[정보보호/시큐리티톱뷰]<89>정경호 한국인터넷진흥원 부원장

“사이버 위협에 단기적인 처방이 아닌 종합적인 분석과 예방에 힘쓰겠습니다.”

정경호 한국인터넷진흥원(KISA) 부원장은 보다 전문적인 정보보호기관으로 거듭나겠다는 의지를 내비쳤다. 한국인터넷진흥원은 지난 7월 개인정보보호와 인터넷 침해사고 발생 시 원활한 대응을 위해 부원장직을 신설했다.

정 부원장은 한국인터넷진흥원으로 통합되기 전 한국정보보호진흥원 때부터 정책연구실장, 정보보호본부장, 인터넷침해대응본부장 등을 지낸 정보보호 전문가다. 2009년부터 2년간 방송통신위원회 정보보호 PM으로 활동했다.

그는 현재 KISA가 사이버 위협의 전체 퍼즐에서 일부만 보고 있는 걸 안타까워했다.

“KISA가 모든 일을 다 할 수 없습니다. 사이버 위협은 국경과 시간을 초월합니다. KISA 혼자만의 힘으로 모든 공격을 예측하고 방어할 수 없습니다. 국내외 정보보호기업은 물론이고 대학, 연구소 등과 협력에 힘쓸 것입니다.”

정 부원장은 이런 노력의 결정체로 사이버위협정보공유시스템(CTAS) 가동을 꼽았다.

“KISA는 대규모 전산망 마비 사태가 발생하면 단기 처방에만 급급했습니다. 공격이 시작되는 악성코드가 어디에서 오고 의도는 무엇인지 종합적으로 분석할 능력을 키우겠습니다.”

그는 앉아서 방어만 하는 건 한계에 봉착했다고 진단했다. KISA가 할 일은 시스템 안전성을 평가하고 모의침투 테스트를 강화하는 일이라고 강조했다.

“이런 기능이 강화되면 정보보호기업에도 새 시장을 열 수 있을 것입니다. 어느 곳이 취약한지 먼저 알려줘 빨리 대응하게 하는 게 KISA가 할 일입니다.”

정 부원장은 기업의 정보보호 의식 전환도 촉구했다. “기업 네트워크나 서비스 등에 취약점이 발견되면 숨기지 말고 빨리 대처해야 합니다. 숨기다가 오히려 더 큰 피해를 입을 수 있습니다.”

그는 침투 테스트를 활성화해 취약점 이슈에 먼저 대응해야 한다고 설명했다. 보안 취약점에 대한 적극적인 수용 문화는 시장 전반에 선순환 구조를 이끈다.

“최고정보보호책임자(CISO)를 두는 조직이 늘고 있습니다. 이들에게 책임만 강조하면 안 됩니다. 사고는 언제나 사전징후가 있고 취약점과 정책 등이 복합적으로 작용합니다.”

정 부원장은 “보안사고는 언제나 일어난다는 전제를 깔아야 한다”며 “기업 내에 정보보호 문제를 언제나 논의할 수 있는 문화가 정착돼야 한다”고 덧붙였다.

김인순기자 insoon@etnews.com