주요국 사이버보안 정책 동향 및 시사점

“사이버보안(Cybersecurity)” 문제가 갖는 본질적인 복잡성으로 인해 글로벌 공감대를 형성하는 단일 정의는 아직 존재하지 않는다[3,4]. 다만 각국의 정책입안자 및 관련 전문가들이 적용 분야와 상황에 따라 용어를 정의 후 활용하고 있어 이를 통해 개념을 가늠할 수 있다.

미국 연방정부는 국립표준기술연구소(NIST)를 통해 국제적으로 준용되는 사이버보안 분야 표준 및 지침을 제공 중이며, 이를 통해 표 1과 같은 다양한 사이버보안 개념들을 확인할 수 있다[5-10]. 분야별로 다소 차이는 있으나, 사이버보안을 가용성, 무결성, 인증, 기밀성 및 부인 방지를 보장하기 위해 각종 시스템 및 정보를 보호하거나 방어하는 역할로 정의한다.

국내에서는 과학기술정보통신부가 공고한 「정보보호산업의 진흥에 관한 법률(법률 제19351호)」의 “정보보호”가 유사한 개념이다. 정보보호는 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지 및 복구하고, 암호·인증·인식·감시 등의 보안기술을 활용하여 재난·재해·범죄 등에 대응하거나 관련 장비·시설을 안전하게 운영하는 것을 말한다[11]. 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제18871호)」에 규정된 정보통신망을 포함하는 주요정보통 신기반시설의 경우 「정보통신기반 보호법(법률 제 18870호)」에 따라 전자적 침해행위에 대비한 별도의 보호 대책을 수립해 시행하고 있다[12,13].

그 외 국가정보원 「사이버안보 업무규정(대통령령 제31356호)」에서 “사이버안보 업무”로 국제 및 국가 배후 해킹조직 등 사이버안보 관련 정보의 수집·작성·배포와 중앙행정기관 등을 대상으로 하는 사이버 공격·위협에 대한 예방 및 대응을 포함해 규정한다[14].

본고는 사이버보안, 정보보호, 사이버안보 등으로 다양하게 언급되는 관련 용어를 “사이버보안(Cybersecurity)” 으로 통칭하되 그 다양성과 복잡성을 고려해 단일한 개념으로 재정의하지는 않는다. 다만 디지털 심화 시대의 핵심 기반이자 국가안보적 중요성이 있는 필수 전략기술 부문임을 고려해 포괄적 관점으로 접근한다.

가. 거버넌스

국내 사이버보안 거버넌스는 현재까지 공공, 국방, 민간으로 구분하여 각각 국정원, 국방부, 과학기술정보통신부가 부문별로 대응해왔으며, 이러한 체계를 범정부 통합 대응 조직으로 모으고자 하는 움직임이 있다[15-19].

’22년 11월, 국가정보원이 입법 예고한 「국가사이버안보기본법안」 역시 이러한 움직임의 일환이다. 법안 심사 절차를 거쳐야 하는 과제로 실제 추진까지는 시일이 있으나, 법안 제목부터 거버넌스 구현 전반에 대한 관계자들의 이견이 있는 것으로 알려졌다[20].

통합대응 조직 마련이 범정부 관점의 협력체계를 공고화하는 본연의 목표를 반영해 추진될 수 있도록 도입 과정에서 세심한 조율과 검토가 필요한 것으로 파악된다.

나. 정책 동향

우리나라는 ’22년 5월, 윤석열 정부 출범과 함께 표 2와 같이 사이버보안을 국정과제 내 포함하고, 범정부 협력체계 강화 및 기술패권 대응을 위한 준비를 본격화하였다. 국내 사이버보안 정책의 큰 흐름은 보안을 강화하되 이러한 변화가 산업 성장을 저해하지 않도록 다양한 산업 육성 정책을 병행 도입한다는 점이다.

제로 트러스트(Zero Trust) 신 보안체계 도입의 본격 검토는 보안 강화의 한 방편으로 두드러진다. 제로 트러스트는 신뢰성이 보장되지 않은 네트워크에서 서버, 데이터베이스 등 다양한 컴퓨팅 자원에 대한 지속적인 접근 요구에 최소한의 권한을 부여하고 동적 인증을 통해 접근 허가를 허용하는 방식이다[21]. ’23년 관련 솔루션 개발 및 실증사업 추진, 안내서 개발 등 정책을 지원할 예정이다[22].

