오는 29일부터 31일까지 경기 일산 킨텍스에서 '세계보안엑스포'와 '전자정부 정보보호 솔루션 페어'(SECON & eGISEC)가 열린다. 'SECON & eGISEC'은 물리보안과 사이버보안 모두를 아우르는 세계에서 유일한 통합 보안전시회다. 각각 올해로 22주년과 11주년을 맞는다. 전시회 운영을 책임진 이기주 'SECON & eGISEC' 조직위원회 위원장을 만나 올해 전시회와 콘퍼런스의 특징과 글로벌 보안시장의 흐름을 들어봤다.
-'세계보안엑스포'와 '전자정부 정보보호 솔루션 페어'에 대해 소개해달라.
▲올해 전시회는 국내외 보안기업과 시장의 흐름을 한 자리에서 볼 수 있는 좋은 기회다.
'SECON & eGISEC'은 물리보안과 사이버보안 모두를 아우르는 세계에서 유일한 통합 보안전시회다. 각각 올해로 22주년과 11주년을 맞는다.
해외 유명 보안 전시회로 꼽히는 영국 입섹(IFSEC)과 미국의 아이에스씨(ISC)는 폐쇄회로(CC) TV와 출입통제, 사회안전 솔루션 등 물리보안 중심이고 미국의 알에스에이(RSA)나 블랙햇(BlackHat)은 사이버보안 위주로 전시된다. 이를 통합한 전시회는 'SECON & eGISEC'이 유일하다.
특히 최근 패러다임이 사이버보안과 물리보안을 넘어 융복합되는 만큼 영국과 미국에서도 우리 전시회를 벤치마킹하고 있다. 아울러 우리나라의 눈부신 정보기술(IT) 발전 속도에 맞춰 메타버스와 인공지능, 빅데이터 등 최신 IT 환경 변화에 따른 보안 분야 전반의 트렌드와 신기술을 한자리에서 확인할 수 있다.
-전시회의 참여 규모는 어느 정도인가.
▲이달 29일부터 31일까지 열리는 이번 전시회는 총 350여개 국내외 보안기업이 1200여개의 부스 규모로 참여한다. 일산 킨텍스의 넓은 전시장을 국내외 업체들이 가득 채우게 된다. 특히 코로나19 이후 처음으로 해외 12개국에서 보안, 안전, 국방 관계자들이 직접 참가할 예정이어서 우리 안방에서 세계 보안시장의 흐름을 한눈에 파악할 수 있다. 또 4만명의 관람객이 찾을 것으로 기대한다.
-콘퍼런스는 어떻게 운영되나.
▲행정안전부가 주최하는 '전자정부 정보보호 콘퍼런스' 'CCTV 통합관제 콘퍼런스 2023'을 비롯해 개인정보보호위원회가 주최하는 '2023년 1차 개인정보보호최고책임자(CPO) 워크숍', 그리고 과학기술정보통신부가 주최하는 '물리보안 통합플랫폼 콘퍼런스'는 물론, '대테러 콘퍼런스' '항공보안 심포지엄' 등 다양한 프로그램이 진행된다.
최근 가장 뜨거운 이슈인 챗GPT를 활용한 사물인터넷(IoT)기기 해킹 시연과 양자컴퓨터를 활용한 기존 암호 해킹 시연을 현장에서 직접 선보일 예정이다. 또 지난해부터 준비한 국내외 주요 안티바이이스 백신 프로그램 성능평가 결과가 이번 행사 기간에 발표된다.
-국내외 보안기업 상황은 어떠한가.
▲지난해 사이버보안시장은 코로나19 팬데믹이 불러온 비대면 이슈와 이로 인한 재택·원격근무의 확산, 그리고 공공과 기업의 디지털 전환에 따른 투자 등의 수혜를 입어 큰 성장을 이뤘다. 지난 2020년부터 본격적으로 시작된 팬데믹이 오히려 보안기업에 기회가 된 셈이다.
