[디지털데일리 최민지기자] 2016년부터 8년간 국제무대에서 전세계와 어깨를 나란히 하며, 정보보호분야 국제표준화를 이끈 염흥열 ITU-T 연구반17 국제의장이 올해 10월 임기 만료를 앞두고 있다.
순천향대 정보보호학과 염흥열 명예교수는 지난 2016년 10월 세계표준화총회(WTSA)에서 정보보호분야 ITU-T 내 정보보호에 대한 국제표준화를 담당하는 연구반 17(SG17) 국제 의장으로 선출됐다. 한국 최초의 기록이다. 이후 염흥열 국제의장은 2022년 3월 재선임되면서, 한국의 위상을 또다시 높일 수 있었다.
규정상 두 번 이상 동일 직급 임기를 허용하지 않기에, 염 국제의장은 올해 10월 인도에서 열리는 세계표준화 총회에서 선출되는 새로운 의장에게 그 역할을 넘길 예정이다.
◆재임 기간 SG17 신기록 수두룩…제로트러스트‧공급망 보안 표준화 채택
염 의장은 <디지털데일리>와의 보안리더스 인터뷰를 통해 “2017년부터 SG17 신조는 ‘SAFE (security is absolutely first everywhere)’로, 보안내재화(secure by design)를 철저히 지키자는 원칙을 설정해 SG17에 참석하는 대표들의 지지를 받았다”며 “이 자리를 빌려 이러한 성과를 거두는 데 적극 협조해 준, 미국, 영국, 일본, 중국 등 주요 대표에게 감사의 말씀을 드리는 바이며, 이러한 성과를 함께 이룬 데 대해 기쁘고 영광스럽게 생각한다”고 전했다.
염 의장은 재임 기간 SG17 역사상 여러 신기록을 세웠다. SG17 회의 참가자 수(356명), 회의마다 입력되는 기고서 수(187건), 신규 표준화 과제 제안 수(61건), 신규 표준화 과제 채택 수(54건), 입출력 연락문서의 수(각 89, 41건), 산출된 임시 문서(TD)의 수 (520건) 등이다.
지난 2022년 ‘제1회 ITU-T X.509의 날’ 행사를 창설하기도 했다. ITU-T SG17이 채택한 국제표준 중요성을 강조하는 한편, 양자컴퓨팅 위협으로부터 안전하고 블록체인 기술과 결합된 분산 공개키기반구조를 겨냥한 X.509 국제표준 발전 방향을 모색하기 위해서다. 올해도 5월9일 세 번째 행사를 개최했다.
또한, 최근 보안분야에서 중요한 키워드로 꼽히는 제로트러스트와 소프트웨어(SW) 공급망 보안에 대한 신규 표준화 과제 채택을 성공시키고, 과제 에디터십까지 확보했다.
염 의장은 “ITU-T SG17에서 신규 표준화 과제를 제안해 채택하는 것은 매우 지난한 노력과 대응이 필요하다”며 “표준화 측면의 완벽한 갭 분석을 통한 표준화 추진 근거 제시, 다른 표준화 기구와의 중복성 제거, 개발되는 표준의 명확한 범위, 현장에서 나오는 모든 의견의 적절한 대응이 요구된다”고 설명했다.
제로트러스트 보안에 대한 신규표준화 과제 제안의 경우, 올해 3월 제네바 SG17 회의에서 순천향대팀이 제안해 채택됐다. 중국과 미국 간 이견이 있었지만, 이를 조율해 라우터와 서버 간 제로트러스트를 적용하되 라우터와 라우터, 네트워크 간 제로트러스트 적용은 표준에서 제외했다. 또한, 모든 통신망에 적용할 수 있는 공통적 모델로 보안기능을 정의하기로 했다. 6G부터 스마트공장, 사물인터넷(IoT), 의료, 소프트웨어정의네트워크(SDN) 등 통신망 종류가 다양한 만큼, 각 영역에 대한 표준화는 다음 과제에서 다루기로 합의했다.
소프트웨어 공급망 보안에 대한 신규표준화 과제 제안은 작년 3월 제네바 SG17 회의에서 제안해 채택한 바 있다. SW공급망에서 일어날 수 있는 모든 위험을 식별하고, 위험에 대응할 수 있는 보안 컨트롤러를 제공하는 부분이다. 이는 ITU에서 처음으로 SW 공급망 보안 범위와 용어에 대해 최로로 합의한 표준이다.
◆인공지능 시스템을 위한 보안 요구사항 개발 제시
특히, 염 의장은 인공지능(AI) 보안 관련 표준화 작업에도 공을 들이고 있다. 지난해 9월 순천향대팀은 SG17 회의에 AI 보안 신규표준화 과제를 제안해 채택된 바 있다. AI를 위한 위협을 식별하고, 그 위협에 대응할 수 있는 보안 요구사항을 제안한 것이다.
