| 한스경제=석주원 기자 | 한국의 사이버보안 체계가 연이은 대형 해킹 사고로 흔들리고 있는 가운데 정부의 보안 정책 전반에 대한 근본적 성찰이 필요하다는 목소리가 높아지고 있다. 최근 SK텔레콤, KT, 롯데카드 등 정보보호관리체계(ISMS) 인증을 받은 대기업들이 연쇄적으로 해킹당하면서 정부의 보안 관리감독 능력에 대한 의구심이 커지고 있다.

김승주 고려대 정보보호대학원 교수는 이러한 상황에 대해 “기업에는 가혹하고 정부에겐 느슨하다”며 정부의 이중잣대를 핵심 문제로 지적했다. 김 교수는 국내에서 손꼽히는 정보보안 전문가 중 하나로 대통령 직속 기관의 민간위원으로도 활동하며 정부 보안 정책 수립에도 관여해 왔다.

김 교수가 가장 강하게 비판하는 것은 정부가 기업에는 엄격한 기준을 적용하면서 스스로는 같은 기준을 지키지 않는다는 점이다. 대표적인 사례가 최고정보책임자와 최고정보보안책임자 분리 정책이다. 정부는 기업들에게 두 직책의 겸임을 금지하며 전문성 확보를 요구하지만 정부부터가 이런 원칙을 지키지 않는다는 것이다.

예산 집행에서도 마찬가지다. 정부는 기업들이 정보보호 예산을 적게 사용한다고 지적하지만 정작 정부 부처와 지자체 역시 보안 관련 예산을 제대로 편성 및 집행하지 않는 게 현실이다.

정부가 부여하는 ISMS와 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도에 대한 김 교수의 평가는 더욱 박했다. 최근 연이은 해킹 사고에서 ISMS-P 인증의 실효성에 대한 의문이 제기되고 있는 상황이다. ISMS-P 인증을 준 건 정부이기 때문에 ISMS-P 인증받은 기업의 보안에 취약점이 발견됐다면 정부의 관리감독 책임을 피할 수 없다는 것이다.

김 교수는 “롯데카드의 경우 2017년 발견된 중대한 보안 취약점을 8년간 방치했음에도 불구하고 2025년에 ISMS-P 인증서가 발급됐다. 당시 롯데카드는 취약점이 있는 솔루션을 시스템에 도입했고 해당 문제가 발견된 후 정부에서도 여러 차례 해당 취약점에 대한 권고를 했음에도 지금까지 방치해 이번 대규모 해킹 사고로 이어졌다. 정부는 롯데카드의 취약점에 대해 알고 있었음에도 ISMS-P 인증서를 발급한 것이 되는데 이는 명백한 관리 부실이다”라고 비판했다.

다만 김 교수는 ISMS-P 인증 자체가 문제는 아니라는 입장이다. 김 교수는 “우리나라 정보보호 관련 평가인증제도는 외국 것을 그대로 갖고 온 것이다. 이런 인증제도가 외국에서는 잘 운영되는 것을 보면 제도 자체의 문제가 아니라 운영 관리 부실이 문제다”라고 지적했다.

한국 정부의 대표적 보안 정책인 망분리에 대해서도 김 교수는 ”시대에 맞지 않는 정책”이라고 평가했다. 지난 2006년부터 시행된 망분리 정책은 내부 업무망과 인터넷망을 물리적으로 분리해 내부망에 대한 침투를 원천적으로 분리하는 보안 체계다. 하지만 AI와 클라우드 시대에는 한계가 뚜렷하다는 단점이 있다.

특히 망분리의 문제는 내부망은 안전하다는 맹신에 있다는 것이 전문가들의 지적이다. 외부망과 분리돼 있기 때문에 안전하다고 믿으며 인증과 권한 부여 등을 소홀히 관리한다는 것이다. 하지만 많은 보안 사고들이 증명하듯 공격자들은 손쉽게 내부망에 침투해 권한을 탈취하고 악성코드를 심어 왔다.

김 교수는 “코로나 이전까지는 망분리 정책이 효과를 본 것은 맞다. 하지만 코로나 때 재택근무가 강제되면서 기존의 망분리 체계는 무너질 수밖에 없었다. 집에서 회사 내부망에 접속해야 하니까 망분리를 할 수 없는 환경이 됐다. 더욱이 AI 정책을 강조하면서 망분리는 더 문제가 됐다. AI를 개발하고 활용하기 위해서는 클라우드에 들어가고 인터넷을 써야 하는데 우리는 대원칙이 망분리 정책이었다“라고 말했다.

우리와 달리 외국에서는 이미 일찍부터 재택근무 개념이 도입되면서 우리와는 다른 망분리 환경이 조성됐다. 국내 역시 스마트폰이 들어왔을 때 어디에서나 업무를 볼 수 있는 스마트워크라는 용어가 유행처럼 번졌는데 이 때가 망분리 정책의 패러다임을 바꿀 수 있는 기회였다는 게 김 교수의 설명이다. 실제로 정부에서도 논의는 있었지만 실행으로 이어지지는 않았다고 한다.

김 교수는 “스마트폰이 국내에 들어왔을 때 보안 패러다임도 전환해야 한다는 논의가 분명히 있었다. 근데 결국 전환을 못하면서 국내 보안 체계 전반의 균형이 무너졌다. 적절한 시점에서의 정책 전환을 놓친 것이 아쉽다”고 말했다.

올해 초 국가정보원이 발표한 국가 망 보안체계(National Network Security Framework, N2SF)가 바로 김 교수가 강조한 선진국형 보안 접근법이다. N2SF는 정보의 중요성을 차등화하고 접근 권한을 개별 관리해 망분리에 유연성과 효율성을 높이는 방식의 보안 전략이다. AI와 클라우드 시대에 필요한 새로운 보안 패러다임인 셈이다.

김 교수는 “보안은 굉장히 보수적인 성격을 갖고 있어서 패러다임 시프트를 하려고 하면 ‘바꿨다가 사고나면 어떡하냐’고 반대하는 사람들이 많다. 그래도 필요하면 설득을 해서라도 해야 한다“며 “정책 기관의 가장 중요한 임무는 시대 전환의 흐름을 잘 읽어서 보안 패러다임 시프트를 적절한 시기에 추진하는 것이다. 시기를 놓치면 나중에 문제가 생겼을 때 제대로 대응할 수 없게 된다”고 조언했다.

석주원 기자 stone@sporbiz.co.kr