디지털경제의 튼튼한‘방역체계’구축한다
- 과기정통부, 2월 18일 제13차 정보통신전략위원회에서
- 디지털뉴딜의 성공과 정보보호 패러다임 변화에 대응하고
➊ 사이버위협 정보 실시간 수집⦁공유 및 전국 원스톱 침해대응 체계 구축
❷ 연간 1,300개 기업, 300개 비대면 솔루션, 11만건 PC 점검 등 안전한 디지털전환 지원
➌ 융합산업(자율주행, 스마트공장 등) 보안 프로세스 확립 및 전담 대응기능 확충
➍ 4대 핵심 디지털융합 인프라(5G MEC, 클라우드, 데이터, 양자내성암호) 선제적 보안 확보
➎ 연간 18억 건 이상 보안위협 정보수집⦁가공 및 학습데이터 민간 개방
➏ 유망 AI⦁비대면 보안기업 100개 발굴 및 디지털보안 전문인력 3,000명 양성
◇ ‘23년까지 총 6,700억원 투자하여 글로벌 정보보호 역량 5위 이내, 민간 침해사고 발생률 1.5% 이하, 정보보호시장 규모 16조원 이상 달성 |
1 |
| 추진 배경 |
□ 5G, 인공지능 등 4차 산업혁명 확산, 비대면 경제 활성화 등 우리 산업과 사회 전반에 걸쳐 디지털 전환이 빠른 속도로 진행되고 있다.
|
|
ㅇ 이제 사이버위협의 경계는 더 이상 무의미해지고 정보보호를 필요로 하는 영역이 확대되고 있으며, 무인상점 해킹, 인공지능을 활용한 공격 등 새로운 보안위협도 날로 증가하고 있다.
ㅇ 이러한 상황 속에서 기존 네트워크․PC 중심, 전문가․사고대응 위주의 정보보호로는 디지털경제 시대의 사이버위협 대응에 한계가 나타나 정보보호 패러다임의 근본적인 변화가 요구된다.
< 디지털경제 시대의 정보보호 패러다임의 변화>
구분 |
| 기 존 |
| 디지털경제 |
주체 |
| 보안전문가
∘보안관리자, 정보보호책임자 등 | ⇨ | 누구나(Whoever)
∘디지털을 활용하는 모든 이용자 |
방식 |
| 위협발생(의심)시
∘사이버위협 발생시 진단⦁점검⦁대응 | ⇨ |
항상(Whenever)
∘상시 진단⦁점검 및 선제적 탐지⦁대응 |
범위 |
| 주요시설
∘국가 중요시설, 주요자원 등 보호자산 | ⇨ | 모든 곳(Wherever)
∘디지털이 활용⦁결합되는 모든 기기⦁서비스 |
□ 우리는 지난 1년 전례없는 감염병 사태를 통해 지속 가능한 성장을 위해서는 안전을 담보하는 것이 무엇보다 중요하다는 점을 다시 한번 인식하였다.
ㅇ 이에 정부는 코로나19에 대응한 ‘K-방역’처럼 디지털공간도 튼튼한 ‘방역체계’를 구축하여 디지털경제 시대를 선제적으로 대비하고,
ㅇ 데이터댐 등 디지털뉴딜의 성공과 국민들이 안전하고 신뢰할 수 있는 세계 최고의 디지털안심 국가를 실현하기 위한 정보보호 종합 계획으로『K-사이버방역 추진전략』을 수립하였다.
□『K-사이버방역 추진전략』은 ’23년까지 총 6,700억원을 투자하여 ➊디지털안심 국가 기반 구축, ➋보안 패러다임 변화 대응 강화, ➌정보보호산업 육성 기반 확충 등 3대 중점전략을 추진해 나갈 계획이다.
□『K-사이버방역 추진전략』의 주요 내용은 다음과 같다.
|
|
2 |
| 비전 및 목표 |
【비전】안전하고 신뢰할 수 있는 세계 최고의 디지털안심 국가 실현 |
| 【추진 방향 및 목표】 |
| ||||||
|
| |||||||
◈ 디지털경제 시대 정보보호 패러다임 변화를 반영한 대응체계 선제적 확충 ◈ 안심할 수 있는 디지털 환경 조성을 통한 지속 가능한 성장 뒷받침
| ||||||||
| 【추진 전략 및 과제】 |
| |||||||||||||||
|
| ||||||||||||||||
| |||||||||||||||||
3 |
| 주요 추진과제 |
전략 ➊ : 디지털안심 국가 기반 구축
□ 민간의 주요기업*들과 ‘사이버보안 얼라이언스’를 구축하여 지금까지는 신고를 통해 수집하던 사이버위협 정보를 실시간으로 수집한다.