정보보호 대응체계도 고도화되는 추세다. ’22년 하반기 이후 국가중요기반시설을 확대 지정하여 보호 대책을 강화하고, 중소기업 등 정보보호 역량이 상대적으로 취약한 부문에 대해 찾아가는 보안서비스를 확대하는 등 예방 체계를 강화하고 있다[23].

산업 육성을 위한 규제개선 정책도 다양하다. 위장처리 등 사전 보안 처리가 필요한 국가 위성 정보해상도 규제를 완화하여 위성 정보 활용 산업을 활성화하고, 클라우드 보안 인증을 상·중·하의 3등급으로 구분하여 등급별 차등화된 보안기준을 적용한다. 민감정보를 다루는 클라우드는 보안성을 높이고 보안위험이 상대적으로 낮은 공개 데이터를 다루는 클라우드의 보안 위협을 완화하는 방향이다. 평가 기준이 없어 인증을 획득하기 어려웠던 신기술 제품들에 대해 정보보호제품 신속확인제를 도입하여 혁신적인 제품을 빠르게 국방 등 민간기관 외 국가·공공기관에 도입할 기회도 확보한다. 신규 보안 위협에 선제적으로 대응 가능한 제품의 등장을 촉진해 보안을 강화할 뿐만 아니라 관련 기업 육성의 단초를 확보하기 위한 목적이다[24,25].

다. 투자 방향

’23년 과학기술정보통신부 예산 중 정보보호 및 보안과 관련된 예산은 264억 원으로 알려졌다. 정보보호 인력양성에 163억 원, 정보보호 시스템 평가 및 인증기반 강화에 22억 원, 디지털 융합보안 기반-디지털 안전 선도모델 개발에 38억 원, 디지털 융합보안 기반-양자기술 상용화 기반 조성에 41억 원이 배정된다[26].

또한, 사이버보안 패러다임 전환에 따른 기술패권 경쟁 대응을 본격화하기 위해 총 5년간 3,917억 원 규모의 예비타당성 사업 기획을 추진한다[27]. 사이버 위협 대응체계를 기존 보호, 탐지 위주의 수세적 방어 형태의 대응전략을 넘어 위협 행위자의 식별, 사전 예방적 조치 강화 등 보다 능동적 〮적극적인 형태로 전환하기 위한 것으로 공격 억지, 선제 면역, 회복 탄력, 기반 조성의 총 4개 전략 분야에 대해 대비한다. 최종 통과까지 시일은 소요되겠지만, 날로 중요성을 더하는 사이버보안 분야 대응을 위한 기반 조성 준비를 시작했다는 점에서 의의가 높다.

가. 거버넌스

대통령을 최고 책임자로 하고, 국가안전보장회의(NSC)의 감독하에 국가사이버국장실(ONCD)이 사이버보안전략 및 이행계획을 개발하며, 관리예산국(OMB)과 협력해 이행을 조정한다[28]. 과학기술정책실(OSTP)은 과학기술 혁신 기반의 보안 전략을 담당하며 현재 및 혁신기술의 평가, 개발, 배치 및 거버넌스를 통해 사이버보안 기술의 국제 경쟁력을 강화하고 치명적 위험을 감소하는 데 집중한다. 사이버보안 및 인프라 보안국(CISA)이 사이버 방어, 중요 인프라 보안 및 탄력성 확보를 위한 역할을 맡고 있다[29].

나. 정책 동향

바이든 행정부는 ’23년 3월 새로운 ‘국가사이버 보안전략’을 발표했다. 기존 ’18년 전략대비 기술생태계의 보안과 탄력성 확보 및 회복력 있는 미래를 위한 투자 비중 확대가 두드러진다.

먼저, 기술생태계의 보안과 탄력성 확보를 위한 방안으로 개인정보보호 권리 보장, IoT 보안 및 민간과 정부 간 보안 책임을 보다 명확히 하기 위한 노력을 담는다. 보안 책임을 개인 사용자나 소규모 조직에 지나치게 전가하고 있는 구조적 차원의 문제를 다룰 뿐만 아니라 사이버공간에서의 무책임한 행동에 대해 국가에 책임을 묻고, 배후에 있는 범죄자 네트워크를 와해시키는 등의 적극적, 능동적 대응을 포함한다.

