제4차 산업혁명으로 대표되는 현대 사회 정보통신기술(ICT)의 급속한 발전은 우리 삶의 많은 부분을 디지털화했고 새로운 가치를 창출하며 우리에게 편리함을 가져다주고 있다. 그러나 기술 발전은 보안관점에서 기술유출, 개인정보 유출, 사이버 범죄 등의 측면에서 새로운 형태의 위험요소를 초래했다.
이러한 다양한 위험요소 대응을 위해 사회 전반에서 보안의 중요성은 크게 강조되고 있다. 먼저 학문적 관점에서는 각 대학의 보안과 관련된 학과가 계속해 증가했다. 2023년 기준 전국 대학·대학원에 총 115개 학과가 개설되어 운영되는 중이다. 1990년 한국정보보호학회부터 시작해 2023년 한국사이버안보학회까지 다양한 보안전문 학회가 운영되고 있는 등 보안 학문의 고유성을 확보하고자 하는 노력이 계속되고 있다.
민간 부문에서도 지속 가능한 성장과 수익을 창출하기 위해 보안을 필수적 요소로 인식하고 보안 인력의 채용을 확대하는 등 보안에 대한 투자를 증대하고 있다. 정부 역시 국가의 보안 역량 강화를 위해 적극적으로 나서고 있다. 먼저 법·제도 측면에서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'과 '산업기술의 유출방지 및 보호에 관한 법률' '개인정보 보호법' 등이 계속 재·개정되고 있다.
정책적 측면에서도 2024년 2월 국가안보실에서 '국가 사이버안보 전략'을 발표해 정보보호 기업의 혁신을 지원하고 투자를 확충해 사이버 인프라의 국제 경쟁력을 확보하고자 하는 등 다양한 분야에서 지원을 위한 노력을 기울이고 있다.
하지만 보안에 관한 관심의 증가와 함께 다양화된 보안 관련 용어의 개념과 범위는 충분히 통일되거나 합의되지 않은 채 혼재돼 사용되고 있다.
예를 들어 하나의 언론 보도에서 사이버안보와 사이버보안, 그리고 정보보호와 정보보안과 같은 유사한 보안용어가 혼재돼 사용되는 사례가 계속해 발견되고 있다. 언론 매체뿐만 아니라 대학에서도 유사한 교육과정을 지닌 학과와 전공이 정보보호(보안)학과, 사이버 보안학과, 해킹보안학과 등과 같이 다양한 명칭으로 개설돼 운영되고 있다. 또 융합보안이라는 용어도 사용 주체에 따라 개념이 다르게 해석돼 다중적 의미로 혼용되고 있다.
이처럼 일반인을 대상으로 하는 언론매체나 업무 문서에서 오·남용, 또는 혼재돼 사용되고 있는 다양한 보안 개념용어들은 대중의 보안 의식과 이해 수준을 낮추고 있다. 또, 보안분야 연구는 응용학문으로서 보안지식과 보안대책은 밀접한 관련이 있을 수밖에 없다. 실무적 관점에서 명확히 정립되지 않은 보안용어의 개념은 현장의 보안 전문가들 간 소통을 어렵게 만들고 있다. 학문적 측면에서도 보안 분야 내부는 물론 다른 분야와의 학문적 교류와 발전을 저해해 보안이 학문으로서의 독자적 영역을 확보하는데 한계점으로 작용하고 있다. 이 같은 혼란은 보안 정책의 수립과 실행을 더욱 어렵게 만들며, 결과적으로 보안 사고의 발생 가능성을 높이는 요인으로까지 작용할 수 있다.
보안의 학문적 정체성 확립을 위해서는 보안 중요성을 재인식하고, 혼재된 보안개념을 명확하게 정립할 필요가 있다. 이를 위해 관련 문헌 통해 보안개념 관련 용어를 수집하고 연관성 분석과 빈도수 분석을 수행해 대표 용어를 선정했으며 문헌연구를 통해 용어의 개념을 재정리했다. 정의된 보안개념 관련 용어는 전문가 합의 및 검증을 거쳐 보안개념의 정의와 범위를 설계, 보안의 학문적·산업적 정체성을 확립하고자 했다.
먼저, 가장 상위의 개념으로서의 '보안(Security)'은 다양한 환경에 존재하는 가치 대상을 우연적이거나 의도적인 범죄행위로부터 보호해(보안위험), 질서와 안녕을 유지하는 활동을 의미하며(보안대책), 이를 통해 지속 가능성을 확보하는 것을 목적으로 한다. 단순히 위험이 생기거나 사고가 날 염려가 없는 상태를 의미하는 안전(Safety)과는 적극적 의미를 내포하는 측면에서 차이가 있다고 볼 수 있다.
한편 '정보보안(Information Security)'은 보호 대상에 초점을 맞춰 물리적 공간과 사이버 공간 등 모든 공간에서 정보자산을 보호하는 활동이다. 여기서 보호되는 정보자산은 컴퓨팅 환경 내의 전자정보, 또는 일반문서가 포함될 수 있다. 정보보안과 자주 혼동되는 '사이버보안(Cyber Security)'은 보호활동을 수행하는 환경에 초점을 맞춰 사이버 공간에서 자산을 보호하는 활동을 의미하며, 보호되는 자산에는 사이버 공간에서 개인의 자유와 권리(사생활, 의사결정), 디지털 경제자산 등이 포함된다. 다시 말해 사이버보안이 막고자 하는 행위에는 사이버 폭력, 온라인 사기, 가짜뉴스 등이 포함된다고 볼 수 있다. 사이버 공간에서만 보호활동을 수행한다는 점과 정보자산뿐만 아니라, 경제자산 등 보다 다양한 대상에 대해 보호활동을 수행한다는 점에서 정보보안과 차이가 있다.
