디지털 전환(DX) 가속화와 러시아-우크라이나 전쟁 등으로 인해 사이버 안보 중요성이 커지면서 해외 주요국은 정보보호 투자를 아끼지 않고 있다. 특히 제로 트러스트 도입, 소프트웨어(SW) 공급망, 인공지능(AI) 등에 집중적으로 투자할 예정이다. 또 거버넌스를 강화하면서 사이버 안보 강화 정책을 힘 있게 밀어붙이고 있다.
◇美, 내년 민간 사이버보안 예산 13.7%↑
미국은 2021년 5월 발표한 행정명령(국가 사이버보안 개선)에 따라 일찌감치 패러다임 전환에 나섰다. 연방 시스템 보호 강화, 정부-민간 간 정보공유 개선, 사이버보안 역량 강화 등이 골자다. 바이든 행정부가 지난 3월 발표한 '새로운 국가 사이버 보안 전략'에선 기술생태계 보안과 탄력성 확보, 회복력 등이 핵심 키워드다. 구체적으로 SW 공급망 보안 강화, 글로벌 상호운용성과 표준 촉진, 양자정보시스템 및 AI를 포함한 컴퓨팅 기술 등에 중점을 뒀다.
이를 뒷받침할 사이버보안 투자도 대폭 확대했다. 국방 부문을 제외한 민간 부문 사이버보안 활동 관련 2024년 회계연도 지출은 전년 대비 13.7% 증가한 약 127억달러(약 16조9000억원) 규모로 예상된다. 특히 보호(Protect) 부문 예산이 가장 많으며 증가율도 15.2%에 이른다. 이는 제로 트러스트 구현 등과 관련이 깊다. 제로 트러스트는 '결코 신뢰하지 말고, 항상 검증하라'는 핵심 철학을 바탕으로, 기존 경계형 보안 체계를 보완하는 개념이다. 미국 연방정부는 시스템 방어력 향상을 위해 시스템 접근자에 대한 신뢰를 지속적으로 평가하는 제로 트러스트를 내년까지 구현한다는 목표다.
관리예산국(OMB)과 국가사이버 국장실(ONCD)이 공동 검토한 사이버투자 우선순위를 살펴봐도, 정부 네트워크 방어와 복원력 개선, 중요 인프라 방어를 위한 교차 부문 협력 강화 등에 힘을 주고 있다.
특히 미국은 대통령을 최고 책임자로 하고, 국가안전보장회의(NSC) 감독 아래 국가사이버국장실(ONCD)이 사이버 보안 전략과 이행계획을 수립한다. 사이버 안보 강화를 이끌어 갈 거버넌스를 갖춰놓은 것이다.
◇EU, 러-우 사이버전 확대에 사이버 보안 강화
유럽연합(EU)은 러시아-우크라이나 전쟁을 기점으로 사이버보안 정책을 강화하고 있다. 러-우 전쟁이 사이버전으로 확대하면서 우크라이나 기반 시설이 랜섬웨어 등 사이버 공격에 표적이 됐다. EU는 국가 간 중요 인프라 연결성이 높아 사이버 공격 확산에 위협을 느낄 수밖에 없다.
EU는 대다수 인프라에 정보기술(IT)이 적용돼 있어 잠재적 사이버 공격 고위험군에 포함, 제로 트러스트 도입으로 네트워크 방어와 복원력을 확보한다는 계획이다. 또 에너지·운송·우주 등 국가 중요 인프라에 한해 사이버공간 안전을 물리적 공간과 동등한 수준으로 보호해야 한다고 보고 대비책을 준비하고 있다.
EU는 사이버보안 역량 개선을 목표로 올해에 이어 내년에도 사이버보안 플랫폼과 보안위협 모니터링 시스템 개발을 우선순위 상단에 뒀다. 또 인증, AI, 양자 이후 암호화 등 차세대 보안 기술 확보에도 투자한다.
특히 올해 1월부터 2년간 560만유로(약 80억원)를 들여 디지털 의료기기의 사이버보안을 강화하고 제로 트러스트를 구현하는 엔트러스트(ENTRUST) 프로젝트를 추진하고 있다. 또 블록체인 기반 분산형 SW 자재명세서(D-SBOM)를 개발하는 등 신기술 도입에도 적극적이다.
사이버 보안 정책을 이끌 거버넌스도 구축했다. EU 집행위원회의 위원장을 최고 책임자로 정책 의사결정을 진행하며, 유럽정보보호원(ENISA)이 결과를 토대로 범유럽 사이버보안 전략을 기획한다. 유럽사이버보안센터(CERT-EU)는 사이버 공격 대응, 중요 인프라 보안 및 탄력성 확보 등을 담당한다.
나아가 올해 4월 기존 범유럽 사이버 위협 대응 협력체계의 근간이던 보안 연합(Security Union) 개념을 구체화해 'EU 사이버 연대법(European Cyber Solidarity Act)'을 채택했다. 한층 강화된 거버넌스를 기반으로 사이버 위협에 대한 범유럽 차원의 탐지와 상황 인식 체계를 확보한다는 계획이다. 유럽 사이버 쉴드를 구축하고, 중·대규모 보안사고 대응과 즉각적 복구를 위한 사이버 비상 메커니즘 도입이 핵심이다.
◇일본, AI 활용 사이버 공격 대응책 '관심'
일본은 '사이버보안 전략 2021'에서 디지털전환과 사이버보안을 동시에 발전시키고 국가 안보 관점에서 추진력을 강화한다고 밝혔다. 지난해 6월엔 정보통신·금융·항공·공항·철도·전력·의료·석유 등 14개 국가 중요 인프라에 대한 사이버 공격 파급력을 고려해, 관련 행동계획도 수립했다. 장애대응체계 강화, 안전기준 등 정비, 정보 공유체계 강화, 리스크 관리, 방호기반 강화를 골자로 다양한 대비책을 마련했다.
정책 기조에 따라 사이버보안 예산을 확대했다. 2021년 815억엔(약 7325억원)에서 올해 1379억엔(1조2393억원)으로 크게 늘었다. 방위성 예산 비중이 큰 폭으로 증가한 점도 눈에 띈다.
2021년 연구·개발(R&D) 투자 계획을 보면, 가까운 시일 내 사이버공간과 물리 공간을 융합하는 디지털 전환(DX)을 우선 추진한다는 계획이다. 이 과정에서 네트워크 인프라 기술 고도화와 신뢰성 확보를 동시에 진행한다. AI 기술을 사이버 보안에 적극 활용한다는 점도 눈길을 끈다. 디지털 전환 과정에서 공격표면이 늘고 공격자 수법도 고도화하고 있어 AI를 활용한 대응법 마련에 큰 관심을 두고 있다.
일본 역시 사이버보안 정책을 효과적으로 추진하기 위한 거버넌스를 꾸렸다. 내각 총리를 최고 책임자로 산하에 사이버 보안전략본부(Cybersecurity Strategic Headquarters)를 운영하고 있다. 국가안보위원회(NSC)와 협업하고 DX를 추진 중인 디지털 에이전시(Digital Agency)와 정책 수립에 힘을 모으고 있다.
조재학 기자 2jh@etnews.com
