2021년 사이버보안·개인정보보호 분야 핵심 키워드 4

페이지 정보

작성자 cfpa 댓글 0건 조회 1,817회 작성일 21-12-08 20:02

본문

출처 : 보안뉴스


랜섬웨어, 공공기관 노린 사이버공격, K-사이버방역, 개인정보 보호법 개정 등 주요 이슈

[보안뉴스 원병철 기자] 코로나19로 인해 관광 등 많은 산업이 침체기를 맞았지만, 반대로 배달앱과 같은 일부 산업은 엄청난 기회를 얻기도 했다. 주로 비대면과 디지털 전환에 따른 네트워크와 클라우드 등 이른바 ICT 산업을 중심으로 활성화됐기 때문에 사이버 보안 분야도 큰 관심을 받고 있다. 게다가 랜섬웨어와 같은 사이버 공격이 기업은 물론 공공기관을 가리지 않고 무차별적으로 감행되면서 범정부 차원의 대책 마련에 나섰으며, 각 국가들은 산업보안과 국가기밀을 탈취하려는 공격에 대응하기 위해 사이버전에 전력을 집중하고 있다. 그렇다면 2021년 사이버보안 및 개인정보보호 분야에서는 어떤 일들이 있었을까?
 

613363855_6513.jpg

[이미지=utoimage]


△범정부 차원의 랜섬웨어 대응 나섰다
정부가 지난 7월 16일 서훈 국가안보실장 주재로 국가사이버안보정책조정회의를 열고 랜섬웨어에 대한 범정부 차원의 선제적 대응에 나선다고 밝혔다. 정부는 사이버안보가 ‘선택’이 아닌 ‘필수’라는 인식하에 최근 기승을 부리고 있는 랜섬웨어를 비롯한 사이버위협에 모든 정부기관이 함께 대응하겠다고 밝혔다. 또한, 이를 위해서 정부기관의 대비체계 점검과 선제대응을 검토하겠다고 말했다. 아울러 회의에서는 각 부처별로 △국내외 사이버위협 실태 및 대책 △랜섬웨어 해킹 공격 관련 범정부 대응 계획 △첨단 방위산업 기술 해킹 방지 대책 등이 논의됐다.

특히, 국가정보원은 민·관·군으로 분리된 사이버 경보발령 체계를 통합·일원화하고, 사이버안보 사각지대 해소를 위해 민간과 정보 및 기술 교류를 확대하겠다고 밝혔다. 과학기술정보통신부 역시 최근 큰 피해를 입히고 있는 랜섬웨어 대응과 국민의 안전한 디지털 환경을 구축하겠다고 설명했다. 방위사업청은 방산기술을 노린 위협이 증가하고 있다며, 방산기술보호법 개정, 방산기술보호 전문기관 설립, 방산업체 사이버보안 취약점 진단 및 지원, 미국 방산 사이버보안 인증제도 도입 등을 밝혔다.

이와 관련 산업통상자원부는 7월 26일 세종청사에서 박진규 차관 주재로 소관 40개 공공기관 사이버보안 총괄 책임자들이 참석한 가운데 ‘공공기관 사이버보안 대응태세 점검회의’를 개최했다. 이는 최근 국내외에서 랜섬웨어 등 사이버공격이 지속 발생함에 따라 산업부 소관 공공기관과 사이버위협 동향을 공유하고, 각 기관별 사이버보안 대응태세를 점검하기 위한 것이다.

박진규 산업부 차관은 “최근 해외 에너지 인프라를 인질로 삼거나 국내 핵심기술을 탈취하려는 등의 사이버공격이 지속 발생하고 있으며, 국가기반시설에 대한 사이버공격은 경제적 피해는 물론 사회혼란과 국가안보에 위협을 초래할 수 있다”고 강조하면서, “원전·전력·가스 등 에너지 핵심 기반시설을 관리하는 기관은 단 한 번의 해킹사고로도 국민들의 생활에 막대한 불편을 초래할 수 있다는 경각심을 가지고 사이버보안에 만전을 기해줄 것”을 당부했다. 또한 “국내 연구기관, 방산업체에서 발생한 가상사설망(VPN) 해킹 공격은 코로나19 이후 비대면 환경에서 살아가야 하는 우리 모두에게 위협이 되고 있는 만큼, 각 기관에서는 재택근무 등 원격근무시 사무실에서와 동일한 수준의 사이버보안을 유지할 것”을 요청했다.