염 의장은 “3차례의 집중적인 회의를 통해, ISO/IEC와의 표준 중복성 이슈를 해결하고 의견을 제시했던 영국 대표의 적극적 지지로 채택됐다”며 “이는 ITU-T 최초 인공지능 보안 표준 채택으로, 향후 국제 표준화 추진의 기반을 마련했다”고 평가했다.
해당 표준화 과제에는 쟁점이 있었다. 기존 ‘ISO/IEC 27090’ 표준에서는 AI 관련 위협을 식별하고 완화책을 제시하고 있었다. 한국 측에서 제시한 표준 경우, AI 시스템 수명 주기를 6단계로 구분해 각 단계별로 위협을 식별하고 상세한 보안요구사항을 제공한다. 보다 폭넓고 깊은 단계를 아우르고 있다는 설명이다.
염 의장은 “설계부터 운영, 모델개발과 용도 폐기까지 AI 보안의 전체 라이프 사이클에서 위협을 식별한다”며 “ISO 표준은 하위 레벨에서의 완화책인 만큼, 좀 더 세부적인 보안 요구사항을 개발하는 것으로 합의했다”고 부연했다.
이어 “신뢰성 분야에 대한 표준을 개발해야 하는데, 생성형AI뿐 아니라 AI 시스템에 대해서도 개발해야 한다”며 “궁극적으로, 요구하는 준수사항을 고려해 리스크 평가체계를 구축하자는 것이 핵심”이라고 강조했다.
쟁점을 제기한 영국을 설득하는 과정을 거친 것만 봐도, 표준화 채택 과정에서 국제적 연대는 굉장히 중요하다. 표준화는 한 국가만 단독으로 해낼 수 없으며, 만장일치에 가까운 의견 수렴이 이뤄져야만 가능하다. 이 때문에 미국과 영국 등 주요 우방국과의 협력은 중요한 부분으로 꼽힌다.
염 의장은 “과거 한국과 격차를 보였던 중국이 앞다퉈 AI 관련 표준을 내놓고 있는데, 수준이 높아지면서 이제는 한국보다 앞서가는 부분도 분명 있다”며 “중국이 표준화를 주도하려고 노력하고 있고, 미국이 이를 견제하고 있는 분위기다. 이에 한국도 정부 정책을 고려해 국제 표준화를 리드해야 한다”고 제언했다.
이를 고려했을 때, 한국이 정부에서 우선 순위 정책을 두고 있는 AI 보안, 제로트러스트 보안, SW 공급망 보안 등과 관련한 신규 표준화 주제 기반을 마련한 점은 의의가 있다.
염 의장은 “국제연대를 통해 글로벌한 AI보안, 신뢰, 안정성에 대한 규칙 마련을 주도하고 여러 다양한 위협에 공동으로 대응할 필요성이 있다”며 “경쟁과 협력을 통해 기술혁신을 보장하되, 프라이버시가 담보되는 AI 시스템과 서비스를 권장해야 한다”고 말했다.
오는 10월 국제의장 역할은 끝나지만, 염 의장의 연구는 계속된다. 향후 염 의장은 디지털 아이덴티티, 분산 신원증명 기술에서 국제표준을 개발하고자 한다. 또, 양자 컴퓨팅이 나오더라도 깨지지 않는 한국형 양자 내성 알고리즘 표준을 개발하고 표준화를 추진하려고 한다.
염 의장은 “ ITU-T X.509 에디터로 활동하는 509 표준의 아버지라고 부르는 에릭 엔더슨(Erik Andersen)은 90세가 넘는 연세에도 표준화 활동을 하고 있다”며 “국제표준을 개발하는 활동은 산업, 정부, 정보주체 등 글로벌 공동체에 선한 일을 하는 자발적 활동이기에, 개인적으로 커다란 영광이고 즐거움”이라고 전했다.
이어 “국가의 사이버보안 수준 제고를 위한 지원 활동을 수행하고 국제 표준화 활동을 주도하며, 한국 사이버보안 수준을 강화하기 위한 노력을 계속하겠다”고 덧붙였다.
◆염흥열 ITU-T SG17 국제 의장 주요 약력
▲한양대학교 전자공학과 학사, 석사, 박사
▲(전) 한국전자통신연구소 선임연구원
▲(전) 정보통신부 정보보호 PM
▲(전) 개인정보보호위원회 위원
▲(현) SCH 사이버보안연구센터장
▲(현) ITU-T SG17 국제 의장
▲(현) 순천향대 정보보호학과 교수 (명예)
▲(현) 개인정보기술포럼 의장
▲(현) PIS-fair 조직위원장
▲(현) 서울시 보안자문단장
▲(현) 분산신원증명 기술 및 표준화 포럼 의장
.png?type=nf190_130)