보안시장, 특히 사이버보안시장의 기록적인 성장은 팬데믹을 기점으로 기업·기관의 급격한 디지털전환과 그에 따른 클라우드 시장의 성장, 대기업조차 예외일 수 없는 사이버공격의 증가와 러시아와 우크라이나 전쟁에서 불거진 사이버 전쟁의 중요성 등 사이버보안을 필요로 하는 환경의 대두에 따른 것으로 분석된다.
-글로벌 보안시장의 핵심 이슈는 무엇인가.
▲'제로 트러스트'와 '공급망 보안'이다.
'제로 트러스트'는 지난 1994년 처음 등장한 단어다. '아무것도 믿지 말라'는 의미다. 초기에는 보안기업의 마케팅 용어이자 하나의 솔루션으로 소개됐지만 미국표준기술연구소(NIST)가 2020년 8월 보고서에서 '제로 트러스트 아키텍처'를 소개하면서 보안원칙으로 자리잡았다.
공급망 보안은 연이어 발생한 '공급망 공격'에 대응할 수 있는 방법이다. 공급망은 소프트웨어(SW) 개발부터 배포, 설치 유지보수에 이르는 모든 과정이다. 공격자가 공급망의 과정에 개입해 변조된 SW를 사용자의 시스템에 전달하도록 하는 것을 공급망 공격이라고 한다. 대표적인 공급망 공격 사건으로 2020년 12월 발생한 미국의 '솔라윈즈 공격'이 있다.
-두 이슈는 어떤 의미가 있는지.
▲두 가지 트렌드는 미국 정부를 중심으로 체계를 갖추고, 영국 등이 보조를 맞추고 있다.
우리나라 역시 2022년 10월 '제로 트러스트·공급망 보안 포럼'을 발족하고 기존 보안체계의 한계를 뛰어넘는 새로운 보안체계 마련에 나섰다. 결국 제로 트러스트와 공급망 보안은 산업계 전반에서 진행되는 디지털 전환 과정에서 '보안'을 기반 인프라로 설계하는 체질 개선이 핵심이라는 점이 부각되는 계기가 될 것이다.
또 한 가지는 최근 미국 정부가 발표한 '국가사이버보안전략'이 보안에 있어서 새로운 기준이 될 수 있다는 점이다. 국가사이버보안전략의 핵심은 결국 SW 제품을 개발하는 주체에 좀 더 많은 책임을 부여하고 사회기반시설에 적용된 최소한의 사이버보안 필수사항을 새롭게 규정한 것이다. 무엇보다 사이버보안의 책임을 재분배할 필요가 있다. 이를 위해 산업, 민간단체, 정부 및 공공기관, 지역사회의 협업을 강조하고 있다는 점도 눈여겨볼 대목이다.
-그동안 전시회를 통해 얻은 성과는 어떤 게 있나.
▲2001년 국내 최초로 보안전시회를 개최해 이제는 명실상부한 세계적인 전시회로 자리매김 했다.
다른 산업 분야도 마찬가지지만 보안기업들이 해외시장 진출을 위해서 해외 유수 전시회를 참가하며 많은 시간과 비용을 들이는 것이 현실이다. 'SECON & eGISEC' 조직위원회에서는 해외 바이어들이 우리 전시회에 참관해 한자리에서 국내 기업들과 솔루션을 경험할 수 있도록 하는 전시회를 만드는 것을 최우선 과제로 추진해왔다. 그러기 위해서 세계 최대 MICE 그룹인 인포마그룹(Informa Group)의 해외 네트워크를 통해 국내 기업의 해외 진출과 글로벌 비즈니스를 지원하고 있다.
-보안산업 전망은 어떻고 우리 보안기업은 어떻게 대응해야 하나.
▲러시아-우크라이나 전쟁으로 사이버안보 이슈가 현실화되면서 패러다임이 바뀌고 있다. 5G와 6G로 인해 사이버보안은 물론 물리보안, 나아가 국방에도 다양한 이슈가 논의된다. 드론과 도심항공교통(UAM)이 도심교통의 게임체인저로 부각되면서, 이에 대한 안전과 보안문제가 동시에 제기되고 있다. 이제는 현실화를 목전에 두고 있는 자율주행차와 뒤를 잇는 자율주행 선박도 마찬가지다.