△원자력연구원부터 한국항공우주산업까지, 공공과 의료기관 노린 사이버 공격
우리나라에서는 김수키, 해외에서는 탈륨이란 이름으로 잘 알려진 북한의 해킹그룹 김수키가 한국원자력연구원을 시작으로 대우조선해양과 한국항공우주산업, 서울대병원 등 분야를 가리지 않고 공격해 주요 정보 및 개인정보를 탈취한 것으로 알려져 큰 충격을 줬다.

국회 정보위원회 소속 하태경 의원은 6월, 한국원자력연구원 내부 시스템이 北 정찰총국 산하 해커 조직 ‘김수키(kimsuky)’로 추정되는 IP를 통해 해킹됐다고 전했다. 만약 북한에 원자력 기술 등 국가 핵심 기술이 유출됐다면, ‘2016년 국방망 해킹 사건’에 버금가는 초대형 보안 사고로 기록될 수 있다. 하태경 의원이 한국원자력연구원으로부터 제출받은 자료에 따르면, 연구원은 ‘가상사설망(VPN) 취약점을 통해 신원 불명의 외부인이 일부 접속에 성공했다’며 5월 14일 사고 신고를 했다. 13개의 외부 IP가 VPN 시스템에 무단으로 접속된 기록이 발견된 것이다.

이에 하 의원실이 북한 사이버테러 전문연구그룹 ‘이슈메이커스랩’을 통해 공격자 IP 이력을 추적해본 결과 ‘김수키’가 지난해 코로나 백신 제약회사를 공격했던 북한 해커 서버로 연결된 것을 확인했다. 또한, 해커가 사용한 주소 가운데 문정인 전 외교안보특보의 이메일 아이디(cimoon)도 발견됐으며, 이는 지난 2018년 문 특보의 이메일 해킹 사고와 연관됐을 가능성이 크다.

게다가 연구원과 과기부 등 관계기관은 조사 과정에서 ‘해킹 사고는 없었다’, ‘처음 듣는 이야기다’라며 사건 자체를 은폐하려다 추궁 끝에 관련 자료를 제출했다. 연구원 측은 ‘사건을 수사하고 있어서 사실대로 말할 수 없었다’라고 해명했지만, 국회를 상대로 한 허위 보고에 대해선 잘못을 인정했다.

이와 함께 지난해 말부터 올해 상반기 사이 대우조선해양을 비롯한 국내 방위사업체들이 해킹 시도에 노출된 정황이 발견된 것으로 알려졌다. 특히, 대우조선해양의 경우 한국 최초 3,000톤급 잠수함인 도산안창호함을 비롯해 안무함 등 우리나라의 주력 잠수함을 건조하는 핵심 방산기업으로, 지난 2016년에도 북한 추정 해커 그룹에 의해 잠수함 관련 핵심기술 등 1~3급 군사기밀 60여건을 포함한 4만여건의 내부 자료를 탈취당한 바 있다.

무엇보다 이보다 앞서 드러난 원자력연구원 해킹 사건과 이번 대우조선해양에 대한 해킹 시도가 동일한 북한 해커 조직에 의해 같은 목적의 연장선상에서 일어났다고 보면, 궁극적으로 우리나라의 핵잠수함 개발 관련 기술 탈취를 노렸을 가능성이 있어 문제가 더욱 심각해질 수 있다는 얘기다. 북한의 경우 김정은 국무위원장이 올해 1월 핵잠수함 개발을 공식 선언한 이후, 이를 성공시키기 위한 핵심기술 탈취에 혈안이 돼 있기 때문이다.

