김정희 KISA 실장 "사이버 사고, 얼마나 빨리 회복할지가 경쟁력"

[서울=뉴시스]송혜리 기자 = "해외에선 사고가 났을 때 단 한 번의 전화로 국가의 모든 유관기관들이 일사천리로 움직일 수 있는 그러한 사이버 사고 대응 체계와, 강화된 체계를 갖추려고 하고 있습니다."

김정희 한국인터넷진흥원(KISA) 미래정책연구실장은 18일 서울 강남구 과학기술컨벤션센터 대회의실에서 열린 '2023년 KISA 정책연구 성과 발표회'에서 이같이 강조했다.

이날 발표회는 올 한해 KISA가 추진한 중요 정책연구 성과와 향후 정책 방향을 정책 이해관계자와 국민에 공유하는 자리다. 키노트 발표를 맡은 김정희 실장은 올해 사이버보안 주요 이슈, 사이버보안 트렌드 전망, KISA 정책 연구에 관련해 발표했다. 이를 통해 김정희 실장은 디지털 인프라의 가용성·복원력 강화가 필요하며, 생성형 인공지능(AI) 등장 이후의 AI보안 위협이 증가하고 있다는 점을 지적했다.

김정희 실장은 지난해 말 발생한 SK C&C 데이터 센터 화재로 인한 카카오·네이버 서비스 지연 및 장애, 올해 초 해외 해커조직에 의한 공공기관 홈페이지 공격, LG유플러스 개인정보 유출, 대국민 민원 포털 정부24 서비스 장애로 인한 민원 서류 발급 올 스톱 등을 일례로 들며 디지털 인프라·서비스의 가용성이 부각된 해였다고 설명했다.

가용성은 서버와 네트워크, 프로그램 등의 정보 시스템이 정상적으로 사용 가능한 정도를 말한다. 서비스 장애 시 다시 복구할 수 있는 복원력을 측정하는 지표다.

김 실장은 "올해는 마이크로소프트(MS), 구글 등 실제 클라우드 서비스와 관련된 서비스 지연 장애 부분들이 상당수 보고된 올 한 해였다"면서 "국내에서도 역시 데이터센터, 통신망, 공공기관 인프라, 최근에는 대국민 민원 포털인 정부24까지 포함을 해서 국민 생활과 밀접한 디지털 서비스 인프라에 관련된 불편 사항들이 많이 제기됐다"고 설명했다.

그는 "정보보호에서 가용성이라고 했을 때 기존에는 기밀성이라든가 무결성에 집중하고 있었다"면서 "그러나 디지털 전환이 가속화되는 현 시점에서는 가용성 부분에 대한 정책과 그 다음에 연구 부분들이 추가적으로 이뤄져야 될 사항이라고 판단한다"고 강조했다.

해외 주요국은 디지털 인프라 서비스에 대한 가용성과 복원력을 강화하기 위한 정책들을 구체화하고 있다. 특히, 미국과 유럽은 국가 사이버복원력을 높이기 위한 정책을 마련한 상황이다. 미국의 사이버사고 대응체계(NCIRP)·사이버 트러스트 마크, 유럽의 사이버복원력법(안)이 대표적이다.

김 실장은 "실제 미국에선 주요 기반시설과 민간의 주요 디지털 서비스까지 포함해, 사이버 사고 시에 어떻게 국가적으로 대응 체계를 가져갈 것인가에 관련된 정책들이 나온 바 있다"면서 "사고가 났을 때 단 한 번의 전화로 모든 전체 국가의 유관기관들이 일사천리로 움직일 수 있는 그러한 사이버 사고 대응 체계와 관련된 강화된 체계를 갖추기 위한 계획을 가지고 있다"고 소개했다.

이어 "백악관 같은 경우는 올 7월에 '사이버 트러스트 마크'제도를 공개했다"면서 "네트워크에 연결되는 기기, 서비스에 관련해 기본적인 보안 요건 뿐만 아니라 기업들이 스스로 취약점들이 보완할 수 있도록 하는 제도"라고 설명했다.

아울러 김 실장은 올해 생성형 인공지능(AI)의 확산 등에 따라 AI보안 위협이 확대됐다고 강조했다.

김 실장은 "2022년, 2023년 조사 결과에 따르면 글로벌 시장에서 기업들이 AI를 도입한 비율이 34%를 상회하게 됐다고 한다"면서 "이 이야기는 AI를 실제 업무 프로세스에 이용을 하는 조직들이 급증을 하고 있다는 것으로, 그렇다면 당연히 AI 고유 취약점, AI를 통한 사이버 공격에도 방어책이 필요하다는 것"이라고 설명했다.

김 실장은 전 세계적으로 국가 차원의 AI보안에 대한 논의가 확대되고 또 구체화되고 있는 모습들을 살펴볼 수 있었다고 소개했다. G7국가가 마련한 AI개발 조직 국제지침·행동규범 '히로시마 AI프로세스', 미국의 '세이프 시큐어 AI' 행정명령, 28개국 정상들이 모여서 AI의 안전성에 관련해서 선언한 블레츨리 선언, 유럽연합(EU) AI 법안 등이 대표적이다.

김 실장은 "이런 공동 선언 이후 AI보안 구체적인 가이드라인과 기술 규격들이 주요국을 중심으로 제시되고 있다"면서 "저희 역시도 이제 올 한 해를 AI 보안 위협과 관련해서 실제 민간 영역에서 보안이 강화될 수 있는 부분들에 대한 고민을 하기 위해서 연구반을 운영을 한 바 있다"고 설명했다.

이어 "최근 제시된 원칙들과 가이드라인, 기술 규격들을 함께 고려해서 내년에는 좀 더 연구에 관련된 주된 성과를 낼 수 있을 것으로 기대하고 있다"고 말했다.


◎공감언론 뉴시스 [email protected]