수 있도록 하는 보안 거버넌스 구축이 필요하다. 정부도 이를 지원하기 위한 세제 혜택, 과징금 감면 등의 다양한 인센티브 제도의 활성화를 고려해야 한다.
Q. 통신사의 경우 네트워크 보안팀과 CISO 조직이 별도로 운영되는데 두 조직의 전략적 연계를 통해 CISO의 권한을 강화할 수 있는 구조적 모델과 제도적 지원방안이 있을지.
▶ 네트워크 보안팀과 CISO간에 협력적 관계의 유지가 필요하다. 기업 보안은 CISO의 주도하에 관련 유관 부서와의 협력으로 달성될 수 있다. 이를 위해서는 CISO가 보호해야 할 자원을 관련 부서와 식별하고 그 자원에 대한 취약성을 평가할 수 있는 권한이 주어져야 한다. 인력과 보안 장비 등에 대한 정보보호 투자를 위해서는 기업의 CISO의 역할이 강화되어야 한다. 특히 정보보호 리스크는 이제 기업의 존망을 결정하는 중요 리스크가 되고 있다. CISO는 CEO 직속의 임원급과 보안 역량을 갖추면서 기업의 경영진과의 소통이 가능한 임원급으로 임명해야 하고, 사이버 보안 리스크 해소는 기업의 투자와 경영상의 정보보호 리스크를 줄이는데 결정적인 영향을 미치기 때문에 기업 내에 CISO의 독립성을 강화하고 역할을 확대하기 위한 정부의 제도적 지원도 필요하다.
Q. 국내 기업의 보안 수준 향상에 실질적인 기여를 할 수 있도록 하긴 위한 해외 사례 중 벤치마킹할 만한 부분이 있다면 알려주십시오.
▶ 최근에 미국 등 주요국에서는 기업이나 기업이 생산하는 제품의 사이버보안을 강화하기 위한 제도가 시행되고 있다. 대표적으로 미국에서는 증권거래위원회에서 사이버보안 사고 발생시 4일 이내 공시하고, 기업의 사이버보안 거버넌스와 리스크 관리 및 전략을 공개하도록 하고 있다. 2024년 10월부터 시행중인 유럽연합의 NIS2(네트워크 및 정보시스템 보안 지침2) 은 사이버 보안 사고를 보고할 뿐 아니라, 조직의 보안 수준 공개를 요구하고 있다. 또 2023년 1월부터 시행된 유럽연합의 CSRD(기업지속가능보고지침)에서도 환경 및 사회적 영향과 환경, 사회 및 거버넌스(ESG) 공시 항목 중 하나로 위협 평가, 보안 거버넌스, 사고 대응 등의 정보보호 및 데이터 프라이버시 항목을 공시하도록 하고 있다.
Q. 국내 정보보호 정책이 글로벌 흐름에 잘 대응하고 있는지.
▶ 우리나라 정보보호 정책은 총론적으로 보면 글로벌 흐름에 능동적으로 대응하고 있다고 볼 수 있다. 2019년에 발표된 국가 사이버 안보 전략이 5년 단위로 갱신되고 있기 때문이다. 우니나라가 네트워크 보안 표준 및 정책 측면에서 글로벌 주도권을 행사하기 위한 정책적 근거는 지난해 2월 발표된 우리나라 국가 사이버안보 전략에도 직접적으로 나와 있다. 하나는 ‘국가 정보통심망 구축시 국내외 기술 표준 준수를 강화하여 취약점 증 보안 문제 발생시 신속히 대체하게 한다’이며, 다른 하나는 ‘사이버 안보 관련 보편타당한 국제규범 정립 과정에 참여를 확대하고 국제규범 및 모범 사례 확산을 선도한다’라고 명시되어 있다. 특히 정보보호 국제규범 제정과 국제 활동에 적극적으로 참여할 것을 권장하고 있다.
이에 네트워크 보안 표준 개발을 주도할 인력을 양성하고, 우수한 표준 전문가를 활용해 국제표준화 작업에 적극 참여하게 해야 한다. 이를 위한 정부의 역할이 매우 중요하다. 국익에 기반한 국제 표준화 활동을 추진해야 하며, 이를 위한 정부의 지원 기반을 마련할 필요가 있다. 유럽연합과 중국이 이를 위한 다양한 국가 지원 프로그램을 운영하고 있다. 특히, 인공지능 보안, 제로트러스트, 소프트웨어 공급망 보안, 양자 내성 암호 체계 등의 분야의 국제 표준화 작업에 우리 표준 전문가가 적극적으로 참여할 수 있는 지원과 기반 마련이 필요한 시점이다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
