[전문가기고] KISIA, 자율보안 협의체 신설로 보안산업 기반 강화

실시간
뉴스

보안

[전문가기고] KISIA, 자율보안 협의체 신설로 보안산업 기반 강화

디지털데일리 발행일 2025-04-08 16:10:36

조영철 한국정보보호산업협회 회장(파이오링크 대표)

URL복사

"Secure-up Together : 정보보호산업계 스스로 협력해 지켜내는 보안 가치"

최근 널리 사용되는 소프트웨어 제품의 정보 접근 권한을 탈취하거나 업데이트 서버를 공격하는 등, 소프트웨어 기업과 보안기업을 대상으로 하는 사이버 위협 사례가 증가하는 추세다.

지난 2024년 미국 재무부 산하 부서 외국자산통제국(OFAC)이 사이버 공격을 당했다. 워싱턴포스트는 이 공격이 제3자인 정보기술(IT) 서비스 공급업체를 통해 정부기관을 표적으로 삼는 전략을 사용했다는 점을 강조했다. 이외에도 블룸버그에서는 페덱스, 줌, MGM리조트 등 거대 유명기업들을 고객으로 보유한 글로벌 인증관리 플랫폼인 옥타를 대상으로 한 소프트웨어 공급망 공격으로 관련 고객들이 사업에 심각한 차질이 빚어졌다고 발표하기도 했다.

사이버시큐리티벤처스에 따르면 소프트웨어 개발, 유통, 배포 등 소프트웨어 공급과 관련된 모든 과정에서 발생할 수 있는 소프트웨어 공급망 공격으로 2023년 600억달러(약 87조원)의 피해가 발생했고, 2031년에는 1380억달러(약 200조원)의 피해가 발생할 것으로 전망된다. 국내에서도 몇 건의 사고가 발생한 바 있다. 국가사이버안보센터에 따르면 지난해 정보보호·IT 제품의 제로데이 취약점(개발자나 보안 전문가에게 아직 알려지지 않은 취약점)을 악용한 북한의 소프트웨어 공급망 공격은 전년 대비 2배 이상 증가했다.

특히 이러한 공격의 양태는 정보보호 솔루션에 더 큰 위협으로 작용한다. 정보보호 제품의 특성이 고객의 주요 자산을 보호하기 위해 여러 시스템과 연동하고 접근하는 특성이 있기 때문에, 공격이 성공했을 때 해당 기업의 중요 정보는 물론 고객 기업으로의 접근도 용이하여 큰 위험을 야기할 수 있다. 이렇게 하나의 보안솔루션을 겨냥한 공격이 활용 기업과 조직 전체의 사용자와 시스템으로 확산될 수 있다는 점을 노릴 수 있다는 것이다.

물론 기존에도 국내 정보보호 기업들은 CC인증 등의 제도 아래 제품의 취약점을 점검하고, 소스코드 보안 및 형상 관리를 수행하는 등 보안 관리에 만전을 기해 왔다. 그러나 정보보호기업을 대상으로 한 사이버보안 공격이 고도화되고 있는 만큼, 우리의 보안 수준과 보안에 대한 가치를 다시 한번 돌이켜보고 미래를 대비해야 할 시점이다.

이러한 배경에서 출발해 정보보호기업 스스로 전반적인 보안 체계를 한층 더 강화하자는 취지로 '정보보호기업 자율보안 협의체'를 신설하고자 한다. '시큐어 업 투게더(Secure-up Together)'라는 협의체의 슬로건은 협의체의 가치를 가장 잘 반영하고 있다. 보안이 모든 정보보호 기업의 최우선 가치임을 인식하고, 기업 간 협력을 통해 보안 수준을 자발적으로 강화해 안전하고 신뢰할 수 있는 보안 환경을 조성하자는 의미를 담고 있다.

이번에 신설되는 정보보호기업 자율보안 협의체는 세 가지 주요 활동을 통해 정보보호 기업의 보안 체계 강화와 보안 인식 제고를 목표로 한다.

첫째, 정보보호 기업의 수준별 자율보안 수칙을 개발해 기업들이 이를 자발적으로 준수할 수 있도록 지원할 예정이다. 기업 규모별로 현실적이고 체계적인 보안 수칙을 마련하여 보안 체계를 효과적으로 강화하는 것이 목적이다.

둘째, 보안 인식 제고를 위한 릴레이 캠페인을 진행한다. 정보보호 기업이 스스로 보안을 강화하기 위한 활동에 참여하고, 캠페인 참여 의지를 다짐함으로써 보안 강화 분위기 확산의 기반을 마련한다.

마지막으로, 자율보안 우수 사례 및 노하우를 공유하여 기업들이 우수 사례를 참고하고 보안 역량을 강화할 수 있도록 지원한다.

보안은 모든 기업에 중요하지만, 특히 우리 정보보호 기업에게는 더욱 핵심적인 가치다. 이번 자율보안 협의체의 신설은 또 하나의 인증제도나 형식적인 가이드가 아니라, 정보보호 기업이 주도적으로 협력하고 '자율적'으로 보안 체계를 강화하는데 앞장선다는 점에서 의미가 있다. 협의체를 통해 정보보호 산업계의 보안 수준이 더욱 견고해지고, 안전한 보안 문화가 정착되며, 이를 바탕으로 더욱 신뢰받는 정보보호 생태계가 구축되기를 기대한다.

조영철 한국정보보호산업협회 회장(파이오링크 대표)

<기고와 칼럼은 본지 편집 방향과 무관합니다.>