“사이버 위협으로부터 데이터를 보호하기 위한 엔드투엔드(End-to-End) 보안 서비스가 이뤄지도록 종합적인 접근 방식이 필요합니다.”

김창훈 대구대 교수는 24일 서울 서초구 더케이호텔에서 열린 '정보통신망 정보보호 콘퍼런스 2024(NetSec-KR 2024)'에서 국가 신 사이버보안 체계 방향에 대해 이 같이 제시했다.

국가 사이버보안 체계는 큰 변곡점을 맞았다. 사이버 공격 진화, 코로나19 펜데믹 이후 원격근무 활성화, 거대언어모델(LLM) 기반 서비스, 공공업무의 클라우드 이전 등으로 인해 체계 변화가 불가피하다. 이에 국가정보원은 다중계층보안(MLS) 태스크포스(TF)를 꾸리고 망분리 정책 등 보안체계 개편에 나섰다. 행정기관 업무 효율성 증대와 대국민 서비스 향상, 공공데이터 활용성 증대 등이 목표다.

김 교수는 “새로운 업무(환경)가 발생하면 그때마다 새로운 업무에 맞춰 업무 단위로 새로운 보안 아키텍처와 보안서비스를 만드는 데 한계가 있다”면서 “새로운 프레임워크 기반의 새로운 보안 서비스 체계를 설계한다는 게 국가 신 사이버보안 체계”라고 설명했다.

국가 신사이버보안체계는 전체 데이터 경로를 거치는 보안 메커니즘을 통합하고 관리·통제하는 프레임워크를 마련하는 게 핵심이다.

김 교수는 “현행 국내 사이버 보안체계에선 보안 담당자가 보안 업무 전반에 걸쳐 포지셔닝을 해내기 어렵다”면서 “보안을 위한 사이버 보안을 만들고 이 맵에서 포지셔닝을 통한 엔드투엔드 보안 통제 내비게이터를 개발해, 담당자가 보안 맵과 내비게이터에 따라 업무를 할 수 있도록 하는 게 기본 방침”이라고 말했다.

김 교수는 또 망분리 환경에서 제로 트러스트(ZT) 보안 모델을 도입하는 경우 보안 완성도가 높다고 강조했다.

그는 “지방자치단체 중 망분리 환경이 구현된 곳이 없고 서비스형 소프트웨어(SaaS) 도입이 늘면서 더 큰 문제가 발생하고 있다”면서 “한국주택금융공사와 한국지능정보사회진흥원에서 실증한 결과 망분리환경과 ZT를 결합했을 때 가장 보안적으로 완성도가 높다는 결론을 도출했다”고 말했다.

서울특별시는 ZT 도입·확대 계획에 대해 소개했다. 먼저 원격근무시스템에 ZT를 적용해 서울시 직원의 원격근무 환경 보안을 강화하고, 본청과 사업소에서 사용하는 다양한 행정서비스를 대상으로 ZT를 확대할 계획이다. 최종적으로 25개 자치구를 비롯해 투자출연기관 등으로 ZT 보안 모델을 넓힐 예정이다.

김완집 서울시 정보통신보안담당관은 “서울시는 행정기관 최초로 ZT를 도입해 운영하려고 한다”면서 “경제·보안 측면에서 ZT를 도입해 내부 인증·권한관리 등 내부 보안 시스템을 강화하려고 한다”고 말했다.

이날 오후 열린 개회식엔 이종호 과학기술정보통신부 장관, 하재철 한국정보보호학회 회장과 이상중 한국인터넷진흥원 원장이 참석했다. 류재철 충남대 교수는 키노트 발표자로 나서 '미중 디지털패권 시대의 사이버보안'을 주제로 강연했다.

조재학 기자 2jh@etnews.com