'연구보안(Research&Development Security)'은 기술개발 과정, 즉 연구기획, 연구수행, 연구 성과 활용에 대한 보호활동을 의미한다. 여기서 보호되는 자산에는 연구원, 연구개발 산출물(연구내용), 연구시설과 공간이 포함된다. 보호활동이 필요한 '프로세스'에 초점을 맞춘 용어로, 연구개발을 수행하는 활동 전반과 관련한 자산을 보호범위로 한다는 점에서 특징이 있다.
'산업보안(Industrial security)'은 협의적 개념에서는 핵심기술개발 과정과 그 산출물을 보호하는 활동, 즉 기술정보 보호활동을 의미한다. 반면에 광의적 개념으로서는 핵심기술이 내재화되는 과정과 그 내재된 제품이나 서비스에 대한 보호활동, 즉 조직의 고유자산을 보호하는 일체의 활동을 포함하는 것으로 볼 수 있다. 기술개발을 위한 정보, 인력, 소재와 함께 이들에 대한 가치사슬 전반을 보호하기 위한 활동을 의미하며, 제조산업, 물류산업, 금융산업 등 다양한 산업 영역에서 적용될 수 있다.
마지막으로 '융합보안'은 두 가지 의미로 사용되고 있다. 먼저 좁은 의미에서의 융합보안(Security Convergence)은 물리적 보안장치, 정보기술(IT) 보안 시스템, 보안지침 등 다양한 보호 수단을 연계(Inter Connected)하거나 통합(Integrated)한 보호 활동을 의미한다. 이처럼 사용될 경우, 두 가지 보호 수단이 결합된 연계보안과 세 가지 보호 수단이 결합된 통합 보안을 포함하는 의미로 이해할 수 있다. 이와 같은 의미로 다양한 보호 수단이 수렴하는 측면에서, 영문으로는 'Security Convergence'로 지칭된다.
넓은 의미의 융합보안은(Convergence Security) ICT가 내재된 제품이나 서비스에 대한 보호활동을 의미한다. ICT 제품과 서비스는 물리적 공간과 사이버 공간을 연계하는 사물인터넷 영역에 위치한다고 볼 수 있으며, 대표적으로는 스마트 팩토리, 커넥티드 카, 스마트 시티 등이 있다. ICT가 제품 및 서비스와 결합(converge)한 것에 대한 보호를 의미하는 측면에서 첫 번째 용례와 달리 영문으로는 'Convergence Security'로 표기된다.
이와 같이 논리적인 연구방법론에 따라 다양한 보안 개념을 정리해 보았지만, 다양한 의견에 따라 개선의 여지가 있을 것이라고 판단되며, 완성된 수준의 다양한 보안 개념과 범위에 대한 정립을 위해서는 여전히 많은 과제가 남아있다. 먼저 보안 산업 및 정책 수준에서 지속가능한 성장을 위해서는 보안개념과 범위 등에 관한 사회적 수준의 합의 과정의 전제가 필요하다. 정부 정책과 민간 시장이 함께 공동의 인식을 공유하고 지향점을 설정해야 한다.
또, 학문적 수준에서의 보안은 환경과 보호대상, 그리고 보안위험 등이 공진화함에 따라 새로운 보안개념과 범위의 설정이 필요하다. 예를 들어, 안전, 보안, 그리고 안보의 개념을 재정립할 필요가 있으며, 경제 안보, 사이버 안보, 디지털 보안 등 새로운 보안개념의 정의와 범위를 정리해야 한다(예를 들어, '사이버안보'는 사이버보안이 국가적 단위로 확장된 개념으로, 국가의 사이버 영토환경에서 국민, 기반 시설, 주권 등과 같은 국가자산을 보호하는 활동으로 정리할 수 있을 것이다). 마지막으로, 국가적 차원에서 민간산업이 변화하는 환경에 효과적으로 대응할 수 있도록 합의 과정을 지원하는 것이 필요하다. 세부적으로 집단지성 형성을 위해 학술대회, 세미나, 공청회 개최를 지원하고, 산학공동협의체 등을 구성해 학술적으로 논의되었던 개념을 민간까지 전파하는 방법을 생각해볼 수 있다.
보안 문제가 계속해서 발생하는 근본적 원인은 기술적인 대책의 부재가 아니라 개념을 제대로 이해하지 못하는 데서 찾을 수 있다. 기술적인 접근만으로 문제를 해결하려다 보면, 상호 소통의 오류, 개념에 대한 이해 부족으로 문제해결이 어려워질 수 있다. 하지만 보안과 관련한 개념을 명확히 이해하면, 이러한 문제들은 훨씬 간단하게 해결될 수 있다. 따라서 기술적 보안대책 개발에만 집중하기보다 보안에 대한 체계적이고 학문적인 개념 정립이 필요한 시점이다. 향후 보안개념 정립 고도화와 충분한 수준의 사회적 합의 도달을 통해 우리 산업·사회에 안전성이 안정화되기를 기대해본다.
장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr
〈필자〉중앙대 산업보안학과 교수로 재직하면서 한국산업보안연구학회 학회장을 역임했다. 현재 4단계 BK21 '사이버 물리공간 청정화 연구사업단' 단장을 수행하면서, 미래 융합 공간에서의 오염요소(기술유출과 탈취, 사이버범죄 등)를 최소화하기 위한 다학제적인 연구를 진행하고 있으며 올해부터 국가안보실 사이버보안 정책자문위원으로 활동하고 있다.