* 집적정보통신시설(IDC), 클라우드 서비스 사업자, 웹호스팅 업체 등 60개 기업
|
|
ㅇ 수집한 정보는 주요기업, 기관 및 일반국민 등 민간에 신속히 전파하고, 보안업체와 연계하여 보안패치 개발․보급을 지원할 계획이다.
ㅇ 또한, 많은 국민들이 이용하는 웹사이트*(약 2만개)와 주요 디지털 서비스**에 대해서는 사전에 보안위협을 탐지하고, 침해사고시 기술지원 등 대응을 강화해 나간다.
* 접속빈도, 파급력 등을 고려하여 약 2만개 웹사이트를 선별하고 기존에 메인 웹페이지만 탐지하던 것에서 전체 웹페이지로 확대하여 실시간 탐지
** 주요 도메인 서버, 메신저․전자결제․온라인상점 등 생활밀착형 서비스 등
□ 전국 어디서든 침해사고가 발생하면 전문가를 사고현장에 파견하여, 침해사고의 원인분석․조사 뿐만 아니라 복구 및 재발방지까지 全주기에 걸쳐 밀착지원*하는 ‘전국 원스톱 침해대응 체계’를 구축한다.
* 이 과정에서 민간 보안업체와 연계하여 기업에 대한 보안컨설팅을 실시하고, 보안강화를 위해 필요한 보안제품․솔루션 도입 등이 이루어질 수 있도록 지원
|
|
ㅇ 특히, 원격에서도 피해기업과 지원기관(KISA 등) 간 고화질 화상회의를 통해 실시간으로 상황을 파악하고 원격으로 제어가 가능하도록 ‘5G 기반 사이버 대응망*’을 구축할 계획이다.
* 평상시에도 정보보호 지원이 필요한 기업․기관이 있을 경우 5G 기반 사이버 대응망을 통해 KISA에서 원격 보안진단 및 조치 지원 추진
□ 한편, 민간의 안전한 디지털전환을 돕기 위해 비대면․디지털환경을 구축하려는 기업에게는 보안컨설팅을 제공하고, 매년 1,300개 이상 중소기업에 대해서는 보안점검과 함께 보안솔루션 도입을 지원할 계획이다.
ㅇ 다중이용․공공서비스 분야의 주요 소프트웨어(SW) 기업을 선별하여 서비스․제품의 설계, 구현, 유통 등 단계 별로 SW안전성 점검(1,100개, ∼’23년)과 공급망 보안*(1,000개, ∼’23년) 강화도 지원한다.
* 기업 스스로 공급망 보안 체계를 점검하고 관리할 수 있는 진단도구 보급 등
□ 국민들의 안전한 디지털 이용 환경 조성을 위하여 원격교육, 화상회의 등 국민들이 많이 이용하는 비대면 솔루션(300개/年)과 무인서비스(10개/年), 개인 PC(내PC 돌보미, ’25년까지 연간 11만건 이상 확대)에 대한 보안점검을 지속 확대해 나가는 한편,
ㅇ 이용자의 PC나 IoT기기에 대하여 개별적으로 위협정보를 알려주는 ‘사이버 알림 서비스’를 도입*할 계획이다.
* 기존에는 이메일 또는 PC을 통해 안내하기 때문에 이용자가 이메일을 확인하지 않거나 PC를 사용하지 않는 경우 알림을 인지하지 못했던 문제점 해소
|
|
□ 모바일 환경에서 비대면․디지털 서비스 이용이 증가함에 따라 많은 국민들이 이용하는 모바일앱에 대해서는 통신3사와 함께 보안취약점 진단을 실시(100개/年)하고,
ㅇ 보안이 취약한 경우에는 해당 모바일앱 운영자와 이용자에게 신속히 안내․고지하여 개선조치를 지원할 계획이다.
