신용석 사이버안보비서관 특별 인터뷰
 |
신용석 국가안보실 사이버안보비서관은 최근 <디지털데일리>와 창간 20주년 특별 인터뷰에서 새 정부를 위한 보안 거버넌스 제언을 묻는 질문에 이같이 답했다. 신용석 비서관은 첫 민간 출신 사이버안보비서관으로, 그동안 정부와 민간 가교역할을 해 왔다. 정보보호책임관 위상 강화, 공공·민간 협력체계 정비, 국제공조 기반 마련 등 굵직한 과제를 수행한 인물이다.
신 비서관은 “한국에서는 넓은 의미에서 ‘보안’, 좁은 의미에서 ‘안보’라고 표현하지만 해외에서는 둘 다 ‘시큐리티(Security)’라고 말한다”는 점을 짚었다. 국가 사이버안보전략을 발표할 때 ‘사이버안보’에 초점을 맞춘 만큼, 해외에서 보기엔 좁은 범위에서만 보안을 다룬다고 오인할 수 있다.
국제적으로 부합하는 통합적 시큐리티 전략을 수립한다면, 국가 위상 제고도 함께 꾀할 수 있는 부분이다. 이를 준비하며, 사이버보안과 안보에 대해 내부적으로 변화된 관계 설정을 고민해볼 수 있다.
이와 함께 신 비서관은 최근 벌어진 해킹사고 등을 언급하며 독립성과 전문성을 가진 최고정보보호책임자(CISO) 역할 강화와 경영진 의식 제고를 강조했다. 사이버보안은 기업 생존에 직결된 문제인 만큼, 법적 의무사항을 지키는 것을 넘어 능동적 보안 투자와 관심 제고가 필요하다는 설명이다.
특히, 사이버보안 일선에서 활약하는 보안인들에 대한 격려를 부탁했다. 신 비서관은 “화재가 발생하면 소방관이 불을 끄러 가듯, 사이버보안 사고가 발생하면 한국인터넷진흥원(KISA)과 유관부처·보안 담당자들이 고군분투한다”며 “한 건의 사고라도 줄이기 위해 각자의 초소를 24시간 지키고 있는 분들이 더 힘낼 수 있도록 격려해달라”고 전했다.
한편, 신 비서관은 노무현 정부 청와대에서 정보보안팀장을 맡은 후 미국 마이크로소프트(MS) 최고보안자문역(CSA), 넥슨 글로벌보안센터장, 토스 운영사 비바리퍼블리카 최고정보보호책임자(CISO) 겸 최고개인정보보호책임자(CPO)을 역임 후 지난해 윤석열 정부 대통령실 국가안보실 사이버안보비서관으로 임명됐다.
 |
Q. 첫 민간 출신 사이버안보비서관 역할을 맡았던 소회가 어떠신지요?
▲최초의 민간 출신 사이버안보비서관으로 1년3개월 일했습니다. 보람 있었고, 긍지를 느낍니다.
민간에서 최고정보보호책임자(CISO)로 10년 이상 일했던 경험이 큰 보탬이 됐습니다. 수십년간 사이버안보를 책임졌던 공무원, 군인, 경찰 등 정부와 협업하면서 많은 것을 배우기도 했죠. 이 경험을 밑거름으로 삼아 다시 민간분야로 복귀해 사이버보안 발전을 위해 기여하고 싶습니다.
Q. 민간에서 CISO로 활동했었던 만큼, 정부부처 내 정보보호책임관 지위 격상에도 큰 관심을 보인 것으로 알고 있습니다.
▲정부부처 사이버보안을 책임지는 정보보호책임관을 서기관에서 고위공무원으로 격상했습니다. 시행령을 고쳐 법제화했는데요. 민간에서는 이미 임원급 CISO가 일반화돼 있는 경우가 많아, 늦은 감은 있습니다. 그럼에도 이건 큰 의미가 있는 일입니다.
