사이버 시큐리티와 정보보호산업 > News Insight

 최근 파리 테러 사태에서 테러범들은 첨단 IT 기술을 테러 등에 적극적으로 활용하고 있음을 언론 보도를 통해서 쉽게 알 수 있다. 소셜 미디어를 통한 정보 전달, 선전 선동, 무기 제조법 전수, 요원 모집, 사이버 심리전 전개 등과 암호화 된 앱이나 익명 통신로를 통한 정보기관의 감청이나 추적을 우회하거나 회피하는 등 젊은 세대들에게 익숙하고 첨단화된 IT 수단들을 적극적으로 활용하고 있음을 간접적으로 알 수 있을 것 같다. 

테러와 사이버 테러 

과거의 테러 사건들을 되돌아보면, 이러한 테러의 형태는 앞으로 더욱 첨단 IT 기술을 활용할 것으로 예상되며, 사이버 테러와 함께 보다 첨단화되고 교묘화되고 글로벌화되어 소프트 타켓을 목표로 하거나, 해당 국가의 주요 기반 시설들을 집중적으로 마비 또는 파괴시켜, 결국에는 해당 국가의 경제적 혼란, 사회 불안 조성, 국가 안보 등에 이르기까지 심각하게 영향을 주는 형태로 확대 확산될 것으로 예상된다. 

반면, 새롭게 급변하고 있는 세계적인 안보 환경의 변화에 대해 우리나라의 대응 태세는 물론이고 우리나라의 인식 수준은 너무도 안이하고 미흡한 것 같다. 테러 및 사이버 테러 관련 법령이 아직도 제정되지 않고 있으며 정보기관이 배제된 금융정보분석원(FIU)법(특정금융거래정보법)이나 아직도 가입 검토조차 하고 있지 않은 사이버범죄협약 등, 국가 안보, 국가 이익, 국민 생명 등에 직결되는 문제들이 정치적 이해 관계 등으로 아직도 마련되고 있지 않는 실정이다. 

우리의 이러한 대응 태세와는 무관하게, 물리적 테러가 첨단 IT 기술을 적극 활용하여 사이버 공간에서 사이버 테러와 함께 동시에 발생되거나 테러를 더욱 효과적으로 실행하는 데 사이버 테러가 단독 또는 병행하여 사용되고 있으며 앞으로 더욱 사이버 테러가 단독 또는 복합적으로 교묘화되고 첨단화되어 갈 것으로 많은 전문가들은 예상하고 있다.

즉, 해커 또는 해커를 고용한 집단이나 불량국가들이 원자력 발전소, 댐, 통신시설, 에너지 시설, 교통 시설 등 국가의 주요 기반 시설을 타켓으로 사이버 테러를 감행하게 되면 주요 기반 시설의 파괴나 기능 마비로 인한 국민 생명, 사회 혼란, 경제 손실, 국가 안보 등에 대한 피해는 이루 말할 수 없을 정도로 참혹할 것이다. 

사이버 위협 현황

최근 우리나라는 한수원 해킹 사태 등 ICT 의존도의 확산으로 인하여 사이버 피해가 급증하고 있는 실정이다. 악성 코드 유포지 및 경유지가 매년 급격하게 증가하고 있으며, 신규 취약점 분석 건수 및 전자 금융 사기 대응 건수 등도 매년 증가하고 있다. 

한국인터넷진흥원의 자료에 의하면, 전 세계 사이버 범죄로 인한 경제적 손실이 연간 약 452조원으로 추산되며 이는 전 세계 GDP의 0.8% 수준의 사회적 비용 유발효과를 나타내며, 국제 범죄가 1.2%, 마약이 0.9%, 위조 및 저작권 침해가 0.89%의 뒤를 이어 네 번째로 사이버 범죄로 인한 비용 부담이 증가하고 있다. 사이버 테러로 인한 국내 주요 피해 사례를 살펴 보면, 1.25 인터넷 대란으로 인한 피해 비용이 1,055억원에서 1,675억원 정도로 추정되며, 방송국, 은행 등 주요 전산망 마비로 인하여 생긴 피해 비용이 8.672억원, 카드 3사 개인정보 유출로 인하여 4,892억원, 와이브로와 선박 건조 등의 기술 정보 유출로 인해서는 2조 8천억원 이상의 비용 손실을 일으키고 있는 것으로 추정되고 있다. 