특히 소프트웨어 공급망 보안 강화 관련 이슈가 주요 주제로 다루어졌다. 안전한 개발 관행을 통한 소프트웨어 공급망의 보안 및 일련의 조치를 강화하는 추세에 따라 사이버 위협에 대한 연방 기술의 탄력성을 증가시키면서 기관 네트워크에서 검증되지 않은 기술을 활용하는 데 따른 위험을 최소화하는 데 중점을 두고 있다. 일례로 ’23년 2월, 대통령실은 정부 장치에서 틱톡(TikTok)을 없애기 위한 각서를 발표했다[30]. 이에 정부 장치에서 틱톡 및 바이트댄스 유한회사(ByteDance Limited) 또는 이의 소유 법인이 개발하거나 제공하는 틱톡의 모든 후속 응용 프로그램이나 서비스가 금지되며, 관리예산국장은 CISA, 국가정보국장 및 국방부 장관 등과 협의하여 연방정보기술에서 틱톡을 제거해야 하는 기관을 위한 표준 및 지침을 개발하도록 하고 있다.

회복력 있는 미래를 위한 준비사항으로 글로벌 상호운용성과 표준 촉진, 양자정보시스템 및 인공 지능을 포함한 컴퓨팅 기술, 생명공학 및 바이오 제조, 청정에너지 기술의 보안에 대한 투자 촉진 및 연구개발, 그리고 양자 이후 암호화로의 전환을 위한 계획 수립을 장려한다. 그 밖에도 클라우드 기반 기술과 장치 관련 보안 강화 및 디지털 ID 개발과 활용을 위한 생태계 구축 지원, 기타 인재 양성 관련 사항들을 다루고 있다[31].

특히 양자 이후 암호화 메커니즘으로의 전환 흐름에 주목할 필요가 있다. 양자컴퓨팅은 다양한 이점에도 불구하고, 국가 경제 및 안보에 심각한 위협을 초래할 것으로 예상되며, 충분한 크기와 정교함을 갖춘 암호분석 관련 양자컴퓨터 CRQC는 공개 키 암호화 기법의 대부분을 해독할 수 있는 것으로 알려졌다. 따라서 CRQC가 사용 가능해지면 민간과 군사 통신을 위태롭게 하고, 중요한 인프라에 대한 감독이나 제어시스템을 약화하며, 대부분의 인터넷 기반 금융 거래에 대한 보안 프로토콜을 무력화할 수 있다. 이러한 위험에 대비하기 위해 미국은 2035년까지 암호화 시스템을 양자 후 암호화 체계로 순차 전환하고자 준비 중이다[32].

다. 투자 방향

미국은 ’21년 5월 발표한 행정명령 14028 ‘국가사이버보안 개선(Improving the Nation’s Cybersecurity)’에 따라 패러다임 전환을 시작했다[33]. 정교해지는 사이버 공격에 대비하기 위해 보안을 최우선과제로 하여 연방 시스템 보호 강화 및 정부-민간 부문 간 정보 공유를 개선하고 전반적인 사이버보안 능력을 강화하는 것이 골자다. 이후 연방정부의 투자 역시 이와 일관된 방향으로 추진하고 있다.

국방 부문을 제외한 민간 부문 사이버보안 활동 관련 ’24년 회계연도 지출은 전년 대비 13.7% 증가한 약 127억 달러 규모로 예상된다. 이 중 정부 부처 예산은 전체의 95% 규모인 121억 달러로, 국토안보부, 법무부, 재무부와 같이 중요 정보를 다루는 부처의 예산 비중이 크다. 표 3 [34]과 같이 보호와 대응 부문의 예산 증가율이 상대적으로 높다. 보호는 악의적인 사이버 활동에 효율적으로 저항하고 정보의 공개나 변경을 방지하며, 무결성과 신뢰성을 유지하고 보안 제어와 대책의 유지, 평가 및 적용에 필요한 프레임워크를 구축하며, 승인된 사용자가 필요로 하는 때만 자원에 접근하거나 사용할 수 있게 하는 기능으로 제로 트러스트 구현 등과 관련이 높다. 데이터 침해나 기타 사이버보안 사고에 대해 포렌식 등을 통한 대응을 위한 일련의 준비 또는 조치사항 역시 강화될 것으로 예상된다.

투자 방향성은 관리예산국(OMB)과 국가사이버 국장실(ONCD)이 공동 검토한 사이버투자 우선순위를 통해 더욱 명확히 알 수 있다. 표 4 [34]와 같이 우선순위 관련 신규 배정 예산을 활용해 크게 정부 네트워크 방어 및 복원력 개선, 중요 인프라 방어를 위한 교차 부문 협력 심화, 디지털 기반 미래강화 부문에 투자한다.

