한국 공공 소프트웨어(SW) 산업이 위기다. 정부는 예산을 줄이고 기업은 적자 신세다. 그 사이 공공 시스템은 부실해지고 피해를 입는 건 국민이다. 지난해 11월 터진 국가 행정전산망 장애와 공공서비스 먹통 사태가 단적인 예다. 정부는 뒤늦게 대책을 마련했지만 풀어야 할 숙제가 많다. 공공 사업 단가 후려치기, 과도한 과업 변경과 발주기관 갑질, 규제를 둘러싼 어긋난 이해관계 등 공공 SW 시장의 문제는 십 수년째 계속되는 해묵은 병폐들이다. 이에 디지털데일리는 공공 SW 생태계를 둘러싼 정책과 제도들을 살펴보고, SW 산업 진흥을 위한 바람직한 길을 모색해 본다. <편집자 주>

[디지털데일리 김보민기자] 지난 4월 국내 방산업체 10여곳이 해킹 피해를 입었다는 소식이 나왔다. 라자루스, 안다리엘, 김수키 등 북한 3대 해킹조직은 국내 방산 기술을 탈취한다는 목표로 합동 전략을 펼쳤다.

수법은 교묘했다. 이들은 상대적으로 보안이 취약한 협력업체를 먼저 노린 뒤, 최종 목표물에 접근하는 전략을 취했다. 협력사를 해킹해 계정 정보를 빼낸 뒤, 서버에 무단 침투한 뒤 악성코드를 퍼뜨려 기술 자료를 앗아가는 방식이었다. 테스트 목적으로 열어둔 망연계 시스템 포트를 통로 삼아 회사 내부망을 장악한 정황도 확인됐다.

사태가 터진 뒤 안팎에서는 "망분리 체계를 갖춘 방산업체도 뚫렸다"는 위기감이 번졌다. 네트워크 기반 보안 만으로 충분하지 않다는 의견도 제기됐다. 정부가 망분리 제도를 완화하고 있는 과정에서 적절한 보안 정책이 수반되지 않으면 안 된다는 우려에 힘이 실리는 이유다.

현재 정부는 연말을 목표로 망분리 제도 개선안을 만드는 데 속도를 올리고 있다. 데이터를 중요도에 따라 단계별로 분류하고, 제로트러스트 등 보안 요소 기술을 차등 적용하는 것이 핵심이다. 다중계층보안(MLS)을 기반으로 데이터 중심 보안 체계로 전환하는 것이 핵심이다. 업계에서는 이르면 7월 중 기본 윤곽이 나오고 연말에 로드맵이 공개될 것으로 점치고 있다.

망분리 제도를 완화하는 데 반드시 고려돼야 하는 사항은 두 가지다.

첫 째는 20년 가까이 유지해온 '물리적 망분리' 기조를 어떻게 전환하는지가 관건이다. 그간 국내에서는 물리적 망분리가 가장 확실한 보안 조치라는 의견에 찬반 논의가 팽팽히 맞서왔다. 물리적 망분리는 예민한 데이터를 다루는 정부기관 및 기업 내부망을 일반 인터넷망과 단절시키는 방식이다. 그러나 인공지능(AI) 및 클라우드 시대가 본격화되면서 물리적 망분리가 신기술 활용을 막는다는 비판이 제기돼 왔다. 특히 금융권에서 관련 논의가 뜨거워지고 있다. 금융위원회는 망분리 규제로 인터넷을 통해 직접 생성형 AI에 접근하기 어렵다며 '금융권 AI 협의회'를 발족한 바 있다.

세부 데이터 별로 중요도를 나눠 망분리 체계를 다각화할 필요가 있다는 이야기가 나온 이유다. 일각에서는 논리적 망분리 시대가 본격 개막할 것이라는 관측도 제기된다. 논리적 망분리는 한 대의 PC에서 내부망과 외부망을 가상화로 분리하는 방식을 뜻한다. 서버 기반 컴퓨팅(SBC)이 될 수도 있고, 클라이언트 기반 컴퓨팅(CBC) 방식을 취할 수도 있다. 정부가 데이터 중요도 등급을 매기는 것 또한 물리적, 논리적 망분리를 차등 적용한다는 취지가 깔려 있다.

클라우드보안인증(CSAP)와 맥을 같이 해야 한다는 점도 관건이다. 그동안 클라우드서비스기업(CSP)은 CSAP를 획득하기 위해 물리적 망분리를 취해야 했지만, 정부가 지난해 관련 인증제를 상·중·하 등급으로 나눠 보안 수준이 낮은 '하'에 논리적 망분리를 허용하는 개선을 추진하면서 관련 논의가 구체화될 필요성이 커졌다. 외산 CSP의 경우 하 등급에도 논리적 망분리를 허용해 달라는 요구가 늘면서, 이번 망분리제 개선에 대한 관심이 쏠리는 분위기다.

정부가 AI 및 클라우드 혁신 차원에서 망분리제를 완화하는 것은 고무적이지만 보안 정책이 없다면 오히려 방패가 약해질 우려도 있다.

망분리제 완화 시대에 발맞춰 보안 정책은 데이터 활용과 보호에 초점을 맞춰야 한다. 데이터 중요도에 따라 등급이 매겨진다면 그에 따라 외부 사이버 공격에 대한 방패를 어떻게 강화할지에 대한 해답이 따라야 한다는 의미다.

현재 미국의 경우 망분리와 같은 보호 조치를 공공과 금융기관에 강제하지 않는다. 대신 정보기관 보안 정책에 따라 상용 한계를 넘을 전용 클라우드를 설계하고, 페드램프(FedRamp) 등 복수 인증으로 보안을 다양화하는 방안을 취하고 있다. 기밀성, 무결성, 가용성 등 세 가지 요인을 기준으로 데이터 중요도를 나누는 것이 핵심이다. 국내 CSAP는 페드램프를 기반으로 탄생했는데, 주관적인 판단이 필요하기 때문에 이번 망분리 완화를 통해 일부 개선이 예상되는 상황이다.

암호화 통신에 대한 보안 정책도 필요하다. 업계에 따르면 현재 클라우드 서비스가 확대되면서 암호화 통신이 급증하는 상황이다. 사물인터넷(IoT) 등 일상생활에 쓰이는 소프트웨어도 늘어나면서 이를 노린 사이버 공격도 활개치고 있다. 국가 단위 해킹조직은 별도로 만든 암호로 공격을 가하는데, 네트워크 단위에서 이를 탐지해 대응하기가 까다로워졌다.

데이터 중요도를 선별하는 기준 또한 수립돼야 한다. 공공은 물론 금융, 민간에서도 데이터베이스(DB)와 서버는 혼합된 방식으로 운용되기 때문에 단시간 내 정보를 분류하는 것이 불가능하다. 옷장 속 가치가 높은 옷과 그렇지 않은 옷이 뒤섞여 있을 때 이를 한 번에 선별하기 어려운 것과 같다. 데이터는 물론, 그에 따라 사용자 및 프로세스 등 시스템 구성요소에 맞는 보안 범주를 구체화하는 것이 필요한 이유다.

국내 보안업계 관계자는 "망분리 자체 개념이 바뀌는 만큼 '데이터를 활용할 테니 무조건 막자'는 방식은 이제 적용되지 않을 전망"이라며 "제도를 완화하는 과정에서 사안 별로 위협을 탐지하고 복원할 수 있도록 보안 정책을 마련하는 것이 동반돼야 한다"고 제언했다.