※ 원스토어 등 주요 모바일 앱마켓에서 이용자들의 다운로드가 많은 모바일앱(게임, 뉴스, 뱅킹(결제), 예약 등)을 선정하여 보안취약점 진단
전략 ➋ : 보안 패러다임 변화 대응 강화
□ 디지털융합 산업분야*의 정보보호 강화를 위해 ①보안 가이드라인부터 ②리빙랩(실증) → ③표준모델 → ④제도화(인증․평가) 등 체계적인 융합보안 프로세스를 구축하고 침해대응 전담기능**을 강화한다.
* 스마트공장, 자율주행, 디지털헬스케어, 스마트시티 등 4대 분야
** 관계부처 합동 융합보안 협의체 운영, KISA 內 융합보안 침해대응 조직 신설 등
ㅇ 특히, 향후 급증할 것으로 예상되는 4대 핵심 디지털 융합인프라인 엣지컴퓨팅(MEC), 클라우드 서비스, 데이터 플랫폼, 양자내성암호 등에 대해서는 선제적으로 보안을 확보해 나갈 계획이다.
구 분 | 주요 내용 |
5G MEC | ▪ 5G MEC 보안기술 개발 및 5G 기반 공공선도 사업 적용⦁실증 |
클라우드서비스 | ▪ 클라우드 사업자 보안인증(ISMS 인증 등) 유도 및 컨설팅⦁모의훈련 실시 |
데이터플랫폼 | ▪ 빅데이터 기반 이미지 자동 탐지 등 개인정보 유노출 탐지 강화(개보위 공동) ▪ 정보보호 컨설팅 지원시 데이터보안 관련 지원 및 솔루션 보급 확대 |
양자내성암호 | ▪ 양자내성암호 원천기술 개발 및 시범사업 등 주요 인프라 전환 지원 |
□ 보안위협 정보의 수집대상*과 규모**를 대폭 확대하고, 인공지능 기술을 활용한 사이버공격 예측모델 개발 등 분석역량을 고도화할 수 있도록 지능정보 보안플랫폼을 구축한다.
* 주요 SNS, 다크웹, 원격교육․디지털헬스케어 등 비대면 서비스 기업까지 확대
** ’20년 약 8억건 → ’25년 약 18억건 이상 확대
ㅇ 특히, 민간에서 보안제품․서비스 개발에 활용할 수 있도록 지능정보 보안플랫폼을 통해 분석․가공된 모든 보안위협 정보는 학습데이터 형태로 적극 개방*(온․오프라인)할 계획이다.
* 보안위협 학습데이터를 통해 보안업체들이 AI․빅데이터 등 지능화 기술을 적용한 보안분야 신기술 개발 및 기존 보안제품 성능 개선 등에 활용 가능
□ 비접촉․원격인증, 차세대 물리보안, 지능형 사이버공격 대응 등 비대면․디지털전환 특성을 고려한 핵심 보안기술 개발(R&D) 투자를 대폭 확대*하고,
* 비대면․디지털전환, 데이터보안 기술개발에 ’23년까지 1,000억원 이상 투자
ㅇ 개인․가명정보 및 데이터결합 등 데이터 저장․관리․유통 확대에 따른 데이터 생명 全주기에 걸친 보안기술 개발을 추진(개보위 공동)할 계획이다.
|
□ 한편, 최근 급증하고 있는 랜섬웨어 위협대응 강화를 위해 국내외에서 발생하는 랜섬웨어 정보를 신속히 수집․공유하고,
ㅇ ‘랜섬웨어 예방․대응지침’을 보급하여 중소․중견기업이 랜섬웨어로 인한 침해사고를 사전에 예방할 수 있도록 지원할 계획이다.
ㅇ 특히, 스미싱, 악성앱 유포, 가로채기 전화 등에 악용된 전화번호를 차단할 수 있도록 정보통신망법 개정도 추진해 나갈 계획이다.
전략 ➌ : 정보보호산업 육성 기반 확충
□ 지능형 CCTV, 비대면 인증, 생체인식 등 다양한 물리보안 기술들을 통합․연계한 ‘지능형 물리보안 플랫폼*’을 개발하여,
* 지능형 CCTV 영상, 비대면 인증․생체인식, IoT 센서 등을 연계․관리하고, 인공지능 기술을 통해 분석하여 이상상황 관제, 경비출동 등을 제공하는 통합 보안서비스
ㅇ 실제 스마트빌딩, 스마트공장, 물류센터, 무인상점 등에 적용․실증하고 민간 확산을 유도해 나갈 계획이다.
