[데스크가 만났습니다]이원태 KISA 원장 "보안 위협, 국민 재산·생명에 직접적 영향…대응 역량 키우겠다"

이원태 한국인터넷진흥원장. 김민수기자 mskim@etnews.com

“전통 산업이 자율주행, 스마트팩토리 등 융합 산업으로 진화하면서 산업 전 영역에서 보안 위협이 커지고 있습니다. 보안 위협이 국민 재산과 생명에 직접적 영향을 끼치는 가운데 우리가 이에 대응할 역량이 있는지 냉정하게 판단하고 역할을 재정립해야 합니다.”

이원태 한국인터넷진흥원(KISA) 원장은 코로나19 사태가 불러온 디지털 전환 속 KISA 역할이 이전과 다른 수준으로 커졌다고 말했다. 보안 위협이 일상으로 확대된 가운데 'K-사이버방역' 추진 전략을 통해 촘촘한 대응 체계를 세워 국민과 중소기업의 피해가 없도록 하겠다는 포부다.

지난 1월 KISA 제6대 원장으로 취임한 뒤 보안 패러다임 전환과 기관 내·외부 혁신을 이끌고 있는 이 원장을 만나 사업 계획과 목표를 들어봤다.

이원태 KISA 원장(왼쪽)과 이호준 전자신문 ICT융합부장

대담=이호준 ICT융합부장

-취임 이후 첫 언론 인터뷰다. 국민에게 전하는 소감과 포부는.

▲정보기술(IT) 정책 연구자로서 KISA가 가진 태생적 한계를 극복하고 성격을 변화시키는 데 기여하고 싶다는 생각을 많이 한다. 취임 이후 밖에서 보는 것, 일반 전문가가 모르는 것을 많이 알게 됐고 모두 해결해야 하는 난제로 주어졌다. 과제를 잘 풀어서 KISA를 명실상부 최고 정보보호 기관으로 만들고자 한다.

KISA는 현재 큰 도전에 직면했다. 코로나19로 인해 비대면 서비스가 일반화하면서 디지털 대전환이 선택이 아닌 필수가 됐다. 이에 따라 사이버 위협도 전면화했다. 예전에는 사이버 위협이 특정 시기에 일어나는 사건 정도로 인식됐다. KISA는 전면화한 위협에 대응하고 도전을 극복해야 하는 큰 숙제를 안았다. 이런 시기에 KISA 일원이자 기관장으로서 무거운 책임을 느낀다. 도전을 이겨내고 지속 가능한 기관으로 KISA를 발전시키는 것이 목표다.

-취임한 지 약 두 달 지났다. 취임 전과 비교해 KISA에 대해 바뀐 생각이나 새롭게 파악한 문제가 있는지.

▲KISA는 기본적으로 사이버 위협에 대응하는 최후의 보루, 안전핀 같은 곳으로만 생각했다. 취임 이후에는 정보보호 위협을 24시간 모니터링하는, 사이버 위협의 최일선 전사 같은 조직이라고 생각하게 됐다. 원장으로서 침해사고에 관한 사후적 보고도 받지만 24시간 사이버위협을 모니터링한 결과를 지속적으로 보고 받는다. 이로 인해 매 순간 긴장감을 갖게 되고 KISA가 단순한 공공기관이 아니라고 느끼게 된다. 사이버보안을 넘어 정보보호 산업을 일으키는 주춧돌 역할도 한다. 정보보호 산업 활성화와 육성에 KISA가 중요한 매개자 역할을 한다.

코로나19 이후 KISA의 할 일이 늘었다. KISA는 애초 이질적 기관이 통폐합되면서 만들어지다 보니 상당히 복잡한 업무 구조를 갖고 있다. 규제와 진흥 업무를 동시에 수행하기 때문에 일각에서는 상충하는 업무가 아니냐는 질문을 많이 받는다. 한 쪽을 포기하고 한 쪽만 할 것이냐. 이런 구도로 봐야 할 문제가 아니다. 규제와 진흥을 동시에 추진하면서 상호 보완하는 것이 KISA가 해야 할 일이다. 업무 구조를 통합적으로 재편하면 정보보호와 인터넷 활성화라는 두 마리 토끼를 다 잡을 수 있다. 여러 부처 간 균형점도 잡아줄 수 있다.

-우리나라 사이버보안 강점과 단점은 무엇이라고 생각하나.

▲IT 정책 연구자로서 새로운 지능정보사회로 나아가는 과정에서 사이버보안이 필수 요소가 될 것이라고 판단했다. 코로나19 이후 사이버보안은 IT 정책 핵심 가치로 급부상하고 있다. 신뢰 기반 디지털 경제, 데이터 경제를 만들기 위해 사이버보안은 가장 중요한 원칙이자 시대 정신이 됐다.