R&D 우선순위 역시 큰 흐름에서 벗어나지 않는다. ’24년 회계연도 예산에 대한 다중 기관 연구 및 개발 우선순위는 탄력적이고 안전한 통신을 우선시 하고, 사이버 공격 및 공급망 공격으로부터 중요한 인프라와 민감한 네트워크를 방어하는 데 초점이 있다. 이를 위해 사이버보안의 기본 요소들, 개선된 인증 메커니즘, 제로 트러스트 아키텍처, 임베디드 시스템의 보안 및 복원력, 중요 인프라에 대한 이상 탐지, 소프트웨어 보안 및 침입 탐지에 대한 지원을 추진한다[35].

가. 거버넌스

EU 집행위원회의 위원장을 최고 책임자로 정책적 의사결정을 진행하며, 그 결과를 반영해 유럽정보보호원(ENISA)이 범유럽 사이버보안 전략을 기획한다. 사이버 공격 대응, 중요 인프라 보안 및 탄력성 확보를 위한 역할은 유럽사이버보안센터(CERTEU)가 수행한다[36].

’23년 4월, 기존 범유럽 사이버 위협 대응 협력체계의 근간이던 보안 연합(Security Union) 개념을 구체화하여 ‘EU 사이버 연대법(European Cyber Solidarity Act)’을 채택했다[37]. 한층 강화된 거버넌스하에 사이버 위협 사건에 대한 범유럽 차원의 탐지 및 상황 인식 체계를 확보할 예정이다. 유럽 사이버 쉴드(European Cyber Shield)를 구축하고, 중대·대규모 보안 사고 대응 및 즉각적 복구를 위한 사이버 비상 메커니즘을 도입하는 것이 핵심이며, 관련 자금 지원을 명시하였다[37-42]. 부처 간 통합을 넘어 범유럽 차원의 대응을 위한 실행 도구로 상호 신뢰 관계와 정보 공유의 중요성을 강조한다[37].

나. 정책 동향

러시아-우크라이나 전쟁이 사이버전으로 확대되며 랜섬웨어 등으로 우크라이나 기반시설이 공격당했다. 이 사건으로 국가 간 중요 인프라의 연결성이 높은 유럽 역시 사이버 공격이 확산할 경우 상당한 타격을 입을 수 있다는 인식을 강화하는 계기가 되었다[40]. 이후 표 5와 같이 사이버보안 정책을 강화 해 대응 중이다.

설비제어 관련 제품 및 서비스는 플랜트 산업뿐만 아니라 전력망, 상수도 네트워크 등과 같은 국가 중요 인프라에도 활용되고 있어 침해 시 파급력이 크므로 잠재적인 사이버 공격 고위험 부문으로 포함하고 제로 트러스트를 도입하여 네트워크 방어 및 복원력을 확보할 계획이다[38,39].

또한, 에너지, 디지털 인프라, 운송, 우주 부문 등, 국가 중요 인프라에 한해서는 사이버공간의 안전이 물리적 공간과 동등한 수준으로 보호되어야 한다고 인식해 모든 유형의 위협으로부터 안전을 확보할 수 있도록 준비하고 있다[41,42].

소프트웨어 공급망 보안에 대한 대책 필요성도 강조된다. ’22년 9월에 발의된 ‘사이버복원력법’은 모든 디지털 제품에 소프트웨어 또는 서비스 개발에 사용된 모든 종류의 소프트웨어 정보를 담는 소프트웨어 자재 명세서(SBOM) 제출을 의무화했다[39]. 특히 공공서비스에 활용 중인 공개 소프트웨어 공급망 강화가 시급하다고 판단하여 ’22년 2월부터 관련 시범 프로젝트를 수행 중이다[43].

다. 투자 방향

유럽 정보보호를 담당하고 있는 기관들의 예산은 표 6 [44-48]과 같이 꾸준히 증가하는 추세로 실질적인 전략 이행을 위한 노력이 강화되고 있다.

EU의 사이버보안 관련 R&D는 호라이즌 유럽(Horizon Europe)의 투자 방향과 우선순위를 통해 그 핵심 방향을 살펴볼 수 있다.

표 7 [49]에서 보듯이, 사이버보안 역량 개선(Increased Cybersecurity)을 목표로 ’23년과 ’24년 모두 사이버보안 플랫폼과 보안위협 모니터링 시스템 개발에 높은 우선순위를 두고 있으며, 이는 범유럽 통합관제센터 운용 계획이 반영된 결과로 보인다. 인증, AI, 양자 이후 암호화 등 차세대 보안 기술 확보에도 예산을 투자한다.

