"시스템의 고도화와 자동화는 국가사이버안전센터의 영원한 화두"
지난 2003년 1.25 대란 이후 '보안'은 사회 전반적으로 화두가 되었다. 정부는 국가사이버안전센터를 설립해 각종 사이버 공격에 대한 범 국가 차원의 종합적이며 체계적인 대응을 펼치고 있으며, 민간 기업은 최근 몇년간 최대의 투자 항목으로 '보안' 분야를 꼽을 만큼 여기에 대한 투자를 아끼지 않다. 국내 여러 IT 산업 가운데 그나마 국산 경쟁력이 있는 분야로 보안이 손꼽힌다. 하지만 갈수록 시장 환경은 어려워지고 있다. 이런 시점에서 지난 5월 3일 우리나라의 CCRA(국제공통평가기준상호인증협정) 정식 가입으로 앞으로 국내 보안 산업에 어떠한 변화가 일어날지 귀추가 주목되고 있다. 윤석구 국가사이버안전센터장을 만나 CCRA의 가입 의미와 향후 전망, 그리고 국가사이버안전센터의 현재 역할과 향후 계획 등을 들어봤다.
--국가사이버안전센터의 설립 배경은
==2003년 1월 25일 인터넷 대란이 설립의 직접적인 계기가 됐다. 당시 노무현 대통령 당선자는 8시간이나 인터넷이 마비된 이 사태에 대해 "어느 부처도 얘기하지 않더라"며 의외로 담담한 모습을 보였다. 그러다가 2월 25일 대통령에 취임한 후 이에 대한 보고를 받았는데 관련 법률인 정보통신기반보호법에 사각지대가 있다는 점이 밝혀졌다. 각 부처의 기반시설만 보호하면 된다는 조항이 바로 그것이었다. 국가의 보안문제에 대해 종합적이며, 체계적으로 대응할 수 있는 법적 체제가 부재했다는 사실이 드러남 셈이다.
노 대통령은 정부 부처의 초도순시의 일환으로 6월에 국가정보원을 방문하면서 모든 보안문제을 국정원이 맡으라고 지시했다. 1.25와 같은 문제가 또 발생하면 "국정원에 책임을 묻겠다"는 것이 당시 대통령의 말이었다.
이에 따라 국방부, 정보통신부, 국가안전보장회의사무처, 국정원 등 4개 기관이 TFT를 구성해 한달 정도 논의를 거쳐 7월에 '국가 사이버 테러 대응체계 구축 기본 계획'을 수립하고, 2004년 1월부터 본격 업무에 들어갔다. 계획 수립후 불과 5개월만에 센터가 출범한 것이다.
--센터의 사무실을 강남의 중심 지역에 마련한 까닭은 무엇인가
==국민 서비스 기관으로 인식시키고, 공개 조직으로 운영하는 것이 바람직하다는 판단에 따른 것이다. 또 강남 지역은 네트워크 등 인프라가 잘 갖춰져 있는 점도 고려 대상이 됐다.
종합적인 보안 서비스 수행
--국가사이버안전센터의 주요 업무와 역할은 무엇인가
==가장 먼저 시작한 일이 사이버 보안 관제이다. 24시간 감시하는 관제센터를 갖추고 국가 기관의 사이버 위협 징후를 파악해 해당 기관에 알려주는 것으로 매우 의미있는 일이었다. 왜냐하면 당시 거의 대부분의 기관들은 웜이나 바이러스의 위협에 노출돼 있음에도 그 위험성을 잘 모르고 있었기 때문이다. 그나마 문제의 심각성을 깨닫고 있는 부처는 전담 인력이나 조직을 직접 운영하고 있었지만 그렇지 않은 곳은 용역 업체를 두고 대응하는 식이었다.
처음에 150여개 기관을 대상으로 한 보안 관제는 2년 반이 지난 현재 510여개 기관으로 늘어났다.
사이버안전센터는 국가의 전체적인 보안을 책임지고 있다. 민간 기관의 보안을 담당하는 KISA의 인터넷침해사고대응지원센터, 그리고 기무사가 맡고있는 국방정보전대응센터 등을 사이버안전센터에서 총괄하고 있는 것이다. 이에 따라 사이버안전센터에는 재경부, 정통부, 행자부, 대검, 경찰, KISA, ETRI 부설 연구소 등 각 부처의 직원이 파견되어 공동으로 업무를 수행하고 있다.
--센터가 제공하는 보안 서비스의 구체적인 내용은 무엇인가
==센터는 종합적인 보안 서비스를 제공하고 있다. 그 서비스는 예방활동, 공격감시, 정보지원, 사고복구 등 크게 4가지로 이뤄져 있다. 예방 활동의 주요 내용은 각 기관의 안전성 확인과 보안대책을 강구하는 것이며, 공격 감시는 24시간 보안 관제를 통한 사이버 위협 경보 발령 등이 핵심을 이루고 있다. 그리고 정보 지원 업무는 웜ㆍ바이러스 분석과 보안 권고문의 작성과 배포가 골격을 이루고 있다. 사고 복구는 침해사고 발생시 원인 규명과 피해 확산 방지를 위한 활동이 그 주요 업무 내용이다.
이 가운데 보안 관제를 통한 사이버 위협 경보 발령은 모두 4단계에 걸쳐 해당 기관에 고시하고 있다. 1단계 관심, 2단계 주의, 3단계 경계, 4단계 심각 등이 그것이다. 그 고시 방법은 정상인 경우에는 녹색, 1단계 관심은 청색, 2단계 주의는 노랑색, 3단계 경계는 오렌지색, 그리고 4단계 심각은 붉은색으로 표시하고 있다.