상대적으로, 정부부처에서 정보보호를 위한 예산과 권한은 적었습니다. 고위공무원으로 격상된 만큼, 예산 조직을 담당하는 기획관리실장이 겸임하고 있죠. 과거보다 (예산 측면에서) 훨씬 좋아졌습니다.
전문성 강화와 교육은 다음 숙제입니다. 민간분야를 따라잡고 선도할 수 있도록 부처 CISO 전문성을 강화하는 것은 차기정부의 몫입니다.
Q. 사이버보안·안보 강화를 위해 많은 활동을 해왔는데, 그 중 어떤 일들이 기억에 남습니까?
▲국가안보실이 사이버안보 컨트롤타워로서 자리잡고, 주관기관인 국정원과 유관부처·기관 협력체계가 구축된 것이 가장 큰 변화였죠.
또한 소프트웨어(SW) 공급망보안 경우 국정원, 과기정통부, 행안부, 디지털플랫폼정부위원회가 협업해 성과를 내고 있죠. 외국에서도 한국 사례를 주목하게 만들었습니다. 이러한 협업과 공조가 매우 중요한 분야가 사이버보안입니다. 국정원이 국가·공공, 민간 파트너십 프로그램으로 ‘사이버파트너스’를 지난해 출범한 것도 주목할 만합니다.
국제행사도 유치했는데요. 올해 영국군이 주최한 디펜스 사이버마블 국제훈련 운영본부가 한국에서 설치돼 운영됐고, NATO 사이버챔피언스 서밋 행사가 오는 9월 서울에서 열립니다.
Q. 새 정부가 출범했습니다. 사이버보안 거버넌스 고민이 있을 텐데요. 사이버보안·안보 강화를 위해 새 정부에게 바라는 바가 있다면요.
▲새 정부가 현재의 사이버보안 및 사이버안보 정책 관련한 공과를 잘 평가해 개선된 정책 수립으로 발전시키기를 기대합니다. 다만, 앞으로는 넓은 의미에서의 사이버보안 분야와 좁은 의미에서의 사이버안보와의 관계 및 협업체계가 개선될 필요가 있습니다.
한국에서는 넓은 의미에서는 ‘보안’, 좁은 의미에서는 ‘안보’라고 표현하는데요. 해외에서는 둘 다 ‘시큐리티(Security)’로 명명합니다. 사이버보안에서는 사이버범죄를 중요하게 다루는데, 안보로 보면 국가안보 개념으로 좁혀집니다. 그러나 모든 건 연결돼 있습니다. 예를 들어 랜섬웨어 공격대상은 민간기업뿐 아니라, 에너지, 의료, 국가 인프라도 포함됩니다.
그동안 국가에서 사이버안보전략을 발표할 때, ‘사이버안보’라는 좁은 의미 카테고리만 다뤄져 왔는데요. 사실 해외에서는 ‘사이버보안’ 전략을 포함한 내용으로 발표하고 있죠. 해외에서 봤을 때 한국은 매우 좁은 범위에서만 이를 다루고 분량도 적다고 오인할 수 있습니다. 해외에 홍보하기 위한 목적을 넘어, 내부적으로도 안보와 보안을 어떻게 체계를 잡고 관계설정을 하고 부처간 역할을 설정할지에 대해 되짚어볼 필요가 있습니다.
이와 함께 사이버안보와 사이버보안은 국제적 협력이 매우 중요합니다. 부다페스트 협약 가입 추진도 여야 한 목소리로 요구해온 것으로, 지난해 경찰·검찰·법무부 합의가 이뤄졌습니다. 이렇게 마련된 대안을 바탕으로 의원 입법 발의도 했죠. 현재 법사위 계류 중이지만, 국회 통과만 되면 새 정부에서 부다페스트 협약에 가입하는 데 문제 없을 것입니다. 새 정부에서 협약 가입이 완성되기를 희망합니다.