□ 디지털보안 선도기업 육성을 위해 ’23년까지 경쟁력 있는 AI․비대면 보안기술을 보유한 유망기업 100개 이상 발굴하여,
ㅇ 제품설계부터 → 성능개선(보안 학습데이터 제공 등) → 사업화(실증) → 시장창출(판로개척, 수요기업 매칭 등) → 해외진출까지 단계 별로 성장지원을 강화한다.
ㅇ 아울러, K-사이버방역 브랜드化를 통해 다양한 정보보호 수출 포트폴리오를 구성하고, 국가와 기업의 특성과 수요를 고려한 모듈형* 수출 지원도 추진해 나갈 계획이다.
* 디지털전환이 빠른 국가 → 비대면․물리보안 시스템, 융합보안 모델
사이버침해 사고가 많이 발생하는 국가 → 사이버침해 대응 모델
|
|
□ 디지털융합 신산업, 비대면․AI 보안기술에 특화된 정보보호 특성화 대학과 융합보안 대학원을 확대* 지정하고,
* 정보보호특성화대학(’20년 4개→’25년 8개), 융합보안대학원(’20년 8개→’25년 12개)
ㅇ 비대면․디지털전환 가속화에 따라 인력수요가 증대될 것으로 전망되는 디지털융합 산업분야의 현장실무형 정보보호 전문 인력을 ’23년까지 3,000명 이상 추가로 양성할 계획이다.
ㅇ 특히, 디지털경제의 핵심자원인 데이터의 안전한 보호를 위하여 개인정보보호위원회와 공동으로 개인정보․데이터보안 전문 교육을 확대해 나갈 예정이다.
□ 보안에 대한 투자 촉진를 위해 정보보호 필요성이 큰 기업*에 대한 정보보호 공시 의무화를 추진하고, 자발적 정보보호 활동이 우수하거나 정보보호 수준이 높은 기업에 대해서는 정책적 지원**을 강화해 나갈 계획이다.
* 예시) 매출 5조원 이상인 주요기업, ISMS 의무대상, 주요정보통신기반시설 등
** 정부․공공분야 공모사업 참여시 인센티브 제공, 공공조달 연계 지원 등
|
|
□ 디지털환경 변화를 반영하고 부처간 협업강화 등 국가 사이버보안 역량 강화를 위하여 정보보호기본법(가칭) 제정을 포함한 정보보호 관련 법령․제도를 정비하고,
환경 변화 | ⇨ | 정비 방향 |
비대면․디지털전환 | ▸ 사이버위협 사각지대 해소 및 이용자 보호 강화 ▸ 비대면․원격․무인서비스 등에 대한 보안체계 정비 | |
융합산업․서비스 확산 | ▸ 부처․기관 간 유기적 협력․대응 강화 ▸ 융합산업․서비스 침해사고 발생시 대응체계 정비 | |
사이버위협 지능․은밀화 | ▸ 주요 인증․평가 체계 내 지능화 기술 기반 보안성 강화 ▸ 백도어, 공급망보안 등 신규위협 대응 규제체계 정비 |
ㅇ ISMS 의무인증 기준 개선*, 신고포상제 활성화와 같이 민간의 자발적인 보안강화를 유도할 수 있도록 관련규제를 개선해 나갈 방침이다.
* (ISMS 의무인증 기준) 정보통신서비스부문 매출액 → 통신서비스판매업 + 일반 매출액 등
(신고포상제) 취약점 신고에 따른 인센티브 제공에 대한 법적근거 마련 등
□ 정부는『K-사이버방역 추진전략』의 정책목표를 글로벌 정보보호 역량* 5위 이내, 민간 침해사고 발생률** 1.5% 이하, 정보보호시장 16조원 이상으로 수립하고 차질없이 달성해 나갈 계획이다.
* ICT 활용에 있어 보안․신뢰구축을 위해 국제전기통신연합(ITU)에서 격년으로 발표하는 국가사이버 보안역량 수준(글로벌 사이버보안 지수, GCI)
** 국내 기업 중 침해사고를 경험한 비율(매년 정보보호실태조사를 통해 측정)
|