한편, 과학기술정보통신부와 국가정보원이 한국원자력연구원 해킹사건으로 현장조사를 실시한 결과 VPN을 통한 전산망 침투를 확인했으며, 이와 관련 정부부처 및 공공기관을 중심으로 VPN 점검에 나선 것으로 확인됐다. 특히, <보안뉴스> 취재 결과 공공기관에 많이 공급된 국내 특정 VPN 솔루션이 중점 점검대상이 된 것으로 알려진 바 있다. 국가정보원은 원자력연구원에 취약한 VPN 운영을 중단하도록 조치했고, 연구원 보안장비를 통해 해킹 경유지를 차단하도록 하는 등 긴급 대응했다고 밝혔다.

이와 관련해 한 보안전문가는 “재택근무와 같은 외부에서의 근무시 보안을 강화하면서도 내부 네트워크에 접속할 수 있는 VPN은 코로나19로 재택근무가 시급해지면서 사용이 폭발적으로 늘었지만, 모든 보안에 100%가 없는 것처럼 VPN만으로 보안을 담보할 수 없다는 사실을 알고 다양한 측면에서 보안을 강화해야 한다”고 조언했다.

한편, 이 사건은 일으킨 김수키는 한국항공우주산업(KAI)과 서울대학교 병원까지 공격한 것으로 알려졌다. 한국항공우주산업(KAI)이 한국원자력연구원의 해킹 통로였던 VPN 취약점을 악용한 공격에 똑같이 당한 것으로 확인됐다. KAI 해킹 사건도 VPN 취약점을 통해 침입한 것으로 추정하고 있으며, 공격자는 내부 직원의 비밀번호를 알아내 접근한 것으로 보인다고 전했다. 이는 한국원자력연구원 사건의 수법과 똑같다.

서울대학교 병원은 랜섬웨어 공격으로 환자정보 일부가 유출된 것으로 알려졌다. 유출된 정보는 병원 방문시 입력한 등록번호, 환자이름, 진료명 등이며, 주민등록번호나 연락처, 거주지 등 개인정보는 포함되지 않은 것으로 알려졌는데, 공격방법은 다르지만 공격 주체는 역시 김수키인 것으로 조사됐다.

△정부, 세계 최고 수준의 디지털 안심 국가 실현 위해 ‘K-사이버방역’ 3대 전략 추진
끊임없는 사이버 공격으로 공공은 물론 민간까지 큰 어려움을 겪으면서 정부는 사이버안전을 위한 대책 마련에 나섰다. 바로 ‘K-사이버방역’이다. 정부는 사이버위협이 특정 영역에 머무르지 않게 됐으며, 정보보호를 필요로 하는 영역은 산업과 사회 전반으로 확대되고, 무인상점 해킹, 인공지능을 활용한 공격 등 새로운 보안위협도 날로 증가하고 있다고 판단했다. 특히, 기존 네트워크 및 PC 중심, 전문가를 통한 사고대응 위주의 정보보호로는 새로운 사이버위협 대응에 한계가 존재하기 때문에 정보보호 패러다임의 근본적인 변화도 필요하다고 봤다.

이에 정부는 디지털공간의 튼튼한 ‘방역체계’를 구축해 디지털경제 시대를 선제적으로 대비하고, 데이터댐 등 디지털뉴딜의 성공과 국민이 안전하고 신뢰할 수 있는 세계 최고의 디지털안심 국가를 실현하기 위한 정보보호 종합계획으로 ‘K-사이버방역 추진전략’을 수립했다.

K-사이버방역은 △디지털안심 국가 기반 구축(①사이버보안 대응체계 고도화, ②수요자 중심 디지털보안 역량 강화) △보안 패러다임 변화 대응 강화(③차세대 융합보안 기반 확충, ④신종 보안위협 및 AI 기반 대응 강화, ⑤디지털보안 핵심기술 역량 확보) △정보보호산업 육성 기반 확충(⑥정보보호산업 성장 지원 강화, ⑦디지털보안 혁신인재 양성, ⑧디지털보안 법제도 정비) 등 3가지 전략과 8대 과제를 선정하고 본격적인 추진에 나섰다.