아울러, 지금까지 구축된 사이버안보 거넌스를 더 발전시켜야 합니다. 중요한 것은 모범사례를 창출하는 일입니다. 국가안보실(사이버안보비서관실), 국정원, 국가사이버위기관리단(국사단), 유관부처, 민간 기업 협력체계를 지속적으로 발전시킬 필요가 있습니다.
Q. 사이버보안 규제 강화 목소리가 높아지고 있는데, 일각에서는 AI 등 기술 변화 속도를 늦출 수 있다는 우려도 제기하고 있습니다. 이에 대해 어떻게 생각하나요?
▲보안과 활용은 대립적 측면도 있지만, 균형이 중요합니다. 무조건 보안만 강조해서도 안 되며, 활용을 위해 보안을 전혀 고려하지 않는 것도 문제죠. 적절한 수준의 보안은 위험평가에 기반해야 합니다. 위험도가 과대평가되면 과잉보안이 되고, 과소평가되면 보안사고 가능성이 높아집니다.
본인이 속한 기업과 조직에서 사이버보안 위험에 대해 이야기해본 일이 언제 있었나 잠시 생각해보시죠. 경영진 주재로 사이버보안 관련 회의를 해 본 적 조차 없는 곳도 있을 텐데요. 만약 그렇다면, 가장 위험한 상태입니다. 위험평가는 사이버보안 전문가 몫이 아니라, 모든 경영진과 부서장들이 참여해야 하는 일입니다.
법적인 의무사항을 지키는 것만이 능사가 아니며, 실제로 법적 의무는 최소한입니다. 그 이상으로 조직이 노력해야만 해킹사고에 대비할 수 있습니다.
그만큼 경영진이 중요합니다. 회사에서 AI 정책 중 가장 세우기 어려운 부분이 활용정책입니다. 그런데, 경영진이 조찬 세미나만 다녀오면 새로운 지시가 나온다고 하더군요. 1시간 수업 들었다고 그 분야를 다 알 수는 없죠. 내용을 담당부서에 전달해주고 관심을 갖되, 전문가를 믿고 지지해주는 역할도 필요합니다.
Q. 개인정보 유출, 해킹 사고들이 끊이지 않고 발생하고 있습니다. 반짝 관심으로 끝나지 않아야 할 텐데요. 관련해 어떻게 바라보고 계신가요?
▲이번에 SK텔레콤이 해킹사고를 당했습니다. 이로 인해 SK텔레콤은 큰 대가를 치르고 있는데요. 해킹사고 예방을 위해 많은 투자와 인력이 필요하고, 사고 이후 복원력 강화에는 더 많은 투자가 필요합니다.
아무 사고가 없다면, 사이버보안 중요성을 잊을 때도 있습니다. 이번 해킹 사고는 사이버보안 전문가만 아니라, 모든 기업 경영진이 기억해야 합니다. 사이버보안은 기업 최대 리스크이지자, 기업 생존에 직결된 문제라는 사실을요.
기업은 보안 거버넌스를 잘 정비하고 개선해야 합니다. 사이버보안은 이사회 레벨에서 다뤄져야 할 중요한 사안입니다. 대기업일수록 부서 간 정보공유와 협업이 매우 중요하며, 독립성과 전문성을 지닌 CISO 역할이 강화돼야 합니다.
가장 강조하고 싶은 점은, 사이버보안 일선에서 불철주야 고생하는 보안인들에게 격려를 보내야 합니다. 화재가 발생하면 소방관이 불을 끄러 갑니다. 사이버보안 사고가 발생하면 기업과 공공부문 보안담당자, 한국인터넷진흥원(KISA), 사이버보안 유관부처와 전문가들이 고군분투합니다.
그들은 현장에서 굉장히 고생하고 있는데, 격려하는 말을 듣지 못합니다. (공격자 범행이기에) 본인들 잘못이 아닌데 마치 잘못한 것 같은 기분에 휩싸이기도 합니다. 한 건의 사고라도 줄이기 위해 각자의 초소를 24시간 지키고 있는 분들이 더 힘낼 수 있도록 격려 부탁드립니다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.