90여 년 전 대공황 극복을 위해 미국이 추진했던 뉴딜(New Deal) 정책(1933년~1936년)을 차용해 우리 정부는 한국판 뉴딜 정책을 작년 4월에 발표했습니다. 5월에는 추진 방향을, 7월에는 구체적인 추진 계획을 잇따라 내놓았습니다.

코로나19사태로 인해 ‘대 대공항(Greater Depression)’이라는 최악의 경우에 대비해, 최대한 빠른 극복과 대전환을 위해 ‘디지털 뉴딜’ 과 ‘그린 뉴딜’과 이를 뒷받침하는 ‘안전망 강화’의 3개 정책 방향으로 구체화됐습니다.

※ 대 대공항(Greater Depression): “대공황 수준이 아니다. 대 대공황(Greater Depression)도 가능하다!” 경영학자 루비니 뉴욕대 교수의 예측

지금부터 우리 정부가 추진하는 디지털 뉴딜 정책에 대해 간략히 살펴보고, 디지털 뉴딜 내에 포함되어 추진 중인 K-사이버 방역 사업의 목적 및 추진 계획과 최근 동향에 대해 살펴보겠습니다.

디지털 뉴딜 개요

디지털 뉴딜 정책은 정부 차원의 디지털 트랜스포메이션 전략으로, 2020년 중반부터 2025년까지 약 58조 원(국비 44.8조 원)의 사업비로 추진하는 장기 국책 사업입니다.

이는 한국판 뉴딜 총사업비 160조 원의 약 36%에 해당하는 규모로, ① D.N.A. 생태계 강화 ② 교육 인프라 디지털 전환 ③ 비대면 산업 육성 ④ SOC 디지털화 4개 분야 12개 과제로 구성되어 있습니다. 디지털 뉴딜의 세부 과제와 투자 계획(단위 조 원)을 살펴보면 다음과 같습니다.

K-사이버 방역 사업의 목적 및 추진 계획

K-사이버 방역 사업은 디지털 전환 가속화에 따른 사이버 위협 증가에 효과적 대응을 위해 사이버 보안 체계 강화 및 보안 유망 기술•기업 육성을 목적으로 하고 있습니다. 이 사업은 중소기업 대상 맞춤형 보안 컨설팅•보안 제품 설치 지원, S/W 보안 취약점 진단•점검 강화, AI(인공지능) 보안 유망 기업 발굴, 자율차 등 융합 분야 보안 모델 산업 현장 배포 등을 포함하고 있습니다.

국가 차원의 정량적 목표를 2020년 GCI(Global CyberSecurity Index) 15위, 정보보호 기업 매출액 10.5조 원에서 2025년 GCI 5위, 정보보호 기업 매출액 20조 원으로 세웠습니다. 그리고 이 목표를 달성하기 위한 분야별 상세 추진 계획을 수립했는데, 요약하면 다음과 같습니다.

◎ 기업의 사이버 위협 예방•진단•대응 기반 강화
① 사이버 위협에 취약한 중소기업 보안 역량 강화하기 위해 보안 투자 지원 및 보안 위협 정보 분석•개방•공유
● 맞춤형 보안 컨설팅 및 보안 서비스•제품 설치 등 지원(6,650개 중소기업)

● 신규 보안 위협 정보 탐지•수집 및 위협 정보 빅데이터를 분석•개방 시스템 구축•운영

• 기업 맞춤형 정보보호 역량 제고 및 정보보호 인증 부담 완화를 위해 정보보호 관리체계(ISMS) 인증제 운영 내실화(「정보통신망법」 개정)
• 클라우드, 교육, 의료 등 분야별 맞춤형 점검 항목을 개발하고, 분야별 관계 기관의 정보보호 제도와 ISMS 인증 간 상호 인정 추진
• 증빙 서류 양식 표준화 및 정보보호 관리체계 구축 가이드라인 배포

※ 정보보호 관리체계(ISMS): 기업이 주요 정보 자산을 보호하기 위해 수립•운영하는 정보보호 관리체계(ISMS; Information Security Management System)가 적정한지 과학기술정보통신부가 심사•인증하는 제도

② S/W 보안 취약점 진단•점검 강화
● 영상 회의 등 비대면 서비스용 S/W의 보안 취약점 진단 및 보안 기술 지원
– 개발•제조 환경 보안 취약점 컨설팅, 소스코드 취약점 점검, S/W 취약점 분석 도구 지원
● 민간 기업이 민간 보안 전문가에게 상시로 S/W 보안을 점검받을 수 있는 개방형 보안 취약점 분석 플랫폼 구축
– S/W 보안 취약점을 다양한 관점에서 신속하게 발굴•대응할 수 있도록 민간 전문가를 활용한 취약점 발굴•신고 체계 활성화(「정보통신망법」 관련 법령 개정)
– 취약점 상시 신고 접수 및 평가•조치, 우수 신고 사례에 대한 인센티브 제공 등 추진