투자 우선 분야 세부내용 외에도 ’23년 1월부터 2년간 5.6백만 유로를 투입하여 디지털로 연결된 의료 기기의 사이버보안을 강화하고 제로 트러스트를 구현하는 ENTRUST 프로젝트가 추진 중이다[50]. ’21년 12월부터 ’23년 3월까지 1.4백만 유로를 투자해 블록체인 기반의 분산형 소프트웨어 자재 명세서(D-SBOM)를 개발하는 과제도 추진 중으로 다양한 분야에서 새로운 기술 도입을 시도하고 있다[51].

가. 거버넌스

일본은 사이버보안 정책을 효과적으로 추진하기 위해 내각 총리를 최고 책임자로 산하에 사이버 보안전략본부(Cybersecurity Strategic Headquarters, 이하 전략본부)를 설치 후 운영 중이다. 국가안보위원회(NSC)와 협업할 뿐만 아니라 디지털 전환을 추진중인 디지털 에이전시(Digital Agency)와 정책 수립을 위해 긴밀히 협업하며 자유롭고 공정하며 안전한 사이버공간 확보를 위해 정부 역량을 결집한다[52]. 전략본부 산하 사이버보안센터(NISC)가 사무국 역할을 수행하며 금융 기관, 문부 과학성 등 유관부처와의 협업을 지원하고, 정부보안운영조정팀(GSOC), 사이버사건모바일지원팀(CIMAT) 등을 운영하며 실무를 지원한다.

나. 정책 동향

’21년 9월 28일, 일본은 디지털 전환과 사이버보안을 동시에 발전시키고, 사이버공간의 전반적인 안전과 보안을 보장하며 국가안보 관점의 추진력을 강화하기 위해 표 8과 같이 사이버보안 전략을 개정 발표하였다[53].

’22년 6월, 정보통신, 금융, 항공, 공항, 철도, 전력, 가스, 정부 행정 서비스, 의료, 수도, 물류, 화학, 신용, 석유 등 14개 국가 중요 인프라에 대한 사이버 공격의 파급력을 고려하여 관련 행동계획도 수립하였다. 장애대응체계 강화, 안전기준 등의 정비, 정보 공유체계 강화, 리스크 관리, 방호기반 강화를 골자로 다양한 대비책을 마련하였으며 정부가 주도하되 중요 인프라 사업자 등이 자주적이며 적극적으로 사이버보안 확보를 위해 노력할 것을 규정한다[54].

’22년 10월 문부과학성은 디지털 사회 실현을 위한 중점계획 각료회의 결정에 따라 문부과학성의 향후 5개년 중장기계획도 발표했다. 바람직한 디지털 사회의 실현을 위해 각 부처에서 취급하는 정보 자산을 모두 조사하고 분석한 뒤, 사이버공격으로 자산이 탈취되었을 때 초래하는 위험 수준을 평가하고 기존에 운영하고 있던 클라우드 기반 인증 서비스인 행정정보시스템 중 고위험 시스템을 대상으로 제로 트러스트 기반 인증체계를 도입하고 점차 확대할 예정이다[55].

다. 투자 방향

’23년 일본 정부의 사이버보안 예산은 표 9[56]에서 보듯이 총 1,379억 엔 규모로, ’21년 814.6억 엔에 비해 크게 확대되었다. ’23년 예산 중 방위성의 비중이 큰 폭으로 증가한 점이 눈에 띈다[56].

’21년 R&D 투자 계획에 따르면 가까운 시일 내 사이버공간과 물리 공간을 융합하는 디지털 전환을 우선 추진할 계획이다[57]. 이 과정에서 네트워크 인프라 기술의 고도화와 신뢰성 확보를 동시에 추진할 계획이다.

양자 기술에 관한 기초연구와 함께 AI를 사이버 보안 분야에서 적극적으로 활용할 계획이다. 디지털 전환 과정에서 보안 취약점이 많아질 수 있고 공격자의 수법도 고도화되고 있어 AI를 활용한 대응법 마련에 관심이 크다[57].

’22년 6월 내각부의 통합혁신전략추진회의는 ‘AI 전략 2022’를 발표하며 국가적 위기에 대한 대응력을 강화하는 목적으로, 자연재해와 같은 물리적 피해 뿐만 아니라 설명 가능한 AI에 의한 보안 기술의 확립과 멀웨어 등 사이버공격에 빠르게 대응할 수 있는 자연어처리 모델의 기술개발을 계획하고 있다[58].