새로운 보안 패러다임은 사이버보안과 물리보안을 넘어 하나의 '보안'으로 융복합되고 있다. 때문에 우리 보안기업은 이러한 변화에 발맞춰 제품을 개발해야 한다. 아울러 통신, 교통, 안전, 우주 등 분야별로 보안 강화 대책을 준비해야 할 때라는 점에서 보안기업의 향후 역할은 더욱 커질 것으로 보인다.
-보안산업 육성을 위한 정부와 공공기관의 역할은 무엇인가.
▲우리 정부는 '대한민국 디지털 전략'을 통해 사이버보안 10만 인재 양성, 억제·보호·탐지·대응 등 4대 방어기술 개발, 사이버보안 및 개인정보보호 대학원 확대 등 사이버보안 분야를 바탕으로 한 디지털 인재 양성에 대한 세부 전략을 발표한 바 있다. 아울러 사이버보안의 전략산업화를 통해 5년 내 20조원의 매출액을 달성하겠다는 방침을 세웠다.
정부와 공공기관은 이러한 계획을 구체적으로 실현해 성과를 낼 수 있도록 노력해야 한다. 특히 업계에서 요구하는 고급 인재 양성과 해킹은 물론, 보안솔루션을 개발할 수 있는 개발자 양성에도 힘을 쏟기를 바란다. 또 기업과 기관의 보안을 책임질 수 있는 정보보호최고책임자(CISO) 양성에도 초점을 맞춰야 한다.
더불어 중소 보안업체를 지원하는 프로그램이 마련됐으면 한다. 이를테면 솔루션 등 소프트웨어 개발을 통한 제품 경쟁력 향상, 인증 절차의 간소화, 해외 수출 교육 및 절차 간소화 등 보안 산업의 활성화를 위한 다양한 지원 조치가 이루어졌으면 하는 바람이다.
-공직에 있을 당시 기억에 남는 일이 있다면.
▲한국인터넷진흥원(KISA) 원장을 맡던 2013년에 3·20 사이버테러가 터졌다. 일주일 동안 현장에서 사태를 수습하고 직접 체험하면서 보안이 얼마나 중요하고 어려운 일인지 절실하게 깨달았다. 2014년 최악의 개인정보 유출사건으로 기록된 카드 3사 개인정보 유출사건은 그간 개인정보 관리가 얼마나 허술했는지 절실히 깨닫게 됐다. 유관 정부부처와 함께 이에 대응하기 위한 각종 조치를 마련해 시행하기도 했다.
방송통신위원회 상임위원 시절에는 개인정보 유출사고가 발생한 기업에 대한 조사나 제재를 하면서 사고를 당한 기업 상당수가 예산·조직 확대 및 정보보호관리체계(ISMS) 인증 취득 등 그간 많은 노력을 기울여 왔지만 어려움을 당한 것을 보면서 고민이 많았다.
이를 기회로 지금은 보안 기업과 CISO들의 고충과 책임을 조금이라도 덜어줄 수 있는 방법을 계속 연구하고 있다.
○…이기주 위원장은
고려대 행정학과를 졸업하고 행정고시 25회로 공직에 입문했다. 정보통신부(현 과학기술정보통신부)에서 초고속망과장, 통신기획과장, 전파방송기획단장, 통신전파방송정책본부장 등을 지냈다. 2008년부터는 방송통신위원회으로 옮겨 이용자네트워크국장, 기획조정실장 등을 역임했다. 이후 2010년 공직에서 떠났지만 2012년 한국인터넷진흥원(KISA) 원장과 2014년 방송통신위원회 상임위원으로 다시 공직과 인연을 맺었다. 현재는 사단법인 한국정보보호최고책임자협의회장과 김앤장법률사무소 고문을 맡고 있다
이경민기자 kmlee@etnews.com
사진=이동근기자 foto@etnews.com