◎ 국민 생활밀착형 사이버 보안 강화
① 개인용 PC 보안 진단•점검 지원
● 사이버 위협 대응이 어려운 개인용 PC 이용자들을 위해 원격 보안 점검 실시 및 점검 결과에 따라 안전 조치 등 원격 지원
– 보안 점검: 백신 설치•동작 여부, 보안 수준 설정, 보안 업데이트 여부 원격 확인 등

② 일상생활과 밀접한 주요 공공•민간 서비스 대상 심층 보안 점검
– 철도, 항공, 은행, 전력 등 국민 생활•안전과 밀접한 공공•민간시설 1,000개소 시스템(S/W) 선제 점검
– 주요 웹사이트 2만 개에 대해 하부 접속화면 악성코드 탐지 등 심층 보안 모니터링 실시

◎ 사이버 보안 산업 생태계 구축
① 블록체인, 클라우드, 5G 등 신기술을 활용한 보안 시범 사업 추진으로 유망한 보안 기술•기업 성장 지원
● 의료•교육 등 비대면 서비스 4대 분야별로 블록체인, 생체인식 등 맞춤형 기술을 적용해 보안 성능을 강화한 시범 사업 추진

● AI 보안 기술에 특화된 유망 기업 100개를 발굴해 사업성 및 기술 성능을 평가해 제품 제작•실증•사업화 등 집중 지원
– AI 활용 효과가 큰 6대 분야(국방, 의료, 안전, 금융, 교통, 제조) 우선 추진
● 5G 기술과 융합이 활발한 5대 분야별로 개발된 보안 모델을 500개 산업 현장에 배포•적용 및 ‘보안 리빙랩’ 운영 고도화
– 5대 분야: 자율주행차, 디지털 헬스케어, 스마트 공장, 스마트시티, 실감 콘텐츠
– 5대 융합 서비스 분야별로 특화된 보안 위협에 대응하는 보안 기술•솔루션 등 보안 모델 적용
– 5대 분야별 융합 산업 현장에 운영 중인 민간 참여형 보안 시험 환경 보안 리빙랩 운영 고도화

② 산업 성장 초기 단계에 있는 보안 신산업 육성을 위해 보안성이 중요한 공공•민간 분야 선도 도입 촉진
● 행정 기관, 병원, 스마트 공장 등 대상 양자 암호 통신 시범망 36개 구축
● 사물인터넷(IoT) 제품의 공공 부문 구매(보안 인증 필요)를 촉진하고, 안전한 제품이 소비자에게 제공되도록 IoT 보안 인증 취득 지원(500건)

K-사이버 방역 사업 추진 동향

작년 7월에 발표된 추진 계획에 따라 진행되는 K-사이버 방역 사업의 추진 동향을 살펴보겠습니다. ISMS 제도 개선, 내 PC 돌보미 사업, ICT 중소기업 정보보호 역량 강화 사업, 양자 암호 통신망 구축 시범 사업 등이 작년 하반기에 진행되었습니다.

◎ 디지털 뉴딜 성공적 뒷받침을 위한 정보보호 관리체계(ISMS) 제도 개선
① 가상 자산 사업자, 중소기업에 특화된 정보보호 관리체계(ISMS) 인증 심사 체계 구축
● 가상화폐 대상 정보보호 관리체계(ISMS) 인증 획득 의무화 및 특화 점검 항목 개발
– 금융위원회와 협업해 가상 자산에 특화된 점검 항목 개발(지갑•암호키, 전산 원장 관리, 비인가자 이체 탐지 등 56개)
– 가상 자산 사업자 심사 시, “ISMS 기존 항목(325개)”에 “가상 자산 특화 항목(56개)”이 추가되어 총 381개 점검 예정
– 가상 자산 사업자 신고 수리 요건에 정보보호 관리체계(ISMS) 인증 포함

※ 정보보호 관리체계(ISMS) 인증: 특정 금융 거래 정보의 보고 및 이용 등에 관한 법률, 2021년 3월 시행

② 중복적 현장 점검 최소화
● 수탁 회사가 ISMS-P 인증을 획득하는 경우 위탁사들의 ISMS-P 인증 심사에 부수되는 수탁사의 현장 점검을 면제할 예정(정보보호 및 개인정보 관리체계 인증 등에 관한 고시(제20조) 개정)
● 클라우드 보안 인증의 경우도 ISMS 인증과 유사 인증 항목이 다수 존재해 ISMS 인증 기업이 클라우드 보안 인증 신청 시 인증 항목의 54%(117개 항목 → 54개 항목) 심사 생략이 가능(클라우드 서비스 보안 인증 안내서 개정(11월)해 12월부터 시행)

