“2026년부터 전 국가·공공기관을 대상으로 한국형(K) 제로 트러스트를 적용하겠습니다.”
백종욱 국가정보원 3차장은 19일 경기도 성남시 국가사이버안보협력센터에서 열린 기자간담회에서 “K-제로 트러스트 보안정책을 2024년부터 부처별로 시범 적용하겠다”면서 이 같이 밝혔다.
제로 트러스트는 '결코 신뢰하지 말고, 항상 검증하라'(Never trust, Always verify)는 핵심 철학을 바탕으로 기존 경계형 보안 체계를 보완하는 개념이다. 국정원은 지난해 8월부터 K-제로 트러스트 구축을 국정과제로 채택, K-제로 트러스트 아키텍처와 가이드라인 개발에 착수했다. 2024년까지 K-제로 트러스트 개발을 마치면 1년여간 시범 적용을 거친 후 범정부로 확대할 계획이다.
국가사이버안보센터장은 “과학기술정보통신부의 제로 트러스트 가이드라인이 산업 활성화 차원이라면, 국정원은 보안 정책을 다룬다”면서 “국정원의 가이드라인이 나오면 정부·공공기관에 구속력과 실행력을 갖게 된다”고 말했다.
국정원이 정부 부처에 제로 트러스트를 적용하는 등 사이버 안보 강화를 서두르는 것은 사이버 위협이 날로 커지고 있기 때문이다. 국정원이 자체 조사한 상반기 사이버위협 실태에 따르면, 글로벌 해킹사고의 절반 이상(59%)을 북한·중국·러시아가 차지했다. 북한은 한국·미국을 비롯해 30여개국을 공격했는데, 정보절취·금전탈취가 주목적이었다.
국가 배후 해킹 조직이나 국제 해킹 그룹이 한국을 공격 타깃으로 삼는 사례도 크게 늘고 있다. 올해 상반기 일일 평균 사이버 공격 시도는 137만여건으로 전년 동기 대비 15%나 증가했다. 이 중 북한 연계 조직이 70%로 가장 많았다. 이어 중국 연계 조직(4%), 러시아 연계 조직(2%) 순이었다.
국정원은 북한 정보기술(IT) 인력이 에너지 분야 국내 기업 해외지사에 위장취업을 시도한 정황도 포착했다. 북한 IT인력은 국내 회사에 취업하기 위해 여권과 졸업증명서를 위조했다. 온라인 구직 플랫폼에도 허위이력을 기재해 인사 담당자가 진위여부를 분간하기 어려웠다. 또 북한이 우리나라 일반 국민의 신용카드 정보 1000여건을 탈취하는 등 불특정 다수를 대상으로 해킹 공격도 늘고 있다.
중국 연계 조직의 사이버 위협도 커지고 있다. 지난달 국내 기관에 판매한 중국산 계측장비에서 악성코드가 발견됐다. 이는 중국산 제품에서 악성코드가 발견된 최초 사례다. 국정원은 관계기관 합동으로 폐쇄회로(CC)TV 등 유사 장비에 대한 전수 조사를 진행하고 있다. 지난 4월엔 중국 연계 조직이 우리나라 정부기관 용역사업을 수행 중인 민간 업체를 해킹해 내부망 침투를 시도하기도 했다.
국정원은 공공기관 정보보안 관리실태 평가 결과를 발표했다. 올해 1~4월 공기업 36개·준정부 기관 57개·중소형 기관 37개 등 130개 기관을 대상으로 평가했다. 그 결과, 한국전력공사, 한국수력원자력, 한국서부발전 등 발전5개사 등 7개사가 우수 등급을 받았다. 보통 등급엔 강원랜드, 한국공항공사, 한국마사회 등 22개사가 이름을 올렸다. 한국철도공사, 한국토지주택공사 등 7개사는 미흡 평가를 받았다.
국정원이 지난해 11월 입법 예고한 '국가사이버안보기본법' 제정안은 수정 작업을 벌이고 있다. 한·미 사이버 안보협력 강화, 공세적 전략 등 변화한 환경을 반영하기 위해서다.
백 차장은 “미국의 국가사이버안보 전략을 보면 해킹 조직을 와해하는 등 공세적이고 적극적으로 전략을 변경했다”면서 “실질적 국가와 국민 안전을 위해 적극적인 업무를 할 수 있도록 여러 전문가와 논의하고 있다”고 말했다.
조재학 기자 2jh@etnews.com