CCRA 가입, 보안산업 경쟁력 강화 기대
--종합보안서비스 외에 수행중인 평가ㆍ인증 업무에 대해 소개해 달라.
==센터가 종합보안서비스라는 업무를 수행하는데는 정보보호제품이 필수적이다. 무분별한 제품을 사용해서는 곤란하다. 센터에서는 IT보안인증 사무국을 두고 정보보호제품의 인증 업무를 수행하고 있다. 정통부 산하의 KISA에서 수행하는 정보보호제품의 평가가 제대로 이뤄졌는지를 검증하는 업무의 주요 내용이다.
--지난 5월 3일 우리나라는 CCRA에 정식 가입했다. 그 과정과 의미에 대해 말해달라.
==지난 2003년 정통부, 국정원, 정보보호업체 등은 어떻게 하면 보안 산업의 경쟁력을 높인지를 놓고 많은 논의를 벌였다. 그 결과 3년 후 즉 2006년에 CCRA에 가입하기로 잠정 결정했다. 현재 CCRA 가입국은 우리나라를 포함해 총 23개국이다. 이번 CCRA 가입의 가장 큰 의미는 우리나라의 제품을 어느 나라로 수출하더라도 따로 인증을 받을 필요가 없다는 점이다.
예를 들면 삼성의 경우, 과거 프랑스에 보안제품을 수출할 때 약 5억원의 비용을 들여 인증서를 받은 적이 있다. 하지만 CCRA 인증 가입으로 이 가격의 약 1/10인 5천만원만으로 인증서를 받을 수 있다. 또 과거 인증 기간도 무려 1년이상 걸렸는데 앞으로는 6개월이면 충분할 것이다. 이밖에 외국에서 보안인증을 받으려면 번역료라던가 기타 수수료 등도 많이 들었지만 앞으로는 이런 부가적인 비용을 절감할 수 있다는 점도 그 의미로 들 수 있다.
국내 제품의 소스 코드 등이 외국에 유출되는 것을 막을 수 있는 점도 빼놓을 수 없다. 과거에는 외국에서 인증을 받으려면 소스 코드 등 모든 내용을 제출해야 했지만 이제는 그럴 필요가 없어졌다.
인증서 유효기간 폐지, 수수료 차등화 등
--CCRA 가입으로 달라진 점은 무엇인가
==정보보호제품 평가ㆍ인증 대상 범위 확대, 인증서 유효 기간 페지, 인증 제품 관리 감독 강화, 평가 수수료 차등화 등 크게 4가지를 들 수 있다.
우리나라는 1998년 2월에 처음으로 방화벽에 대한 평가ㆍ인증 업무를 시작해 2003년 11월부터 침입차단ㆍ탐지, 가상 사설망, 지문인식, 운영체계 보안, 스마트 카드 등 6종의 정보보호제품을 평가ㆍ인증했다. 그러다가 CCRA 인증서발행국 가입 준비를 위해 2005년 5월에 약 40여종의 전 정보보호제품으로 평가ㆍ인증 대상을 확대했으며, 5월 3일 CCRA 가입이 확정되면서 국제 공인인증서 발급이 가능하게 됐다.
미국이나 영국 등 CCRA 회원국의 평가ㆍ인증제도를 반영해, 정보보호제품에 대한 인증서 유효기간을 전면 폐지했다. 과거에는 인증서를 교부받고 3년 후에 재평가를 받아 인증서의 유효 기간을 연장했는데 그럴 일이 없어진 것이다.
하지만 인증서의 유효 기간을 폐지하는 대신 인증 제품의 사후 관리를 강화할 계획이다. 인증 제품에 대한 개발업체 및 사용 기관 등의 실태를 조사해 인증 제품이 무단으로 변경되었거나 인증받지 않은 부문에 대해 허위 또는 과장 광고 사실이 적발되면 관련 법규에 따라 인증을 취소할 계획이다.
정보보호제품의 평가수수료가 제품 단위의 정액제에서 제품의 복잡도, 평가 업무량ㆍ기간 등에 따른 변동 체계로 개선되는 것도 달라진 내용이다. 단순한 제품을 개발해 평가받을 경우에는 낮은 수수료를, 보안 기능 등이 복잡한 제품은 고액의 수수료를 내도록 수수료 차등화 체계를 도입해 하드웨어 일체형과 운영체제별 다양한 정보보호제품군에 대해 일괄적인 평가 신청을 할 수 있도록 정책을 개선할 예정이다.
--앞으로 인증 업무가 크게 늘어날텐데 문제는 없는가
==가장 심각한 문제는 바로 인력이 부족하다는 사실이다. 현재 IT보안인증 사무국의 인원은 10명에 불과하다. 이보다는 10배 이상의 인력이 필요하다. 이에 따라 기획예산처 등에 인력 확충을 지속적으로 요구하고 있다.
인력부족 문제 심각
--국가사이버안전센터의 요즘 최대 화두는 무엇인가
==보안관제서비스의 고도화와 자동화를 들 수 있다. 사이버 위협 징후를 실시간으로 파악해 분석하고, 이를 보고서로 작성해 해당 기관에 배포하는 센터의 업무 특성상 서비스의 고도화는 영원한 과제이다. 고도화 되어 있지 않으면 문제의 원천적인 해결이 어렵기 때문이다. 하지만 시스템이 고도화되어 있다고 해서 모든 문제가 풀리는 것은 아니다. 반드시 자동화가 뒷받침되어야 한다. 수작업으로 분석이 늦어지면 아무런 의미가 없기 때문이다. 이 때문에 센터는 6개월마다 최상의 시스템으로 업그레이드 하고 있다.
센터는 이러한 시스템의 고도화와 자동화로 이상징후 탐지 룰 500개를 직접 개발해 현재는 모두 1,500개를 보유하고 있다.