특히, 정부는 K-사이버방역 추진전략의 정책목표를 ITU가 발표하는 국가사이버 보안역량 수준(GCI) 5위 이내로 높이고, 민간 침해사고 발생률 1.5% 이하, 정보보호시장 16조원 이상으로 수립하고 이를 달성해 나갈 계획이다.

첫 번째 전략인 디지털안심 국가 기반 구축은 ‘사이버보안 대응체계 고도화’와 ‘수요자 중심 디지털보안 역량 강화’라는 두 가지 과제로 구성돼 있다. 이를 통해 보다 철저하게 위협을 탐지하고, 촘촘한 대응을 통해 국가 사이버보안 대응체계를 고도화하는 등 개인과 기업의 보안 역량 강화를 지원한다는 계획이다.

①디지털안심 국가 기반 구축
우선 정부는 대응체계 고도화를 위해 사이버위협 탐지 및 차단을 강화한다. 올해에는 해킹, 악성코드 정보, 취약점 등을 기록 및 공유할 수 있도록 ‘K-사이버 보안취약점 정보 포털’을 운영해 국가적인 보안 취약점 관리 체계를 구축할 계획이다. 이를 통해 수집된 보안 취약점 정보를 주요 기업·기관 및 국민에게 실시간으로 공유하는 것은 물론, 보안업체와도 연계해 보안패치를 개발 및 보급할 계획이다. 해당 플랫폼에서는 개인, 전문가, 기업 등 누구나 취약점을 신고·등록할 수 있으며, 보안 업체가 백신, 보안패치 개발 등에 활용할 수 있도록 공개한다.

이와 함께 정부는 올해부터 기업이 비대면 환경을 구축하고 디지털로 전환 시, 설계·구현·운영 등에 관한 보안 컨설팅을 지원하고 있다. 기존 업무환경을 재택근무, 화상회의 등 비대면·디지털 환경으로 구축하려는 기업이 KISA에 신청할 경우 민간 보안업체 등과 함께 보안 컨설팅을 제공한다. 비대면 전환 시범기업을 선정해 보안제품·서비스 등을 실증하고, 비대면 서비스 구축 가이드라인과 우수사례 등을 발굴해 민간의 안전한 디지털 전환을 유도한다. 또한, 자체 보안역량이 부족한 중소기업을 대상으로 웹 방화벽, IPS, 안타 바이러스 등 솔루션 구축을 지원한다.

②보안 패러다임 변화 대응 강화
보안 패러다임 변화 대응 강화에서 눈에 띄는 키워드는 클라우드, 융합보안 및 융합산업, 데이터, 양자내성 암호 등이다. 클라우드 등 디지털 전환에 필수적인 기반 인프라에 대해 보호하는 것은 물론, 5G와 인공지능, 자율주행, IoT 등 새롭게 떠오르는 융합산업에 대한 보안 위협에 대응하기 위한 전략으로 볼 수 있다.

③정보보호산업 육성 기반 확충
세 번째 전략인 정보보호산업 육성 기반 확충은 물리보안, AI, 비대면 디지털보안 우수기업과 인재를 적극적으로 발굴 및 육성하고, 디지털 환경 변화를 고려한 정보보호 법과 제도를 정비하는 내용을 담고 있다. 주요 추진 과제는 정보보호산업 성장 지원 강화, 디지털보안 혁신인재 양성, 디지털보안 법·제도 정비 등 세 가지다.

