"초연결 시대, 국가 보안정책 데이터 중심으로 전환돼야"

[아이뉴스24 최은정 기자] "초연결 시대로 나아가기 위해서는 데이터 중요도를 중심으로 한 국가 보안 정책으로 바뀌어야 합니다."

김승주 고려대 정보보호대학원 교수는 26일 서울 송파구에서 열린 한국정보보호산업협회 주최 '제1회 최고경영자(CEO) 조찬간담회'에서 이같이 강조했다.

주요 데이터를 중요도에 따라 분류하고 그에 맞는 수준으로 보안 정책을 적용해야 한다는 것. 현재 우리나라는 모든 데이터에 획일적으로 보안 제품·솔루션·정책을 적용하고 있다는 게 그의 얘기다.

그는 망분리 정책을 예로 들며 "가령 금융 등의 부문에서는 획일적인 망분리 정책으로 인해 망연계 솔루션이 있어야 내·외부망을 연결할 수 있어 불편하다"고 지적했다.

이어 "망을 분리해 두고 '하이퍼 커넥티드(초연결)'를 얘기하는 건 말이 안된다"며 "외국의 경우 데이터를 중요 등급별로 나눠 관리하는 형태로 망분리를 진행하고 있다"고 덧붙였다.

실제로 최근 신종 코로나바이러스 감염증(코로나19) 확산으로 재택·원격근무제를 실시하는 금융권을 위해 정부가 한시적으로 망연결을 허용했지만, 국내 금융·공공 등 중요 데이터를 보유하고 있는 곳은 여전히 물리적 망분리가 필수다.

그는 "데이터 중심의 망분리를 도입하게 되면 일반 업무자료 유통망(인터넷)과 기밀자료를 취급하는 망을 따로 두게 된다"며 "(그렇게 되면) 유통망은 클라우드, 모바일 등에 연결할 수 있어 별도 보안 제품이나 솔루션 없이도 기본 자료는 비교적 원활하게 이동할 수 있다"고 설명했다.

또 "실제로 외국에서는 기밀을 많이 다루는 사람들은 PC가 6대 까지 있다"며 "번거로울 것 같지만 실제로 업무용 PC를 제외하고 나머지 PC에 접속하는 횟수는 적다"고 했다.

아울러 김 교수는 사물인터넷(IoT) 환경에서 필요한 보안 제품의 특징으로 '사용자 친화적인 보안(Usable Security)'과 '보안 내재화(Security by Design)'를 꼽았다.

김 교수는 "IoT 시대에는 보안 제품이 스탠드 얼론(Stand alone·독립 작동)이 아니라 임베디드 형태로 들어가야 한다"며 "소프트웨어(SW) 개발 과정 요구사항 분석·설계 단계에서부터 보안을 고려하는 '보안 내재화'와 더불어 제품을 간소화해 사용자가 쉽게 쓸 수 있는 보안 제품을 만들어야 한다"고 강조했다.

김 교수에 따르면 현재 국내에서는 군(軍)이 보안 내재화 실시에 앞장서고 있다. 미국 F35 전투기를 도입하면서부터다. 이 전투기는 통신 기능으로 서로 연결돼 있어 한 군데가 뚫리면 미국에 있는 것까지 영향을 받는다. 이에 미군에서 우리 군에게 자국 수준의 보안 내재화를 갖추도록 요구했다는 설명이다.