 |
ⓒ게티이미지뱅크 |
정보보호업계를 중심으로 사이버 보안 강화를 위해 정부가 나서 제로 트러스트 도입 등을 적극 추진해야 한다는 주장이 나온다. 보안 사고가 잇따라 터지면서 정부가 징벌적 과징금 제도 도입 등 기업의 책임만 강조하면서 정작 보안강화 세부 방법은 제시하지 못하고 있다는 지적이다.
8일 정보보호업계 등에 따르면, 정부는 지난해 10월 범부처 정보보호 종합대책을 발표한 데 이어 추가 대책을 준비하고 있다.
종합대책은 징벌적 과징금 제도 도입, 정보보호 공시 의무기업을 상장사로 확대하고, 최고경영책임자(CEO) 보안 책임 원칙 법령상 명문화 등 기업의 사이버 보안 책임을 높인 것이 핵심이다.
업계에선 기업이 사이버 보안에 관심을 갖도록 유도하는 규제 일변도 정책으로 근본적 대책이 되기 어렵다고 본다.
미국의 경우 정부 차원에서 제로 트러스트를 주도적으로 시행하며 국제 사회에 표준을 제시하고 있다. 미국은 2020년 네트워크 관리 솔루션 기업 '솔라윈즈' 해킹사고 등을 겪은 뒤 기존 보안 시스템의 한계를 인식했다. 이듬해인 2021년 5월 바이든 미국 대통령은 행정명령을 통해 연방기관에 제로 트러스트 모델 도입을 의무화했으며, 미국 백악관 산하 예산관리국(OMB)이 제로 트러스트 도입을 주도하고 있다.
제로 트러스트는 '아무것도 믿지 말고, 계속 검증하라'는 보안 개념으로, 기존의 경계형 보안과는 달리 내부망도 '신뢰할 수 없는 구간'으로 보고 정보시스템과 데이터를 각각 분리·보호하고 지속적인 인증·검증을 거친다. 마이크로 세그멘테이션(초세분화), 소프트웨어정의경계(SDP), 인증 체계 강화 등이 핵심 3원칙으로 꼽힌다. 단순 기술이라기 보다는 보안에 대한 철학적 전환으로 평가된다.
국내에서도 제로 트러스트 도입·확산을 위한 입법 움직임이 본격화하고 있다. 최민희 더불어민주당 의원이 대표 발의한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 개정안이 대표적이다. 이 법안은 정보통신서비스 제공자가 제로 트러스트 보안 체계를 구축·운영하도록 규정하고, 제로 트러스트 보안 체계를 도입하는 중소기업에 정부가 지원할 수 있도록 하는 내용을 담았다.
한 정보보호 기업 대표는 “사후 책임만 묻는 보안 대책은 항상 뒤쳐질 수 밖에 없다”면서 “정부가 제로 트러스트, N2SF 등 새로운 보안 체계 확산을 이끌어야 한다”고 말했다.
조재학 기자 2jh@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.