지난 10년간의 사이버 공격으로 인한 피해의 평균과 자연 재해로 인한 피해의 평균 규모를 비교하여 보면 자연 재해로 인한 피해 규모는 1.7조원임에 비하여 사이버 공격 등으로 인한 피해는 3.6조원으로 자연 재해로 인한 피해 보다 거의 2배 수준에 해당되고 있다. 

그리고 사이버 침해의 형태는 개개인의 금전 탈취, 기업의 경영 자산 탈취 및 파괴, 사회 혼란, 국가 안보 위협까지 광범위하며, IoT나 CPS(Cyber Physical System) 의 급속한 확산에 따라 기존 사이버 공간의 위험이 현실 세계로 전이 및 확대되고 있는 실정이다. 즉, 사이버 공간에서의 정보 유출, 금전 피해와 같은 사이버 위협이 초연결 사회를 통하여 물리적 공간에까지 시스템 정지나 인간의 생명 위협 등으로 진화하고 있으며 이러한 사이버 위협이 사이버 세계에만 머무르는 것이 아니라 물리적 공간인 현실 세계에도 심각한 영향을 주게 된다는 것이다. 

사이버 위협 대응 전략

사이버 공간에서의 이러한 사이버 위협 즉 사이버 범죄와 사이버 테러와 같은 사이버 공격에 우리가 어떻게 앞으로 대처해 나가야 하며 어떻게 우리가 우리의 사이버 대응 역량을 강화해 나가야 할 것인가? 이러한 과제에 대해 우리가 생각해 볼 수 있는 가장 기본적인 대응 전략은 정보보호 산업 육성과 정보보호 전문가 육성이다. 우리나라 사이버 보안 역량 강화를 위해서는 크게 정보보호 산업 육성과 정보보호 인재 양성 두 축이 가장 중요한 요소가 된다. 정보보호 산업이 육성되어야 양질의 일자리가 마련되고 일자리가 마련되어야 우수한 인력이 정보보호 분야로 진출하게 된다. 우수한 인력이 정보보호 전문가가 되어야 우리나라 사이버 보안 역량은 더욱 강화될 것으로 생각된다. 

국내 정보보호 산업 현황

국내 정보보호 산업은, 끊임없이 계속되는 사이버 공격에 대하여 지속적으로 진화 발전해야 하는 미래 신성장 산업이며, 사이버 공간의 생활 비중이 확대되며 국민 생활에 필수적인 사회 안전 산업이기도 하며, 사이버 테러 위협과 파괴력 증가로 볼 때 국가 안보를 위협하는 방위 산업의 성격도 있으며 정보 보호에서 모든 산업 분야로 확산되는 융합 보안으로 발전하는 특성도 갖고 있다. 

반면, 국내 정보보호 산업은 2014년도 시장 규모가 약 1.7조 정도로 한마디로 너무나도 영세한 산업이다. 정보보호 시장은 최근 2년간 13%에 해당되는 평균 성장률이 3.7%로 급격하게 떨어지고 있으며 성장이 정체 또는 포화상태에 이르고 있으나 글로벌 정보보호 기업의 국내 시장 점유율은 오히려 급신장세를 이루고 있다. 국내 정보보호 산업 수출액 규모는 766억원으로 수출 성장률은 8.8%로 다소 높은 것 같으나 실질 수출 금액은 수출 산업이라고 하기에는 너무나도 빈약한 현실이다. 

국내 정보보호 기술 수준 또한 미국 등 선진국과 2~3년 정도의 기술 차이가 나며 원천 기술 등의 기술 경쟁력 면에서는 심각할 정도로 뒤떨어져 있으며 시장이 협소한 특정 제품만이 일부 세계 수준에 근접해 있는 수준이다. 물론 정부의 정보보호 정책 또한 규제를 통한 시장 창출과 공공 주도의 산업 육성 등 규제 중심의 정책으로 인하여 국내 기업들이 국내에서만 발전하려는 점도 있으며, 기술 개발, 해외 시장 개척 등 글로벌 경쟁력을 확보하려고 하거나 성능 위주의 자율 경쟁 등을 통한 제품 경쟁력 중심 시장 전환 등에는 다소 부진한 면도 있는 것 같다. 

