기반시설 보호대책을 작성하며

올해 첫 기반시설 보호대책 작성을 시작했다. 아직 날짜가 임박한 것도 아닌데 벌써 시작하게 되었다. 그리고 올해 보호대책을 보니 앞으로 시장에 큰 변화가 있을 것으로 보인다. 여러 변화가 있었지만, 이번에는 정부의 중점과제가 7가지로 늘어났다. 사실 최근의 여러 보안 사고 및 이슈를 고려한다면 이는 당연한 일일 것이다.

 

그중에서도 주목할 만한 것으로는 모의해킹을 기존 연 1회 실시하는 것에서 연 2회 실시로 강화했다는 점이다. 이에 따라 앞으로 모의해킹 인력의 수요가 늘어날 것으로 보인다. 물론 공공에서의 예산은 똑같겠지만 말이다. 특히 이번 SK 사태 이후로 금감원 발표 내용에 따라 모의해킹의 방향성이 바뀔 수도 있을 것으로 보이는데, 물론 모의해킹 횟수를 늘리는 것도 조금은 보안에 도움이 될지도 모른다. 그런데 근본적인 문제가 해결되지 않는다면, 이것이 큰 의미가 있지는 않을 것이다. 그저 진단의 결과값, 그 점수에만 연연하는 시스템에 대한 문제 말이다. 취약점에도 심각한 취약점, 덜 심각한 취약점이 분명 나뉘지만, 각 담당자 및 장은 결과 숫자에 지나치게 치중하는 것이 있다. 이 문제를 단기간에 뿌리 뽑기는 불가능하겠지만, 더욱 실질적인 훈련 및 해킹을 수행하도록 정부에서 방향성을 제시해줄 필요가 있다.

 

그리고 올해는 재밌게도 데이터 관리 영역이 새로 등장했다. 이 내용을 들여다 보면, 결국 개인정보를 더욱 열심히 관리하라는 것이고, 이에 따라 개인정보 흐름도 같은 산출물의 요구가 급증할 것으로 보인다. 기반시설에 해당하는 사기업의 경우 보통 ISMS-P 인증을 받았을 것이기에 문제가 없을 것이나, 인증과는 거리가 먼 공공기관들은 내년 사업에 개인정보 흐름도 작성을 포함해야 할 것이다. 문제는 위에서도 말했듯 공공기관의 예산이다. 장담하는데, 개인정보 흐름도가 너무 오래됐거나, 일부가 아예 없는 경우도 많을 것이다. 그래서 새로 처음부터 작성해야 하는 경우가 많을 텐데, 그런 곳은 해당 업무를 수행하는 인력으로 2MM은 잡아야 할 것이다. 그리고 이는 결국 또 예산 문제로 이어진다.

 

보호대책을 쓰면서도 지금 같은 민간 기업에서 보호대책을 쓰는 것은 상당히 수월하다. 왜냐하면, 7개 중점과제 중 대부분은 보통 이미 완료가 된 것이고, 7개 외에 자체적인 과제를 쓰는 것도 상당히 쉽기 때문이다. 하다 못해, 담당자분들에게 솔루션 같은거 도입 계획 있으시냐 여쭤보고, 도입한다면 그걸 자체적 보안강화 과제로 삼으면 그만이기 때문이다. 그런데 공공기관은.. 또 예산이 문제다. 돈이 없는데 보호대책이 무슨 의미가 있냐는 말이다. 안 그래도 돈이 없고, 보안 예산은 후순위인데, 근래들어 R&D 예산을 비롯하여 많은 예산이 삭감도 되었다. 보호대책을 세워도, 수행하지 못하는 곳이 너무 많다.

 

그런데 개인적으로 보호대책을 쓰면서 신기한 점이 한가지 있는데, 이 산출물의 중요성에 비해 이걸 대충(?) 쓰는 곳이 꽤나 있다는 점이다. 오죽하면, 과기부에서 '필수적으로 포함할 것'이라는 말을 계속 도배했는지 모르겠다. 

 

보호대책을 작성하여 제출하는 것은 기업 또는 기관의 관점이 아니다. 이는 정부의 관점에서 바라봐야 할 것이다. 7개 과제를 쓸 때는 미래형으로 '~하겠다'라고 써야 하기 때문에, 이를 오해하는 경우가 꽤나 있는 것으로 보인다. '우리는 이거 이미 과제 헀으니 쓸 필요 없겠네' 하면서 말이다. 하지만 써야 한다. 그걸 했는지 안 했는지, 정부가 모르니 말이다. 아니면 이런 경우도 있다. 7개 과제 중에 제로트러스트 관련된 내용이 있는데, '우리는 제로 트러스트는 해당 안되지' 하면서 작성 자체를 안하는 것이 있다. 그래도 해야 한다. 아니, 엄밀히 말한다면 7개 중점과제 중에 어느 기반시설도 해당이 안될 수는 없다. 제로 트러스트도 뭐 미국에서 나온 엄밀한 개념을 다 준수하라는 것도 아니지 않은가. 정부는 매년 '제발 우리가 말한 과제는 다 써서 좀 내. 통계 내야 한단 말이야'라고 외치고 있으나 이것이 지켜지지 않는데, 사실 여기엔 이유가 있다. 너네 왜 보호대책 잘못 썼어? 다시 써! 라고 하는 곳이 과기부밖에 없기 때문이다. 즉, 과기부 아래에 있는 곳들은 보호대책을 잘못 쓰면 한소리 듣기 때문에 잘 써야 하지만, 예를 들어 방통위 같은 곳에 제출하는 곳은 잘못 작성하더라도 그대로 제출이 된다. 그렇기에 그점만 고려하더라도 잘 쓰는 기관/기업, 잘 못 쓰는 기관/기업이 나뉘는 것이다.

 

무튼, 보호대책을 작성하면서 갈수록 기반시설 이해관계자들의 부담은 늘어나는데, 이에 대한 해결책을 정부가 제시도 해줄지 의문이다. 지금의 양상대로면 결국 바뀌는 게 없을 가능성이 높아 보인다. 진정 정부가 보안에 대한 수준을 강화하고 싶다면, 현재의 평가제도 전체를 되짚어볼 필요가 있을 것이다.