[ET단상]디지털플랫폼정부와 제로 트러스트 보안

이무성 엠엘소프트 대표
이무성 엠엘소프트 대표

윤석열 정부가 중점 국정 추진 과제 중 하나인 디지털플랫폼정부(디플정) 실현 계획을 수립·추진하고 있다. 초거대 인공지능(AI) 기반으로 정부24와는 확연히 다른 차원의 대국민 서비스를 하겠다는 의지가 컸다. 그동안 우리가 정보기술(IT) 강국 실현을 위해 달려왔던 4차 산업혁명의 새로운 신호탄 역할을 할 것으로 기대된다.

우리가 개선·개혁 대신 혁명이라는 용어를 쓰는 것은 그만큼 중요하고 파급효과가 크면서 시급하기 때문이다. 혁명은 기존 관습·제도·체계 패러다임을 새로운 질서와 체계로 전환한다는 의미가 있다. 기존 체계와 충돌되기도 하지만 얼마나 슬기롭게 대처하느냐가 혁명 성패를 결정한다.

큰 흐름으로 보면 충돌은 불가피하므로 선제 수용하면서 대응을 잘한 국가와 기업이 세계를 선도해왔다. 감전 위험 때문에 2차 산업혁명 시기 전기를 안 쓸 수 없고 정보유출 위험성 때문에 3차 산업혁명 시기 인터넷을 안 쓸 수 없듯이, 윤리와 인간성 위험 문제로 4차 산업혁명에서 AI를 배제할 수는 없다.

디플정이 성공하기 위해선 사이버 보안 역할이 매우 크다. 지능화 시대 보안은 정보화 시대 경계형 보안관 다르게 제로 트러스트 기반으로 보안 체계를 구축할 수밖에 없다. 제로 트러스트는 클라우드·빅데이터 그리고 AI를 구현하는 데 필수다. 정부 보안 체계를 큰 틀에서 바꾸는 건 쉽지 않지만 패러다임 전환이 필요한 때이며 시기와 기회를 놓쳐선 안 된다. 초거대 AI 기반 서비스도 사이버 보안이란 주춧돌과 대들보가 튼튼해야 그 위에 안전하게 구축하고 편의성을 최대로 높일 수 있다.

보안과 편의성을 대척 관계로 보는 건 보편적 통념이나 제로 트러스트는 보안성과 편의성을 동시에 만족하는 새로운 보안 체계로써, 이번 디플정이 채택한 것은 고무적이다. 하지만 제로 트러스트 보안을 오는 2025년 성숙 단계부터 적용하겠다는 일정에 대해 아쉬움이 남는다. 제로 트러스트 보안 실증사례가 많지 않아 시장에서 검증이 부족하다 보니 정부에서 실제 업무에 적용하기엔 솔루션 부족과 리스크가 있을 것이다. 따라서 제로 트러스트 보안을 정부가 앞당겨 적용할 수 있도록 민간이 주도해 실증 사례를 만들고 시장을 창출해 나가야 한다.

디지털정부에서 가장 중요한 것은 데이터다. 개인정보를 안전하고 편리하게 사용하기 위해선 데이터 보안등급에 기반한 보안 체계 틀이 무엇보다 중요하다. 미국은 20년 전에 제로 트러스트 개념을 국방성에서 GIG(Global Information Grid) 프로젝트로 시작했으며, 10년 전 민간 단체인 CSA(Cloud Security Alliance)는 클라우드 환경에서 최적의 보안 체계로 제로 트러스트를 채택했다. 3년 전엔 미국 상무부 산하 국가정보표준연구소(NIST)가 제로 트러스트 표준을 발표한 바 있다. 바이든 행정부는 모든 연방정부가 제로 트러스트 성숙 모델을 기반으로 사이버 보안 현대화를 2024년 9월 말까지 완료하라고 지시했다. 각 부처는 각자 상황에 맞는 추진 전략을 세워 적극 이행하고 있다.

이제 사이버보안은 단순한 정보보호 수준을 넘어 한순간 국가 기능을 마비시킬 수도 있는 대테러 차원으로 격상해서 대처해야 할 사안이다. 정보화와 지능화 수준이 높아질수록 사이버 보안은 선택이 아니라 필수이며 정책 최우선 순위로 검토해야 한다.

사이버 공격은 시간을 정해 주고 공격하지 않는다. 올해 초 금융 보안 인증 해킹은 북한 소행으로 판명됐다. 금전 탈취 목적보다는 전방위적인 디도스(DDoS) 공격을 위한 준비라는 데 무게를 두고 있다. DDoS뿐만 아니라 국가나 기업 존망까지 거론되는 랜섬웨어 등 수많은 위협에 제로 트러스트가 대안으로 인식되고 있다.

유사 이래 국방과 경제 강국이 세계를 이끌어 갔듯이 디플정이 디지털국방과 디지털경제 견인차 역할을 해주길 바란다. 사이버보안 핵심인 제로 트러스트와 소프트웨어 공급망(SBoM) 체계에 선제 대응해 디플정이 꼭 성공하기를 바란다.

이무성 엠엘소프트 대표 musso@mlsoft.com