국내 정보보호산업 경쟁력 부족은, 기초 원천 기술 부족과 정보보호 R&D 투자 부족 그리고 기술 거래 활성화 등 미흡으로 인한 공급 측면의 부족과 사업 규모의 영세성, 글로벌 진출 기반 미약, 국내 정보보호 시장 경쟁 심화 등의 구조적 측면의 영세한 산업 구조의 악순환에 있다고 판단해 볼 수 있다. 특히 정보보호 제품이 일반 SW 유지 관리 대비 1.9배 이상의 추가 비용이 소요되고 해외 제품의 경우도 10~20%의 서비스 비용을 추가 인정하고 있는 점을 고려할 때, 정보보호 서비스 대가 비정상화로 인한 국내 정보보호 제품의 경쟁력 저하도 한 몫을 차지하고 있다고 판단된다. 국내 정보보호 기업이 다소 영세한 점이 있다고 하여도 이러한 정보보호 서비스 대가가 불인정되어 기업 수익 악화로 이어져서 연구 개발과 우수 인력 확보에 투자하지 못하여 결국에는 기술 경쟁력 부족의 악순환으로 이어지고 있다고 판단된다.

국내 정보보호 산업 발전 전략

우리나라 정보보호 산업 발전을 위한 주요 전략은 투자 촉진, 시장 확대, 기술 개발과 인력 양성으로 요약해 볼 수 있다. 정보보호산업 투자 활성화를 위해서는 민간, 공공부문 정보보호 지원을 강화하고 정보보호 예산을 정보화 예산과는 별도로 항목을 분리하고 확대 추진하며, 정보보호 산업 진흥 법제화에 따른 후속 조치가 지속적으로 이루어지도록 해야 한다. 

의료, 자동차, 가전, 물류 등 주요한 융합 보안 분야로 새로운 시장을 창출해야 하며 기반 시설 지정 등의 정보보호 강화 정책을 통하여 국내 정보보호 제품 및 서비스 시장 활성화를 해나가야 하며 해외 진출도 적극적으로 추진하여 시장을 확대해 나가야 한다. 

정보보호 인력 양성 확대 및 기반 구축을 하도록 하며 생애 주기형 인력을 양성하도록 정보보호 인력 통합 관리 지원 시스템도 구축 운영하도록 해야 하고 세계 일류 정보보호 제품 개발은 물론이고 원천 기술 등 첨단 기술 경쟁력을 확보할 수 있는 분야에 대한 기술 개발도 적극적으로 이루어져야 한다.

정보보호 산업은 우리나라의 잠재 성장 동력

최근의 파리 테러 사태는 물론이고 사이버 공간에서 일어나는 각종 사이버 위협들이 첨단 IT 기술은 물론이고 소셜 미디어를 통하여 급격하게 복잡하고 빠르게 변모하여 금전 손실, 경제와 사회 혼란은 물론이고 국가 안보에 이르기까지 많은 위협이 되고 있다. 이러한 위협에 적극적으로 대처하기 위해서는 사이버 보안 역량 강화가 필수이며 이를 위해서 정보보호 전문 인력 양성과 정보보호 산업 육성이 가장 중요한 과제가 될 수 있다. 또한 정보보호 산업은 우리나라 인적 환경 등에 아주 적합한 산업 형태이며 우리나라의 잠재 성장 동력이 될 수 있는 아주 적절한 분야이다. 이를 위해서 국가가 나서서 정보보호 R&D를 과감하게 선제적으로 투자하고 영세한 국내 정보보호 기업의 육성을 위해서 M&A 등 과감한 조치를 해나가는 것이 필요하다. 지금 국가가 정보보호 산업을 어떻게 육성하고 추진하느냐에 따라 사물인터넷(IoT)이나 CPS 등 다가오는 초연결 사회에서의 성공 여부도 달려있으며 미래 국가 성장 동력이 되기도 하며 글로벌 경쟁력이 있는 산업으로 발전할 수도 있을 것이다.