우리나라는 국가 정보화 순위로 보면 상위 10개국 안에 들 만큼 우수한 인프라를 갖고 있다. 이는 보안 측면에서 볼 때 강점이자 약점이다. 해커에게 우리나라 사이버 환경은 공격을 시험해보기 좋은 환경이다. 어떤 시도는 우리나라 경제에 심각한 타격을 줄 수도 있다. 다양한 보안사고가 발생할 가능성이 많다는 건 우려스러운 점이다.

2009년 7·7 디도스 대란, 2013년 3·20과 6·25 사이버공격 등 다른 나라에서 경험하지 못한 대형 해킹사고에 대응해본 경험을 축적했다는 건 우리나라만이 가진 강점이다. 실전 경험은 그 어떤 교육 훈련보다 강한 효과가 있다. 유사한 사고가 발생할 때 신속하게 대응할 수 있다.

국내 사이버보안은 사후적 대응에 기울어진 경향이 있고 선제적 대응 체계가 미흡하다는 점은 약점이다. 약점을 극복하려면 '시큐리티 바이 디자인', 즉 기획과 설계 단계에서부터 서비스가 확산하는 전 과정에 보안을 내재화하는 정책과 사업이 필요하다. 하드웨어(HW)를 완성한 뒤 사후 보안을 확인하는 것을 넘어 소프트웨어(SW) 개발·설계 단계부터 생애 전주기적 보안 내재화가 필요하다.

-취임사에서 '극세척도(많은 어려움에도 불구하고 이를 극복하고 새 길을 개척한다)'라는 사자성어를 인용했다. 현재 우리나라 사이버보안이 그만큼 어려운 상황이라는 의미로 읽힌다. 우리나라 사이버보안에 대한 진단과 이를 위한 KISA 역할을 정의한다면.

▲KISA가 처한 여러 가지 어려움을 극복하는 데 있어 이 사자성어가 적합하다고 봤다. 코로나19로 모바일, 온라인 쇼핑 등 비대면 서비스가 뉴노멀이 됐다. 사이버위협은 일상 생활로 들어왔다. 언제 어디서나, 누구에게나 사이버위협이 끼친다는 의미다. 이제 KISA는 기존에 수행하던 컨설팅 중심 사업을 넘어 개인화한 미디어 환경까지 염두에 둬야 한다.

사이버위협 경계가 사라지고 있다. 공과 사, 공급자와 이용자, 경계가 없어지고 있다. 일반 이용자 개인도 사이버위협에 대응할 수 있어야 한다. 사이버위협은 일상적, 상시적으로 발생하기 때문에 개개인이 정보 주체가 돼야 한다. 버겁지만 KISA에 큰 과제다. 시설 중심의 사이버 위협이 이제는 모든 곳으로, 특정하기 어려울 정도로 모든 장소에 미치고 있다.

-보안 패러다임 전환, 디지털 국가 경쟁력 제고를 강조했다. 구체적 사업 계획이 있나.

▲융합보안과 관련해서 원주 디지털 헬스케어 보안 리빙랩이 대표적 예다. 보안 리빙랩은 디지털 헬스케어를 포함한 5개 핵심 사업에 보안 내재화를 지원한다. 사전에 보안성을 확인해서 부작용이 나타나지 않게 만들고 일상적으로 보안 위협을 확인한다.

융합보안 분야 우수 적용 사례를 발굴해 올해 200개 산업 현장에 배포·적용할 계획이다. 산업 현장 전반에는 이르면 내년에 보급할 예정이다. 보안 리빙랩과 AI 기반 침해대응 체계도 고도화할 것이다. AI 기술을 악용한 사이버 공격에는 AI로 대응해야 한다. AI 기반 프로파일링 기법을 활용해 침해사고 대응을 넘어 데이터를 축적하고 위협을 종합 분석하는 체계를 구축하려고 한다. 빅데이터로 사전 분석과 대응을 강화하는 것이다.

전국적 디지털 안전망도 확보하고자 한다. 지금까지 사이버보안은 수도권 중심이었지만 코로나19 이후 디지털 전면화로 지역 기업과 기관은 더욱 취약해졌다. 사이버 침해 피해 98%는 중소기업에서 발생하며 중소기업 80%는 지역에 있다. 중소기업 침해사고를 막지 않으면 침해된 중소기업이 대기업 해킹을 위한 감염 경로, 숙주가 될 위험이 있다. 전국 원스톱 침해 대응 체계를 통해 지역과 중소기업 단위로 촘촘한 디지털 안전망을 갖추는 작업을 하고 있다.

-클라우드, AI 등 신기술 발전에 따른 보안 인증 등 정부 규제가 따라오지 못한다는 지적이 있다. 대응 방안은.

▲클라우드 보안 인증 제도는 국가 공공기관이 민간 서비스를 안전하게 이용할 수 있도록 하기 위한 최소한의 안전 장치다. 민간에서 개발된 신기술이 빠르게 적용돼 기술 발전과 기업 경쟁력 확보에 도움이 되도록 지원이 필요한 부분은 공감한다. 그러나 안전성이 검증되지 않은 백신을 국민에게 접종할 수 없듯이 공공 보안 정책도 신중한 접근이 필요하기 때문에 다소 시간이 소요된다. 공공 보안 정책 준수 여부 등을 확인해야 하는 클라우드 보안 인증 제도도 신기술 발전 속도를 따라가는데 한계가 있을 수밖에 없다.