③ 대학 정보보호 중복 부담 해소
● 교육부가 주관하는 정보보호 수준 진단에서 ‘우수(80점)’ 등급을 획득한 대학은 ISMS 인증 의무를 면제하는 내용을 골자로 하는 정보통신망법 개정 추진(정보통신망 이용 촉진 및 정보보호 등에 관한 법률 시행규칙(제3조) 개정 입법예고 추진(11월)
● ISMS 인증 의무(재학생 수 1만 명 이상, 44개)를 이행하지 않은 13개 대학 중 10개 대학이 올해 교육부 정보보호 수준 진단에서 ‘우수’등급을 획득해 ISMS 인증이 면제될 예정

◎ PC 원격 보안 점검(내 PC 돌보미) 사업
내 PC 돌보미 사업은 보안 전문가가 사용자의 PC 보안을 원격에서 점검하고 맞춤형으로 보안 컨설팅을 실시하는 사업입니다. 63명의 보안 전문가가 일대일(1:1)로 맞춤형 보안 컨설팅과 다양한 비대면 보안 점검 서비스를 제공합니다. 주요 점검 내용은 다음과 같습니다.

보안과 무관한 인터넷, 하드웨어, 소프트웨어 장애 또는 오류에 대한 사항은 서비스 대상에서 제외되며, 서비스 지원 대상은 인터넷을 이용하는 국민은 누구나 신청 가능합니다.

서비스 이용 가능 시간은 평일(오전 8시~오후 10시)와 토•공휴일 (오전 9시~오후 6시)까지이며, 신청은 보호나라 홈페이지(www.boho.or.kr)에 접속해 원하는 날짜와 시간을 선택하면 됩니다.

◎ ICT 중소기업 정보보호 역량 강화 사업
정보보호 수준 제고가 필요한 ICT 중소기업에게 종합적인 보안 컨설팅을 제공하고 관련 제품 도입 비용을 최대 1,500만 원까지 지원하는 사업입니다. 지원 내용 및 대상 기업은 다음과 같습니다.

◎ 양자 암호 통신망 구축 시범 사업
미래 산업 활성화 기반 마련을 위해 네트워크 보안 필요성이 높은 공공, 의료 및 산업 부문에 양자 암호 통신망을 구축하고 관련된 응용 서비스를 발굴 및 실증 지원하는 사업으로서, 선정된 8개의 컨소시엄을 주축으로 2020년 연말까지 사업을 추진했습니다.

양자 암호 통신은 만지면 터지는 비눗방울처럼 누군가 도청을 시도하면 신호가 붕괴돼 전달이 안되는 양자의 물리적 상태를 활용해 도청을 방지하는 보안 체계입니다. 이런 양자 암호 통신은 소인수분해 등 수학적 계산에 기반을 둔 기존의 암호 체계를 풀 수 있는 양자 컴퓨터의 등장에도 유효한 보안 체계로서 크게 주목받고 있습니다.

‘양자 암호 통신 시범 인프라 구축’ 사업을 위해 지난 7월 자유 공모를 진행하고, 선정된 KT, SK브로드밴드(SKB), LG U+ 주관의 8개 협력체와 9월 협약을 체결했습니다. 공공•의료•산업 분야 16개 구간에 양자 암호 통신 장비 및 양자 내성 암호 시스템을 구축하고 응용 서비스를 발굴합니다. 본 시범 사업은 2021년에도 발전된 형태의 양자 암호 통신 시범 구축 사업으로 확대할 계획입니다.

맺음말

AI, 빅데이터, 클라우드, IoT 등 첨단 기술의 발달로 인해 산업 간 경계가 모호해지고, 오프라인과 온라인 경계가 허물어지면서 새로운 사업 모델이 나타나는 현상(빅 블러. Big Blur)이, 제조, 서비스업과 ICT가 만나는 산업 현장에서 확대되고 있습니다.

보안 사고의 유형도 비대면 업무를 위해 폭발적으로 사용이 증가한 화상 회의 솔루션의 보안 문제나, 범죄에 악용되는 ‘딥페이크’의 발전, 불법 데이터 유통에 다크 웹 활용 증가 등 이전과는 다른 형태로 나타나고 있습니다.

산업계의 빅 블러 현상, 보안 위협에 악용되는 기술의 진화, 오늘 살펴본 우리 정부의 K-사이버 방역 사업의 방향성을 종합해 볼 때, 기업 내 사이버 방역 체계에도 새로운 변화가 필요합니다.

멀게만 느꼈던 양자 암호 통신의 적용성 검증과 AI, 빅데이터 환경에 적합한 보안 솔루션의 발굴 등 보안 분야 오픈 이노베이션에 보다 실질적인 노력을 기울여야 할 시점으로 보입니다.

글 l 전경화 책임
ICT 분야 21년 경력의 정보관리기술사. 국내 최초 정부통합전산센터 보안 체계 구축 및 국내 최대 규모의 데스크탑 클라우드 전환, 아시아 최초 바이오 정보 탑재가능한 전자여권 인증체계 프로젝트 등을 이끈 정보보호전문가다.

[참고 문서]「한국판 뉴딜」종합계획, 한국판 뉴딜 국민보고대회(제7차 비상경제회의) 2020.07.14제2차 정보보호산업 진흥계획, 2020.06