최근 사이버 공격자는 주로 개인에 대한 사이버 범죄를 넘어 국가 주요 인프라에 사이버 테러까지 감행한다. 국가 차원의 사이버 보안 역량강화가 요구되는 이유다.
한국인터넷진흥원(KISA) ‘2014년 정보보호 실태조사 결과’에 따르면 정보기술(IT) 예산 대비 5% 이상을 정보보호에 투자하는 기업은 2.7%에 불과하다. 영국 50%, 미국 40%에 비해 크게 낮다. 국내 정보보호 시장 규모는 70억달러에 불과해 2097억달러인 세계 정보보호 시장의 3.3% 수준이다.
우리나라 기업의 사이버 위협 대응 수준은 미흡하다. 국내 기관과 기업의 정보보호 투자도 매우 인색하다. 국내 정보보호 기업의 글로벌 기술 경쟁력과 품질확보 환경도 미흡하다.
국내 정보보호 산업 진흥과 국가 사이버 보안수준 향상을 위해 ‘정보보호 산업의 진흥에 관한 법률(정보보호산업진흥법)’이 5월 29일 국회 본회의를 통과했다. 권은희 의원이 작년 7월 대표 발의한 지 10개월 만이다. 올 12월 시행된다. 지금까지 산발적으로 존재하던 정보보호 산업 진흥에 관한 사항들이 이 법으로 일원화된 셈이다.
이 법은 △정보보호시스템 공공부문 수요 촉진 △정보보호 제품에 대한 지속적 서비스 대가 인정 △기업 정보보호 공시제도 △기술개발과 표준화 △정보보호 인재 체계적 양성 △글로벌 정보보호 기업 육성 등 규정을 포함한다.
정보보호 관련 법 제정은 세계 주요 국가 관심사다. 미국은 ‘사이버보안 향상에 관한 법’을 작년 12월 시행했다. 일본도 2020년 도쿄올림픽에 대비해 사이버 위협을 국가 차원에서 대응하기 위한 ‘사이버 보안 기본법’을 작년 11월에 시행했다. 중국 정부도 국가 IT 전략 일환으로 국가 기밀과 전략 산업 정보보호를 위해 5개년 계획(가이드라인)을 시행한다.
미래창조과학부는 지난 4월 22일에 ‘K-ICT 시큐리티 발전 전략’을 발표했다. 시큐리티 발전전략을 강력히 추진할 수 있는 법적 기반을 마련했다. 국내 정보보호 기업 입장에서는 진흥을 가로막던 여러 제약 요인이 제거됐고, 직간접 정부 지원을 받을 수 있는 법적 토대도 갖췄다.
진흥법 제정 효과를 극대화하려면 시큐리티 발전전략과 연계해 추진돼야 한다. 다음 사항을 고려해야 한다.
국내 정보보호 기업은 제품 및 서비스 품질을 높일 수 있도록 기술개발에 매진해야 한다. 국내 정보보호 진흥 환경이 미흡한 이유가 기업의 글로벌 경쟁력과 품질향상 노력 부족에 있다는 지적을 무겁게 받아들여야 한다.
협소한 국내 시장에만 머물 것이 아니라 세계 시장 80% 이상을 차지하는 미국, EU 등의 글로벌 시장으로 진출할 것을 권고한다. 이를 위해 글로벌 정보보호 기업과 경쟁할 수 있는 기술 경쟁력 확보, 품질 고도화, 국제 표준에 근거한 글로벌 상호 연동이 가능한 제품 및 서비스를 개발해야 한다.
정부 보안인재 양성은 중·단기 수요를 고려해 균형적으로 이뤄져야 한다. 보안 인재는 대응형과 공격형, 신규와 재교육으로 구분해 양성돼야 한다. 중장기적 수요에 기반을 두고 균형적으로 양성돼야 한다. 최근 많은 공공기관이 지방으로 이전하고 있음을 고려해 정보보호 인재 양성도 환경 변화를 반영해야 한다. 지방 이전 공기업을 포함한 지방기업과 기관을 위한 산학연계형 지역 보안인력 양성이 필요하다.
정보보호 제품과 서비스는 국제 표준에 근거해 설계되고 구현돼야 한다. 정보보호 제품과 서비스, 프로세스에 대한 국제표준 활동 지원이 요구된다. 표준 준수여부를 확인할 수 있는 인증 적합성 확인 체계도 마련해야 한다.
진흥법 제정의 소기 목적은 미래부 노력만으로 달성되는 건 아니다. 공공부문 수요 창출과 연관된 유관 부처 협력과 공조는 필수다. 정부 부처 간 효과적 공조 체계 구축이 절실하다.
우리나라 정보보호 기업이 글로벌 기업으로 발돋움할 수 있는 법적 기반은 마련됐다. 이제는 이를 현실화할 수 있는 기업과 정부의 강력한 노력과 투자가 뒷받침돼야 한다.
염흥열 순천향대학교 정보보호학과 교수 hyyoum@sch.ac.kr