[신년특집] 2015년 정보보호분야, 달라지는 것들

2015년 보안 '사이버침해대응과 신설·IoT로드맵' 등 바뀐다

아주경제 장윤정 기자 = 2015년에는 원전 해킹, 카드 3사 개인정보 유출 사고 등 굵직한 사고의 여파로 '사이버침해대응과'가 신설되며 주민등록번호 변경이 허용되는 등 정보보호 분야의 변화가 예고된다.

또 2014년 '천송이코트' 사건으로 논란의 중심에 섰던 공인인증서, 엑티브엑스 등이 퇴출되고 2015년부터 본격화될 사물인터넷(IoT) 보안 로드맵이 가동되는 등 2015년 정보보호 분야에서 달라지는 것들을 살펴본다.

◆'사이버침해대응과 신설·IoT 로드맵 수립' 등 기대 
정부는 미래창조과학부 정보화전략국에 사이버침해대응과를 신설한다. 새로 생길 사이버침해대응과는 기존 정보보호과와 달리 사이버침해사고대응 및 예방에 집중할 예정이다. 

홍진배 미래창조과학부 정보보호정책과 과장은 "신설될 사이버침해대응과는 기반 시설에 대한 지속적 점검 및 훈련의 실효성 제공, 전담 체계 구성 등 국가 주요 기반시설에 대한 사이버공격 예방차원의 기능을 수행하게 된다"며 "기존 정보보호정책과는 정책 수립, 산업과 인력 육성 등에 초점을 맞출 것"이라고 말했다. 

현재 사이버침해사고 발생 시 최고 컨트롤타워인 청와대로부터 미래부 정보보호과에 지시가 내려오지만 내년 사이버침해대응과가 신설되면 청와대로부터의 지시를 신설 과가 받게 된다. 

홍 과장은 "현재 정보보호과는 보안 산업육성, 인력양성, 침해사고 대응 등 모든 업무가 복합돼 있어 한 분야에 집중하기 어렵다"며 "사이버침해대응과가 신설되면 한수원 해킹이나 3.20 사이버테러와 같이 기민하게 움직여야하는 사고 대응에 있어 대응력이 높아질 것으로 기대한다"고 설명했다.

특히 사이버침해대응과는 올해 신설한 사이버 위협 정보분석 공유 시스템 ‘C-TAS(Cyber Threats Analysis System)’을 효과적으로 활용, 국내 주요 기관의 사이버공격에 대한 예방 기능이 향상될 것으로 기대된다. 

또 정부는 2015년 사물인터넷(IoT) 분야가 본격 활성화될 것에 대비, IoT 보안 로드맵을 수립, 2015년부터 이를 수행할 예정이다. 

미래부는 우선 홈·가전, 의료, 교통 등 7대 분야 사물인터넷 제품·서비스의 설계단계부터 유통·공급 및 유지보수까지 모든 주기에 걸쳐 보안 내재화(內在化)를 추진한다.

미래부는 또 사이버위협 발생 시 즉각적인 대응을 위해 종합 대응체계를 구축, 사물인터넷 제품·서비스별 취약점 정보 공유·분석체계(IoT-ISAC)를 구축하며, 침해사고 발생시 신속히 대응 및 관리하기 위한 사물인터넷 침해사고 종합 대응체계를 단계적으로 마련한다.아울러 민간주도의 사물인터넷 보안인증을 도입해 소비자가 안심하고 사물인터넷 제품·서비스를 이용할 수 있도록 지원할 계획이다.

◆'국제·국내용 CC인증제·엑티브엑스 폐지' 눈길
국가정보원으로부터 CC인증 업무를 이관받아 미래부는 2015년 CC인증 제도도 대폭 손본다.

CC인증 대상을 백신, 방화벽 등 보안제품 외에 네트워크 장비, 스마트폰, 사물인터넷(IoT) 및 M2M 신규제품 등으로 확대하는 동시에 CC인증을 효율적으로 활용하기 위해 국내용 CC인증과, 국제용 CC인증로 나눠 받을 수 있게 했다.

예를 들어 해외수출, 국내 공공기관 납품을 희망하는 보안회사들의 경우 국내용, 국제용으로 2개 인증서를 발급한다는 계획이다. 

중소 정보보호업체를 지원하기 위해서는 평가수수료를 최대 50%까지 지원하고, 정보보호제품이나 서비스에 대해 투자하는 경우 내년부터 약 10% 가량 조세감면 혜택을 주는 방안도 내년 시행을 위해 검토중이다. 

무엇보다 큰 변화는 지난 3월 박근혜 대통령의 ‘천송이 코트’ 발언으로 공인인증서와 엑티브엑스 보안프로그램 등이 2015년 사라지게 될 전망이다. 

먼저 금융당국은 우선 전자금융감독규정 시행세칙을 개정해 공인인증서 의무사용 규정을 폐지했다. 아직까지 신용카드사들은 여전히 공인인증서를 사용하고 있지만 이는 공인인증서를 대체할 수 있는 전자서명 솔루션의 검증이 끝나지 않았기 때문으로 분석된다. 하지만 정부의 기조가 모두가 전자상거래를 편리하게 사용할 수 있도록 하는 것이기 때문에 내년 전자상거래 시장에서는 공인인증서 사용을 강제화하는 서비스는 점차 줄어들 것으로 기대된다.

또 내년 1월부터 금융권에서 액티브엑스 보안프로그램을 의무로 설치하지 않아도 된다.

금융위원회는 전자금융보안 개선, 거래정보 재위탁 기준 등을 담은 전자금융감독규정개정안을 변경을 예고 했다. 개정안에 따라 내년 1월부터 액티브엑스를 강제하는 보안프로그램 설치 의무가 사라진다. 

또한 올해 잇따라 발생한 개인정보 유출 사고 등을 계기로 논란이 불거졌던 주민등록번호 변경도 가능해진다. 향후 주민등록번호가 유출돼 중대한 피해를 입을 우려가 있다고 인정될 경우 주민등록번호를 변경할 수 있게 됐다. 

행정자치부는 이같은 내용을 담은 '주민등록법 개정안'을 30일 국무회의에서 의결하고 2015년 통과시킬 계획이다. 

전문가들은 "최근 소니 픽처스나 한국수력원자력과 같은 사고를 계기로 국내 기업, 기관들에게 보안에 대한 인식을 제고해 보안을 더 이상 비용이 아닌 투자로 이어지도록 해야할 것"이라고 주문했다.