△디지털 전환 시대에 맞춰 개인정보보호 강화하고, 불합리한 규제 정비한 ‘개인정보 보호법 개정안’ 발의
사이버보안의 또 다른 핵심인 개인정보보호와 관련해 개인정보보호위원회(이하 개인정보위)는 지난 9월 개인정보 보호법 개정안을 국회에 제출했다. 이번 개정안은 2011년 개인정보 보호법 제정 이후 최초로 정부가 주도해 산업계, 시민단체, 관계부처 등의 다양한 의견을 반영해 마련한 실질적인 전면 개정안이다. 개인정보위는 이번 개정안을 통해 코로나19에 따른 온택트 일상화 등 우리 사회의 디지털 대전환에 맞춰 국민의 개인정보는 더욱 두텁게 보호하고 개선이 필요한 불합리한 규제는 대폭 정비한다.

우선, 인공지능(AI) 등 신기술 발전에 대응해 정보주체인 국민의 권리를 강화하기 위해 △본인의 개인정보 이동을 요구할 수 있는 전송요구권과 자동화된 결정에 대한 거부 등 대응권을 신설한다. 개인정보 전송요구권이란 정보주체인 국민이 기업 등 개인정보처리자가 보유한 본인의 개인정보를 자신 또는 다른 기업에게 전송해 줄 것을 요구할 수 있는 권리다. 전송요구권 도입으로 정보주체인 국민은 자신의 개인정보를 본인 또는 다른 기업에게 직접 전송하도록 요구할 수 있게 된다.

일반법인 개인정보 보호법에 전송요구권을 도입함에 따라 현재 금융·공공 등 일부 분야에서만 추진 중인 마이데이터 사업이 전 국민, 전 분야 마이데이터 산업으로 확산될 것으로 전망된다. 또한, 일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 새싹기업(스타트업) 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것으로 기대된다.

인공지능(AI) 등 신기술이 국민생활에 큰 영향을 미칠 것으로 예상됨에 따라, 과세대상·복지 수혜자격 결정·신용등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우 이를 거부하거나 이에 대한 설명을 요구할 수 있는 권리도 도입한다. 자동화된 결정에 대한 대응권이란 사람의 개입 없이 완전히 자동화된 시스템에 의한 결정으로 권리 또는 의무에 중대한 영향을 받은 경우 이를 거부하거나 설명을 요구할 수 있는 권리다.

이 밖에도 디지털 시대 아동의 권리 강화를 위해 이해하기 쉬운 양식사용 등 의무를 온라인 사업자에서 오프라인 등 전체 개인정보처리자로 확대하고, 국가와 지방자치단체는 아동에 대한 개인정보 보호 시책을 마련하도록 해 아동의 개인정보 보호를 더욱 강화했다.

다음으로 그동안 일반 국민과 기업에게 법 적용의 혼선과 이중부담의 원인이 돼 왔던 △온-오프라인 이중규제, 개인영상정보 처리 등 신기술환경 변화에 따라가지 못하는 규제 등을 디지털 전환에 맞춰 대폭 정비하는 내용도 포함됐다. 지난해 데이터 3법 개정으로 별도로 규율하고 있던 온라인 특례규정을 통합해 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대해 정비하고, 실효성이 낮은 규정은 삭제했다.

또, 급증하는 고정형·이동형 영상기기 운영 기준이 명확하지 않은 문제를 개선하기 위해 촬영이 가능한 범위 등을 구체화했다. CCTV의 무분별한 운영을 방지하기 위해 ‘정당한 권한을 가진 자’만 설치·운영할 수 있도록 명확히 규정했으며, 드론, 자율주행차 등 이동형 영상기기의 경우, 산업현장에서 실제 적용이 가능하도록 공개된 장소에서 업무를 목적으로 촬영할 수 있는 범위를 신설했다.

마지막으로 전자상거래 확대에 따른 개인정보의 국외이전 증가 등의 변화에 대응해 글로벌 수준에 부합하도록 △개인정보 국외이전 제도를 개선하고, 법 위반에 대한 형벌 완화와 함께 과징금 제도를 정비한다.

이러한 내용을 담고 있는 개인정보 보호법 전면 개정안은 올해 국회 본회의 통과를 목표로 하고 있다.
[원병철 기자(boanone@boannews.com)]