[보안칼럼]다층보안체계와 능동적 대응

김일용 앤앤에스피 대표
김일용 앤앤에스피 대표

2024년 한국의 사이버 보안 정책이 큰 전환점을 맞이했다.

정부는 지난 9월 11일 서울 코엑스에서 열린 '사이버 서밋 코리아(CSK) 2024'에서 '국가 망 보안 정책 개선방향'을 발표했다. 앞서 금융위원회는 지난 8월 금융권 망분리 개선안을 내놨다. 공공 및 금융 부문 전반에 걸친 보안 정책의 대대적인 변화가 예고됐다.

이번 정책 변화의 핵심은 기존 '망분리' 중심 보안에서 '다중계층보안'(MLS) 체계로 전환이다. 이는 단순히 기술적 접근 방식의 변화를 넘어, 보안에 대한 철학과 접근 방식의 근본적인 변화를 의미한다.

지금까지 한국 정부기관과 금융권의 사이버 보안 정책은 망분리를 중심으로 운영돼왔다. 망분리란 내부망과 외부망을 물리적으로 또는 논리적으로 분리해 외부로부터의 사이버 공격을 차단하는 방식이다.

이 정책은 일정 수준의 보안을 보장하는 긍정적인 효과를 가져왔다. 하지만, 기관이나 금융권에서 급변하는 생성형 인공지능(AI)과 클라우드 등 사용이 어려워 업무 효율과 혁신에 장애물이 되기도 했다.

이런 문제를 해결하고자 정부가 제시한 MLS는 정보(데이터)와 자산(네트워크, 하드웨어, 소프트웨어 포함)을 기밀-중요-공개(C·S·O) 등급으로 나눠 중요도에 따라 차등적인 보안 조치를 적용한다.

바뀐 정책의 가장 큰 특징은 '네거티브 규제'로 전환으로 분석할 수 있다. 포지티브 규제는 법률이나 정책에 허용된 것 외에 모두를 허용하지 않는 형태다. 반면, 네거티브 규제는 법률이나 정책에서 금지한 행위가 아니면 모두 허용하는 방식을 말한다.

이는 각 기관과 기업이 자신들의 상황에 맞는 최적의 보안 체계를 구축할 수 있는 자율성을 부여하는 것이다. 기관과 금융기업은 보유 데이터의 특성, 위험 수준 등을 고려해 최적의 보안 체계를 마련해야 한다.

물론 이것은 동시에 더 큰 책임을 의미한다. 기관은 스스로 보호해야 할 데이터와 그 범위를 정의하고, 이에 맞는 적절한 보안 조치를 취해야 한다. 만약 보안 사고가 발생할 경우 책임은 기관과 기업에 있다.

MLS 전환은 단순히 새로운 규제를 따르는 것이 아니라, 각 기관이 어떤 보안 방법이 가장 효과적인지를 고민하고 선택해야 하는 시점이 될 것이다.

C·S·O에 따른 MLS가 잘 운영되려면 기관·기업은 정보와 자산을 정확히 식별하고 등급화해야 한다. 각 자산의 중요도를 평가하고 데이터 민감성과 비즈니스 영향도를 고려한다. 데이터 등급별 사용자 권한을 나누고 암호화 조치도 해야 한다.

또 안전하게 생성형 AI와 클라우드에 접속하고 이용할 수 있는 환경을 조성해야 한다. 실시간으로 위협을 감지하고 대응하는 체계를 마련해야 한다. 정보(데이터)와 자산별로 제로 트러스트 원칙에 따라 권한을 부여해야 한다.

정책 변화는 보안 담당자에게 상당한 부담이다. 그러나 동시에 보안 전문가로서 역량을 강화하고, 조직 내에서 더 중요한 역할을 할 수 있는 기회가 될 수도 있다.

보안 담당자는 이러한 변화에 적극 대응하면서, 지속적인 학습과 전문성 강화, 조직 내 다른 부서와의 협력, 경영진과 효과적인 소통을 통해 어려움을 극복해야 한다.

이에 더해 신뢰할 수 있는 보안 전문 기업과 협력을 통해 최신 기술과 우수 사례(best practice)를 적용하고, 부족한 내부 역량을 보완해야 한다.

정책 변화 대응은 단순히 몇 개 보안 기업이 해결할 수 있는 문제가 아니다. 다양한 국내 보안 기업이 협업해 안전하고 신뢰할 수 있는 보안 프레임워크를 구축해야 한다. 보안 기업들이 각자의 전문성과 기술을 결합해 보다 종합적이고 효과적인 보안 체계를 만들어야 한다. 이런 협력은 보안 기술 발전을 촉진하고, 각 기관이 직면한 최신 보안 위협을 더 효과적으로 대응하는 길을 열 것이다.

김일용 앤앤에스피 대표 kiy2007@nnsp.co.kr