[Security News] 국제 보안 평가기관 수장이 말하는 건강한 보안 강화 3단계

※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.

보안종사자들 간 만남과 교류의 목마름이 해갈되고 있는 ISEC 2020 현장에서 국제전기통신연합(ITU)의 사이버 보안 부문 코디네이터인 오비소 마르코(Obiso Marco)가 영상 기조연설을 진행했습니다. 마르코는 2013년부터 ‘글로벌 사이버 보안 지수(GCI)’ 프로젝트를 진행했던 인물로, 국가별 보안 현황을 가장 정확하게 파악할 수 있는 위치에 있는 몇 안 되는 사람 중 하나입니다.

[이미지 = utoimage]

코로나 사태로 원격 강연을 진행한 그는 제일 먼저 ITU의 궁극적 목표가 전 세계 사람들을 이어주는 것이라고 선언하며, 그러한 목표를 이루기 위해 넘어서야 할 것 중 하나가 사이버 보안이라고 설명했습니다. 모든 사람들이 안전한 통신 생활을 영위하도록 하려면 여러 방면에서의 노력이 이루어져야 보안이 완성된다고도 강조했습니다.

1. 보안을 평가하려면 꼭 살펴야 하는 다섯 개 영역

그가 언급한 ‘여러 분야’란 GCI가 표방하는 다섯 개 영역으로, 법, 기술, 조직, 역량, 협업을 말합니다. 국가적 차원에서는 안전한 통신을 제공하기 위해서는 통신 환경에서의 사이버 보안과 관련된 법, 위협을 방비하고 대처할 수 있는 기술력, 실제 행동을 취하려고 했을 때 구심점이 되어주는 조직의 존재가 필요하다는 것입니다. 또한 장기적인 역량 개발을 위한 노력과 보다 부드럽고 원활한 협업 체계 역시 필수적이라고 그는 강조했습니다.

이 다섯 개 영역으로 보안의 전반적인 수준을 파악한다는 것에 대해 이견이 있을 수 있고, 다른 측정 방법이 존재하는 것도 사실입니다. 그러나 ITU 내부적으로는 이 다섯 가지 영역에서 기본적인 바탕이 이뤄져야 납득할 만한 수준의 보안 체제가 마련된다고 보는 편입니다. 법이 마련되어 있느냐? 기술력을 충분히 갖추고 있느냐? CERT와 같은 조직이 존재하느냐? 역량 개발을 위한 프로그램이 있느냐? 협업은 잘 이뤄지고 있느냐? 이러한 상황을 체크할 수밖에 없기 때문입니다. 그렇다고 GCI가 다섯 개의 질문으로 190이 넘는 ITU 회원국의 역량을 파악하는 건 아닙니다. GCI는 총 82개 문항으로 이뤄져 있으며, 이 질문들은 주기적으로 관리되고 시대의 흐름과 상황에 맞게 업데이트 됩니다. 질문들은 회원국들에게 전달되고, 회원국들이 답을 보내면 ITU 내부에서 분석 작업이 시작됩니다. 현재는 약 160개국이 답변을 보내주며, 2013년에 처음 발족된 이 프로젝트는 2015년 첫 보고서의 형태로 발현됐습니다.

2. 보안, 경제의 언어로 말하라

강연을 통해 그는 계속해서 단순 평가가 GCI의 목적이 아니라고 강조했습니다. 현 상태를 파악하고, 잘 되고 있는 케이스의 노하우를 비교적 잘 안 되고 있는 국가에 공유해 전체적인 보안 역량을 강화하는 것입니다. GCI는 전 세계 사람들을 이어주겠다는 ITU의 ‘안전 장치’와 같은 도구입니다. 그런 GCI의 조사를 통해 한 가지 명확해 진 건 국가의 보안 역량 강화가 국가 경쟁력과 직결된다는 사실입니다. 다보스 포럼의 국가 경쟁력 지수와, GCI에서 조사된 결과를 같이 놓고 분석했을 때 분명한 관계성이 드러났습니다. 돈 많은 나라가 보안을 잘 한다는 게 아닙니다. 보안에 좀 더 신경을 쓰는 나라가 다른 조사 기관의 경쟁력 지표에서도 상위권을 유지하고 있었다는 겁니다. 즉 보안이 국가 차원에서의 경제적 역량과 밀접한 관계를 맺고 있다는 것입니다.

CISO들에게 하는 조언 중 “일반 임원들에게 보안에 대해 설명할 때 ‘돈 액수’ 혹은 ‘경제의 언어’로 하라”는 것이 있습니다. GCI가 국가 차원의 보안 강화를 위해 마련된 도구로서 효력을 발휘하려면 이런 경제적 지표와의 연관성이 반드시 필요합니다. 그래서 그런지 GCI를 접한 국가들 사이에서 변화가 일어나기 시작했습니다.

3. 일으킨 변화를 자랑스러워하라

초기에는 사이버 보안 관련 법을 가진 국가가 그리 많지 않았습니다. 하지만 지금은 훨씬 많아진 상황이고, 법안 준비를 위해 여러 나라에서 자문을 구하는 정부들도 늘어났습니다. 국가 차원에서는 보안 정책과 프레임워크가 필요하며, 처음에는 이런 장치를 갖춘 나라가 100개 미만이었지만 지금은 107개국까지 늘어났습니다.

[이미지 = 보안뉴스]

또한 정책이 실제 상황 속에서 구체적으로 ‘실현’될 때에는 명문화 된 법이나 정책만으로 안 됩니다. 누군가가 그 명문화 된 글줄들을 가지고 행동을 시작해야 합니다. 즉 구심점이 필요하다는 건데, 마르코 코디네이터는 CERT(컴퓨터 비상 대응팀)가 그러한 책임을 맡은 조직들이라고 설명했습니다. CERT가 늘어나면 늘어날수록 정책 운영의 효율이 높아집니다. 산업별로 설립된 CERT가 서로 정보를 공유하면 더 빠르게 대응할 수도 있습니다. 현재 CERT와 같은 기능을 하는 조직이 늘어나고 있다는 것도 GCI가 일으킨 긍정적인 변화라고 봅니다.

그러나 아쉬운 건 아직 ‘대화’가 현저히 부족하다는 것이라고 그는 덧붙였습니다. 국가 간 수사 공조 등의 협력 체계는 크게 발전했습니다. GCI가 처음 시작됐을 때는 서로 다른 나라의 경찰들끼리 사이버 범죄를 같이 수사한다는 게 불가능해 보일 지경이었는데, 지금은 그 프로세스가 엄청나게 빨라져 성과도 많이 거두고 있습니다.

그러면서 마르코는 요약하자면 CERT가 많아질수록, 프레임워크가 올바르게 수립될수록, 대중들을 위한 보안 교육 캠페인이 늘어날수록, 서로 다른 조직들 간 대화가 원활해질수록 국가 차원의 보안 전략이 건강하게 마련된다고 말했습니다. GCI를 통해 ‘우리나라가 몇 등했다’만 볼 것이 아니라 다른 나라의 어떤 부분을 배워야하는지 살피는 것이 저희를 더 잘 활용하는 방법입니다.

출처 : 보안 뉴스