다만 최근 진행 중인 전 국민 코로나 백신 접종과 같이 공공 보안 정책 개선을 위해 관계부처와 지속적으로 노력 중이다. 코로나 백신의 경우 기존 검증 체계에서 볼 때 다소 미흡할 수 있으나 안전성을 확인하고 긴급사용을 허용한 것과 같이 신기술 발전 상황 등을 종합적으로 고려한 공공 보안 정책 개선을 검토하고 있다.

-디지털 뉴딜 정책과 관련해 'K-사이버방역'이 화두다. 국내 중소기업 전체 수와 비교해 정책, 예산 등이 턱없이 부족하다는 지적도 있다. 이에 대한 생각은.

▲디지털 뉴딜에 대규모 예산이 책정돼서 화제가 됐지만 중소기업 관련 정보보호 예산은 여전히 부족하다고 생각한다. 세계경제포럼(WEF) 예측에 따르면 올해 사이버공격에 의한 피해 규모는 6조달러(약 7200조원)로 세계 3위 국가 GDP 수준이다. 지난해 세계 사이버보안 시장 규모는 1522억달러(약171조원)이었다. 이 가운데 한국 정보보호산업 규모는 3조9000억원으로 2.2% 수준에 그쳤다. 물리보안 시장을 합쳐도 11조9000억원에 불과하다. 국내 정보보호 기업은 총 1283개로 이 가운데 75.7%가 자본금 10억원 미만의 영세기업이다.

KISA는 과기정통부와 함께 'K-사이버방역' 추진 전략을 통해 오는 2023년까지 총 6700억원을 투자할 계획이다. 다소 부족하지만 이번 사업을 계기로 필요성과 공감대가 확산되고 정보보호 분야 투자가 확충될 것이라고 예상한다.

-임기 동안 달성하려는 사업과 목표는 무엇인지.

▲KISA가 보유한 전문 역량과 정책 기능 강화를 바탕으로 국가·국민 안전을 확보하고 산업 경제 활성화 기반을 조성해 정보보호와 디지털 분야 세계 최고 전문기관으로 성장시킬 것이다. 거시적 관점에서 기관 비전과 역할을 재정립해 정부 정보보호 관련 국가 전략 수립에 기여하는 범부처 지원기관이자 국내·외 최고 정보보호 전문기관으로 재도약하는 발판을 마련하고자 한다.

사이버위협은 꾸준히 지능화하고 있으며 코로나 이후 대상도 일상으로 확대되어 완벽한 피해 예방이 어려워졌다. 이에 대응하기 위해 '리질리언스(회복력)'의 관점에서 평상시 보안 역량과 위협에 대한 면역력을 키우는 것이 중요하다. 정보보호 소외가 발생하지 않도록 지역과 개인, 기업 간 정보보호 수준 격차를 해소하고 안전하고 신뢰받는 사회로 이끌 것이다.

지역 공공기관으로서 역할도 다시 세울 것이다. 광주와 전남에 지역 밀착형 정보보호·디지털 혁신 사례 창출 프로젝트 추진 등 지역 단위 사이버보안 지원체계를 강화하려고 한다. 특히 지역 영세·중소기업 사이버보안 역량 강화 지원 체계를 전국화함에 있어 광주와 전남을 중요한 거점 지역으로 만들 것이다.

○이원태 KISA 원장은…

풍생고등학교를 나와 서강대에서 정치외교학을 전공하고 같은 대학에서 정치학(정치커뮤니케이션)으로 박사학위를 받았다. 2007년부터 10여년 이상 정보통신정책연구원에서 ICT 기반 국가 미래 전략, 국가 정보화 전략, ICT 인문 사회 융합 연구, 디지털 사회 정책, AI 윤리 등 4차 산업혁명 법제도, 이용자 보호, 개인정보보호 등 다양한 정책 연구를 수행했다.

'4차 산업혁명과 한국의 미래전략' '인공지능의 규범 이슈와 정책적 시사점' '재난대응 패러다임 변화에 따른 ICT의 역할 및 정책적 시사점' 등 다수 논문과 저서를 집필했다. 2017년 사이버커뮤니케이션학회 부회장, 2018년 한국인터넷윤리학회 부회장, 2019년 한국인공지능법학회 부회장, 2020년 개인정보보호위원회 제도혁신단 자문위원 등을 역임하면서 민·관·학 협력 네트워크를 형성하는 데 기여했다. 2019년에는 지능정보사회 규범에 대한 선도적 연구와 정책 공론화 과정에서 국가 발전에 기여한 공을 인정받아 국무총리 표창을 수상했다. 2021년 1월부터 한국인터넷진흥원 원장을 맡고 있다.

정리=오다인기자 ohdain@etnews.com

사진=김민수기자 mskim@etnews.com