EU의 경우도 2012년부터 유럽네트워크정보보호원(ENISA) 주도로 10월을 유럽 사이버보안의 달로 지정하고 있는데 매주 기획된 주제가 개별 타겟별로 세분화되어 있다는 것이 특징이다. 예를 들면, 첫째주는 기술전문가, 둘째주는 인터넷 사용자, 셋째주는 학생 등의 그것이다.
물론 우리나라도 2012년부터 매년 7월을 ‘정보보호의 달’로 지정하고 7월 둘째 수요일을 ‘정보보호의 날’로 기념하고 있다. 이는 2009년 7월 해커에 의해 감염된 좀비PC 11만 대가 정부기관을 비롯한 22개 인터넷사이트를 공격해 전산망이 마비되었던 ‘7.7 DDoS 공격’에 대한 경각심을 일깨우자는 뼈 아픈 배경에서 선정된 것이다.
왜 우리나라를 포함한 글로벌 선진국들은 이러한 사이버보안 관련 많은 관심과 특히 인식 향상을 위해 애쓰고 있는 것일까? 이는 사이버보안은 이제 특정 부문의 문제가 아닌 국가, 기업 전반의 문제로 분명히 인식되고 있으며, 이의 해결을 위해서는 단순히 기술적인 대응만이 아닌 국민과 조직 구성원의 사이버 보안 인식 향상이 필수불가결하다는 결론에 이르렀기 때문일 것이다.
기술적으로는 전통적으로 국가 또는 기업의 울타리 안에서만 사이버 보안을 강화하면 된다는 이론이 더이상 그 효과성을 잃어가고 현재의 사이버 세상에서는 비경계화(De-perimeterization)라는 개념하에서 사이버 보안이 고려되어야 한다는 것이다. 이러한 비경경계화라는 개념은 유럽 기반의 주요 기업 사이버 보안 최고책임자(CISO)들의 자발적인 모임으로 2004년 시작된 제리코포럼(Jericho Forum)에서 주도적으로 다뤄졌던 개념으로 현재의 사이버 환경에 적합한 보안 모델로 인식되고 있다.
매년 글로벌 기업들은 비즈니스, 데이터 그리고 고객을 보호하기 위해 사이버 보안에 많은 투자를 하고 있다. 글로벌 리서치 기관인 오범(Ovum)에 따르면 2016년의 글로벌 기업들의 보안 투자 금액은 42조를 넘을 것으로 예측되고 있다. 위협 수준은 계속 증가하고 이와 연관된 투자 등이 계속 이어지고 있다는 것이다.
최근 방한한 전략컨설팅회사 맥킨지의 도미닉 바턴(Dominic Barton) 회장은 국내 일간지와의 인터뷰에서 리질리언스(Resilience)에 대해 언급했다. 이 인터뷰에서 리질리언스라는 단어를 탄성회복력이라고 번역했는데, 고무 같은 물질이 압력을 받아 외형이 변하고, 이후 급속히 원래 모습으로 회복할 때 외부로 에너지를 방출하는 성질 즉 탄성이나 탄력을 말한다고 설명하고 있다. 필자 또한 사이버 보안에서도 이러한 리질리언스가 매우 중요하다고 생각하는 사람중 하나이다. 이제 사이버 보안 영역에서 사고는 100% 방지할 수 있다고 말하는 것이 매우 어렵다는 것이 보안 전문가 대다수의 공통된 의견이다. 이러한 상황에서는 이제 100% 방지라는 성취하기 어려운 목표보다는 사고가 일어나도 이것의 영향력을 최소로 하고 기존의 형태, 시스템, 프로세스로 얼마나 신속하게 되돌아가는가 하는 능력 즉, 리질리언스가 더욱 중요한 환경이라고 말할 수 있다.
사이버 보안에서 또하나 간과하지 말아야 할 부분이 개인정보보호이다. 또한, 개인정보보호 관련 법률과 규제를 강화하는 글로벌 추세 속에서 대한민국의 울타리 안에서만 개인정보보호를 생각하는 단편적인 관점은 우리의 비즈니스 영토가 한층 글로벌화된 현 시점에서 더이상 효과적이라고 언급하기가 어려운 상황이다.
개인정보보호에 있어 1995년 제정된 EU의 Data Protection Directive(이하 DPD)는 개인정보보호 법률에 있어 역사적인 성취를 이뤘다고 평가되는 법률이다. DPD의 기본적인 두 가지 원칙인 EU 내부 시장기능의 유지와 개인 기본권의 효과적인 보호는 제정 후 20년이 지난 오늘날까지도 유효성을 인정받고 있다. 다만, 현재의 DPD는 인터넷 태동기에 도입되었기에 모바일 결제(Mobile Payment), 사회 연결망(Social Networking), 클라우드 컴퓨팅(Cloud Computing), 위치기반 서비스, 스마트 카드 등 최신 기술의 변화와 글로벌화는 개인 정보보호 관련 법률에 새로운 과제를 던지고 있으며, 이러한 흐름 속에서 2014년 부터 시작된 DPD 개정안은 미래의 기회를 확보하고 문제점을 최소화하며 디지털 시대에 부합하려는 노력의 일환으로 이해될 수 있다.
Non-EU 국가가 EU의 “적합성(Adequacy)” 범주에 해당하면 Non-EU 국가로의 EU 회원국 국민 개인정보의 이동/저장이 허가된다. 2015년 기준 캐나다, 아르헨티나, 뉴질랜드 등 총 11개국이 이러한 적절성 지위를 확보하여 개인정보의 국제적 이동에 대해 상대적으로 자유로운 상황이다. 최근 우리나라 기업들이 유럽 국가의 개인정보를 유럽 이외 지역에서도 다룰 수 있도록 하기 위해 범 정부 차원의 태스크포스팀(TFT)이 꾸려진 것 또한 이러한 EU의 범주에 대응하여 우리나라 기업의 비즈니스 활동을 개인정보보호의 규제 측면에서도 일치시키기 위한 정부와 기업들의 합심된 행동이라고 이해하면 되겠다.
지금까지 사이버 보안에 있어서 비경계화와 리질리언스, 그리고 개인정보보호와 관련된 글로벌 컴플라이언스에 발 맞추는 우리정부와 기업들의 노력 등을 간략하게 살펴 보았다. 강조했던 바와 같이 이제 사이버 보안은 정부 또는 기업 특정 부서만의 책임이 아닌 조직 구성원 전체, 나아가서는 국민 모두가 관심과 책임을 가지고 살펴 봐야 하는 주제로 분명하게 대두되었다. 이러한 구성원 하나하나의 관심과 노력이 대한민국을 사이버 보안 강국으로 나아가게 하는 원동력임에 틀임없을 것이다.
EY한영 김상우 디렉터
EY한영 김상우 디렉터
