[공학저널 김하늬 기자] 디지털 환경이 사회·경제 인프라로서 주요한 역할을 하게 되면서 사이버보안 기술은 필수적인 요소가 됐다.
기존의 사이버보안은 인터넷으로 연결된 서비스들을 안전하게 이용하기 위해 환경을 조성하는 것이 목적이었다면, 이제는 디지털 환경 위에서 경제활동이 일어나면서 가상의 자산을 보호하고 디지털 사회가 안정적으로 유지될 수 있도록 한다는 점에서 변화의 양상을 띠고 있다.
이러한 변화 속에서 AI 및 첨단 기술의 발전과 함께 진화하는 사이버 공격에 따른 보안의 개념도 달라지고 있다.
최근 보안 분야에서 자주 언급되고 있는 ‘제로 트러스트(Zero Trust)’는 신뢰성이 보장되지 않은 네트워크 환경을 가정해 서버, 데이터베이스 등 다양한 컴퓨팅 자원에 대한 지속적인 접근 요구에 최소한의 권한을 부여해 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 개념이다.
진화하고 있는 사이버 공격에 대응하기 위한 핵심 전략으로 주목받고 있는 제로 트러스트는 네트워크에 연결된 모든 기기와 계정 그 무엇도 신뢰하지 않는 것이 핵심적인 개념이다. 과거에 인증을 받았어도 다시 한번 인증을 받아야만 접속이 가능하며, 인증되지 않은 기기와 계정의 출입 자체를 차단함으로써 보안을 강화하는 방식이다.
한국정보보호학회(KIISC) 원유재 회장(사진)은 “해외에서는 일찍부터 제로 트러스트 개념의 이해를 통해 주요 보안 전략으로 자리 잡고 있지만 최근 국내에서 이슈가 되기까지 조금은 늦은 감이 있다”며 “국내에서 제로 트러스트라는 개념에 대해 정확한 이해를 하기에 앞서 마케팅으로 사용된 점은 매우 아쉬운 부분”이라고 지적했다.
원 회장은 제로 트러스트 개념을 100% 충족하는 솔루션 기술개발보다는 제로 트러스트의 개념대로 ‘보안환경’을 바꿔나가는 것이 중요하다고 강조했다.
그는 “제로 트러스트가 보안산업의 주요 전략으로 주목받고 있지만, 이를 보안 기술에 적용하는 것은 현실적인 어려움이 따른다. 개념을 토대로 한 기술개발이 제때 이뤄질 수 있도록 정책이 필요하다”며 “정형화된 표준만을 만들려고 하지 말고, 제로 트러스트 보안 전략을 조기 확산하려는 노력이 이뤄져야 할 것”이라고 전했다.
이러한 사이버보안의 정확한 개념 정의와 이를 바탕으로 한 기술개발 전략을 수립하기 위해 한국정보보호학회는 학회 차원의 다양한 노력을 수행하고 있다. 특히 사이버보안 패러다임 전환에 따른 대응 기술개발 전략 중 산·학계는 ‘교육과정 개선’에 주목했다.
이전부터 정보보호 분야 교육과정은 대학마다 상이하고 같은 과정이라도 교육 내용이 천차만별로, 교육 내용을 정비해야 한다는 목소리가 높았다.
원 회장은 “사이버보안은 본격적인 연구가 시작한 20년 정도로 학문적으로 정비가 덜 돼 있는 분야 중 하나다. 때문에 사이버보안에 대한 교육 내용은 학교와 교수마다 천차만별로 다르게 나타나고 있다”며 “산·학계에서 교육과정별 교육 내용의 정리가 필요하다는 목소리가 높아 학회는 현재 학교에서부터 사회까지 연계할 수 있는 분야별 교과목을 만들고 내용을 정리하는 작업을 하고 있다. 사이버보안 분야로 큰 틀을 잡고 진행 중인 상황으로 전문인력 양성에도 큰 도움이 될 것으로 기대하고 있다”고 말했다.
학회는 지난 1990년 설립 후 30여 년간 정보보호를 위한 학술·기술 진흥과 관련 분야 발전에 이바지하기 위한 노력을 이어나가고 있다.
최근 원 회장은 취임 시 공약으로 내걸었던 국제협력 및 해외 지부 구성과 관련해 외국에 있는 한국 전문가들의 네트워크를 구성하고 있다. 브레인링크 사업, 우수연구자 연구 교류 사업을 진행 중이며 국제 활동으로는 AI보안 컨퍼런스를 올해 11월 진행한다는 계획이다.
원 회장은 “정보보호와 보안 분야는 창과 방패 같다는 표현처럼 새로운 공격과 방어가 끝없이 경쟁하는 분야인 만큼 명확한 개념 정의를 통한 기술개발 전략이 필수적”이라며 “학회 본연의 역할인 교육과 연구 활동을 기반으로 기술개발은 물론 관련 산업에 기여할 수 있는 제도 마련 등에도 적극 참여하며 지속 가능한 거버넌스 체계 확보가 가능하도록 노력하겠다”고 전했다.
