[서울=뉴스핌] 양태훈 기자 = "보안은 기술보다 철학이 중요다…접근 방식의 전환이 시급하다"

9일 서울드래곤시티호텔에서 열린 '정보보호의 현재와 미래 컨퍼런스'에 참석한 보안 전문가들은 빠르게 변화하는 보안 위협 환경에 기술 중심의 접근만으로는 한계가 있다고 강조했다.

인공지능(AI)과 운영기술(OT) 환경이 확대되고 플랫폼 경제가 급속히 확산됨에 따라 기존 보안 체계로는 대응에 한계가 있다며, 제로 트러스트 철학 기반의 보안 아키텍처 구축, 기업 내 최고정보보호책임자(CISO)의 실질적인 권한 강화, 플랫폼 특성에 맞춘 맞춤형 보호 체계 마련의 필요성을 주장했다.

이석준 가천대 교수는 '제로 트러스트(Zero Trust), 보안 기준은 신뢰 아닌 검증'이라는 제목의 주제 발표에서 "제로 트러스트는 특정 기술이나 솔루션이 아닌 보안 철학으로 이해해야 하며, 기술 도입 이전에 조직 구성원들의 보안 인식 변화와 보안 거버넌스 구조 개편이 선행되어야 한다"고 강조했다.

제로 트러스트는 '절대 신뢰하지 않고 항상 검증한다(Never Trust, Always Verify)'는 원칙에 기반한 최신 사이버 보안 모델이다. 이는 네트워크를 불문하고 모든 사용자, 디바이스, 애플리케이션, 트랜잭션을 기본적으로 신뢰하지 않으며 철저한 인증과 권한 검증을 거쳐야 리소스 접근을 허용하는 것을 핵심으로 한다.

류제명 과학기술정보통신부 제2차관이 9일 오전 서울 용산구 드래곤시티호텔에서 열린 '제14회 정보보호의 날 기념식' 에서 이재명 대통령 축사를 대독하고 있다. [사진=과학기술정보통신부]

이 교수는 "조직 내부는 안전하다는 기존 경계 기반 보안 방식은 더 이상 유효하지 않으며, 내부든 외부든 모든 접근을 끊임없이 검증해야 하는 체계로 나아가야 한다"며 "특히 AI와 OT의 융합 환경에서는 보안 아키텍처가 단편적인 기술이 아니라 철저한 신뢰 제거, 검증 기반의 프레임워크로 설계되어야 한다"고 설명했다.

이어 "제로 트러스트는 단일 솔루션이나 일회성 조치로는 구현될 수 없으며, 기업 전체의 조직 문화와 업무 프로세스에 걸쳐 통합적으로 설계돼야 한다"며 "보안은 기술이 아닌 사람과 조직의 문제이며, 기술 도입에 앞서 경영진과 실무진의 인식 수준을 끌어올리는 노력이 우선돼야 한다"고 덧붙였다.

또한 "AI와 OT가 융합된 환경에서는 기존 보안 체계가 취약할 수밖에 없기에, 보안 아키텍처 자체를 처음부터 유연성과 확장성을 고려해 설계해야 한다"며 "제로 트러스트의 철학이 전사적 전략으로 반영돼야 한다"고 강조했다.

홍관희 LG유플러스 CISO는 최근 발생한 사이버 보안 사고 사례를 분석하며, 기술적 미비보다 보안 거버넌스의 부재와 CISO의 권한 부족이 더 큰 문제라고 진단했다.

그는 "많은 기업에서 CISO가 CEO 직속으로 배치되지만, 실질적인 권한이나 예산, 인사권은 없는 경우가 다반사"라며 "이사회 보고를 법적 의무로 규정하고, CISO에게 명확한 책임과 권한을 부여하는 것이 시급하다"고 강조했다.

[사진=과기정통부 유튜브 채널]

이어 "국내외 보안 사고의 근본 원인을 분석한 결과, 보안 정책이 문서로만 존재하고 실행력이 부족한 경우가 많았다"며 "이는 조직 내부의 보안 문화 부재와 경영진의 관심 부족에서 비롯된 것"이라고 지적했다.

또한 "보안은 단순히 기술 부서의 업무가 아니라 전사적 경영 이슈로 다뤄져야 하며, 이를 위해 기업 내부의 보안 KPI 수립, 보안 훈련의 정례화, 명확한 역할과 책임(R&R) 설정이 병행되어야 한다"며 "보안은 특정 부서에만 맡겨둘 수 있는 문제가 아니다. 전사적으로 역할과 책임을 명확히 하고, 반복적이고 실질적인 훈련과 점검을 통해 대응 역량을 높여야 한다"고 강조했다.

아울러 홍관희 CISO는 실제 침해 사고에 효과적으로 대응하기 위해, 시나리오별 대응 절차를 사전에 숙지하고 반복적으로 점검하는 '테이블탑 훈련'의 정례화가 필요하다고 강조했다. 그는 "보안 성과를 측정할 수 있는 지표(KPI)를 수립하고, 이를 경영진이 정기적으로 검토해야 보안이 단순한 비용이 아닌 경영 전략의 일환으로 자리 잡을 수 있다"고 전했다.

이진규 네이버 CISO는 '플랫폼사업자 정보보호 대응체계 방향'이라는 주제 발표에서 "플랫폼 사업자는 전통적인 일반 기업과 달리 다면 시장, 네트워크 효과 등 독특한 특성을 갖고 있어 기존 정보보호 체계로는 충분한 보호가 어렵다"고 강조했다.

[사진=과학기술정보통신부 유튜브 채널]

이진규 CISO는 "플랫폼 참여자들의 복잡한 이해관계와 다양한 요구사항을 고려한 맞춤형 보호 프레임워크가 시급하다"며 "플랫폼의 특성에 맞춘 자율적이고 유연한 규제 체계가 필요하다"고 제안했다.

또 "플랫폼에서 일어난 보안 사고는 전체 생태계로 빠르게 확산될 수 있다는 점에서 플랫폼 사업자의 높은 책임성이 요구된다"며 "이에 유연한 보호 조치를 통한 효율적 대응 체계를 마련해야 한다"고 덧붙였다.

이 CISO는 미국, 유럽연합(EU), 일본 등 글로벌 사례를 예로 들며 "해외 주요국들은 플랫폼의 규모와 특성에 따라 차별화된 규제 체계를 적용하거나 기업들이 자율적으로 정보보호 수준을 설정하도록 유도하고 있다"고 소개했다.

이어 "한국도 이 같은 글로벌 추세를 참고하여 플랫폼의 규모와 특성을 반영한 원칙 중심의 규제로의 전환과 민관 협력 기반 구축을 적극 추진해야 한다"며 "특히 해외 사례에서 강조하는 원칙 중심의 규제와 자율성 중심의 정책 전환을 통해 국내 플랫폼 기업들이 국제적 경쟁력을 확보할 수 있다"고 rkdwh했다.

한편 이날 전문가들은 향후 정보보호 체계 구축 과정에서 정부와 민간의 협력 강화, 지속 가능한 정보보호 생태계 조성을 위한 공동 노력의 중요성에 대해서도 의견을 모았다. 이들은 "정부가 자율 평가 도구를 마련하고, 기업들의 자발적인 보호 수준 향상을 위한 지원 체계를 구축해야 한다"며 "이러한 민관 협력 모델이 활성화되면 전반적인 보안 수준 향상은 물론, 국내 기업들의 글로벌 경쟁력 확보에도 큰 기여를 하게 될 것"이라고 전했다.

[사진=과학기술정보통신부 유튜브 채널]

dconnect@newspim.com