김승주 교수 “공공 데이터 중요도 따라 나누고 과감히 개방해야"
등록 2022.09.29 15:49:54수정 2022.09.29 15:51:10
김승주 고려대 교수 '2022 국방보안컨퍼런스'에서 특별강연
망 차단 중심 보안정책은 외부와 시너지 추구하는 4차산업혁명과 충돌
“중요하지 않은 데이터는 외부와 공유 통해 산업발전 도모해야”
김승주 고려대학교 정보보호대학원 교수는 29일 국방부 주최로 서울 공군호텔에서 열린 ‘2022 국방보안컨퍼런스’ 특별강연자로 나서 “4차 산업혁명에 맞춘 세련된 사이버보안 정책이 필요하다”라고 강조했다. (사진=송종호 기자) *재판매 및 DB 금지
[서울=뉴시스]송종호 기자 = 외부망을 차단하고 데이터 지키기에만 급급한 보안 정책으로는 4차 산업혁명에 걸맞은 디지털 역량을 갖추기 어렵다는 지적이 나왔다. 이제는 데이터를 외부에서 마음껏 활용하고, 시너지를 내면서도 보안을 유지할 수 있는 세련된 보안 정책이 필요하다는 것이다.
김승주 고려대학교 정보보호대학원 교수는 29일 국방부 주최로 서울 공군호텔에서 열린 ‘2022 국방보안컨퍼런스’ 특별강연자로 나서 “4차 산업혁명에 맞는 세련된 사이버보안 정책이 필요하다”고 강조했다.
그는 4차 산업혁명을 추진하는 정부가 3차 산업혁명 수준의 보안 정책에 갇혀있다고 지적했다. 김 교수는 “정보화, 자동화가 일부 지역에서 발생하는 것이 3차 산업혁명이라면 4차 산업혁명은 모든 지역에서 일어라는 것”이라며 “지금 우리가 운용 중인 보안 정책은 4차 산업혁명을 추구하는 정책과 맞지 않는다”라고 짚었다. 외부와 연결된 망을 끊고 외부 유출을 차단하는 것은 일부 지역의 발전만 추구하는 3차 산업혁명 방식이라는 것이다.
그러면서 김 교수는 미국의 사례를 꼽았다. 김 교수는 “미국은 데이터 중심으로 보안 정책을 펼친다”라며 “데이터를 중요도에 따라 나누고 상대적으로 덜 중요한 데이터는 과감하게 외부와 공유한다”라고 설명했다. 이를 통해 정부나 공공기관이 보유한 데이터를 민간 기업이나 사업자가 활용할 수 있다는 것이다. 여기서 산업발전의 시너지도 발생한다고 김 교수는 강조했다.
하지만 김 교수는 한국의 경우 차단에 무게를 둔 보안 정책으로 어떠한 데이터도 활용할 수 없다고 지적했다. 그는 “한국은 영역 중심의 망 분리 정책”이라며 “해커가 인터넷을 통해 들어오니 망을 차단한다는 것은 효과적이긴 하지만 4차 산업혁명 관련 정책과는 어긋난다”라고 꼬집었다. 정부의 보안 정책과 산업 발전 정책이 충돌한다는 것이다.
그는 “외국에서도 망분리를 하지만 중요하지 않은 정보, 이른바 ‘그린존’에 속하는 정보들은 외부 인터넷과 항상 연결돼 있다”라며 “이 같은 보안 정책은 보안을 유지하면서고 활용도는 극대화할 수 있는 것”이라고 강조했다.
반면 한국은 모든 데이터에 같은 보안 정책을 적용해 결과적으로 보안 수준이 낮고, 활용도도 떨어진다는 지적이다.
김 교수는 “한국의 경우 중요도를 무시한 채 데이터가 섞여 있다”라며 “이 경우 한정된 예산으로 모든 데이터에 보안 정책을 적용하려고 하니 결국 보안 수준이 하향 평준화가 될 수밖에 없다”고 밝혔다.
그는 “중요도에 따라 데이터를 나누고, 보안 예산을 분배하면 선택과 집중을 할 수 있다”라고 덧붙였다.
김 교수는 이를 위해 데이터를 중요도에 따라 나누고, 이에 맞춤형 보안 정책을 적용해야 한다고 거듭 강조했다.
이날 그는 사이버 안보 인력 양성에도 변화가 필요하다고 짚었다. 김 교수는 “우리는 화이트 해커 양성에만 집중한다”라며 “이를 통해 보안 취약점을 발견하고 이를 보완하는 방식의 정책을 위한 것인데 이는 개인이나 팀별 수준에 따라 결과물이 달라져 보안을 유지하는 게 한계가 있다”라고 말했다. 가령 같은 소프트웨어나 솔루션을 대상으로 보안 취약점을 찾더라도 개인이나 팀에 따라 발견하는 문제점이 매번 달라진다는 것이다.
그가 제시한 해결책은 해커가 아닌 실력 있는 소프트웨어 개발자 양성이다. 김 교수는 “고급 소프트웨어 개발자를 양성하면 수준 높은 소프트웨어를 개발할 수 있고, 결과적으로 보안에 강한 제품이 나오게 되는 것”이라며 “해커 중심의 보안 정책에서 벗어나야 한다”라고 강조했다.
마지막으로 그는 “사이버 보안 인재 10만 양성이라는 구호가 아니라 실질적으로 고급 소프트웨어를 개발할 수 있는 인력 양성이 중요하다”라고 말했다.
한편, 이날 군사안보지원사령부는 공군호텔에서 '국방혁신 4.0시대 보안 패러다임 대전환'을 주제로 '2022 국방보안컨퍼런스'를 개최했다. 국방보안컨퍼런스 행사가 재개된 건 지난 2019년 이후 3년만이다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
