영세한 국내 사이버보안 산업이 성장하려면?

[애플경제 이윤순 기자] 국내 사이버 보안 산업은 글로벌 보안시장에 비하면 매우 영세하고 열악한 편이다. 백신이나 보안솔루션을 판매하는 수준이 대부분이어서, 경쟁력을 높이기 위한 전략이 절실하다는게 전문가들의 지적이다.

전문가들마다 방법론은 다양하지만, 우선 제로 트러스트를 도입하고, 암호기술과 AI의 융합을 통한 사이버 보안 기술의 고도화가 시급하다는 목소리가 높다. 나아가선 국제 표준 사이버 보안 인증을 취득하고, 오픈소스 역량을 강화함으로써 국제 수준의 산업생태계를 조성해야한다는 주장이다.

관련 전문기관들 ‘한 목소리’로 촉구

한국신용정보원, KDB미래연구소, 한국인터넷진흥원, 한국지능정보사회진흥원, 한국문화정보원 등 관련 전문기관들이나 이글루코퍼레이션 등 민간 보안업계에서도 그런 주장과 각성이 이어지고 있다.

그 중 KDB미래연구소는 특히 제로 트러스트 도입을 핵심으로 한 ‘사이버 보안 기술 고도화’를 강조하고 있다. 이에 따르면 통합 모니터링을 강화하고, 데이터 암호화, 화이트리스트 기반의 접근제어 등을 통해 제로 트러스트를 구현해야 한다.

특히 재택·원격근무, 클라우드 도입 등으로 변화하는 업무 환경과 진화하는 사이버위협 등에 대응하기 위해 최소 권한 접근, 보안 가시성 확보 등에 기반한 제로 트러스트가 특히 중요하다.

실제로 다른 많은 국가들은 사이버 범죄로부터 기업의 중요 정보자산을 지키기 위해 제로 트러스트 모델을 중시하고 있으나, 한국의 경우 이를 도입한 기업은 전체의 4%에 불과하다는 지적이다.

그나마 공공분야에선 클라우드, 비대면 환경 등 새로운 보안 패러다임에 대응하기 위해 국가 주요 정보통신기반시설이나, 공공기관 등에 제로 트러스트 아키텍처를 우선적으로 도입할 것으로 알려졌다.

동형암호, 양자내성암호 기술 중요

암호기술과 AI 기술을 융합하는 등의 노력도 중요하다는 지적이다. 금융보안원 등도 “동형암호나 양자내성암호 등에 대한 기술 관련 투자를 확대, 보안기술을 고도화할 필요가 있다”고 했다.

동형암호는 암호화된 상태에서 연산할 수 있는 기술로 데이터를 복호화(암호화 해제)하지 않아도 연산이 가능해 정보 유출을 방지할 수 있다.

양자내성암호은 양자컴퓨터를 이용한 공격에도 해킹이 불가능한 차세대 암호기술이다. 기존 암호기술은 양자컴퓨터로부터의 공격에 취약하다. 그러나 양자내성암호 기술은 양자컴퓨터를 이용한 공격에도 정보를 보호할 수 있다.

그러나 이들 전문가들에 의하면 특히 동형암호 기술의 경우 암호화 후 데이터 크기가 증가함으로써 평문에 비해 데이터 처리 속도가 느려지는 문제를 해결하는 기술이 필요하다.

또 양자내성암호 알고리즘 역시 구현 과정에서 발생할 수도 있는 취약점을 검증하고, 지속적인 연구개발이 필요하다. 양자내성암호는 계산이 복잡해서 암호화나 복호화(암호화 해제)작업에 많은 리소스와 시간이 필요하다는게 단점이다. 그래서 “양자내성암호 기술을 적용하기 위해서는 알고리즘 표준화가 선행되어야 한다”는 주장도 나온다.

AI연합학습, 6G보안, 양자보안기술 확보해야

특히 AI 기반 연합학습이나 ‘재현데이터 기술’을 통해 기존 보안기술의 문제점을 보완하거나 개선할 필요가 있다. 실제로 AI 연합학습에서는 통합 모델의 안정성이 저하되는 문제점을 해결할 수 있다. 또 ‘재현데이터 기술’은 실제 데이터와의 불일치로 인해 예측 정확도가 떨어지는 문제점을 개선할 수 있다.

또한 “글로벌 환경에서 사이버 보안 주도권 확보를 위해 선제적으로 6G 보안이나, 양자 보안기술 등을 확보할 필요가 있다는 주장도 설득력을 얻고 있다.

6G 서비스의 경우 가상자산의 거래가 확대될 것으로 예상됨에 따라 양자 암호기술 등의 선제적 투자를 바탕으로 원천기술을 확보할 필요가 있다는 주장이다. 현재 특허청 등에 따르면 양자 암호기술 특허출원의 경우, 한국은 미국의 약 3분의 1에 불가하므로 적극적인 투자를 통한 기술 추격이 필요하다는 주장이다.

“백신과 유지․보수 수준, 머물러선 안돼”

국내 사이버 보안 시장은 PC 백신 등 솔루션을 저가에 판매하고, 유지보수로 수익을 확보하는 영세적 구조에 머무르고 있다는 지적이다. 이에 “국내 사이버 보안 기업들도 국제 표준 인증 취득과 오픈소스 역량 강화를 통해 글로벌 수준으로 경쟁력을 키워야 한다”는 주장이다.

우선 국내 사이버 보안 기업들도 국제 표준 사이버 보안 인증을 취득하여 글로벌 시장을 공략해야 한다는 목소리가 날로 높다.

대표적으로 사이버 보안 관련 인증인 ’UNECE R-155’20), ‘ISO/IEO 27001E2022’21), ‘IEC 62443’22)등을 취득할 필요가 있다.

실제로 지난해 07월 이후 생산되는 모든 자동차는 사이버 보안 관리체계 인증(UNECE R-155)이 필수적이며, 그래야만 유럽 경제위원회 협약국에 출시할 수 있다. 또 정보통신기획평가원은 ISO/IEC 27001E2022를 취득, 정보보호와 개인정보보호 분야에 대한 관리체계를 강화하고 있다.

오픈 체인 프로젝트에도 적극 참여, 글로벌 오픈소스 역량을 키우는 것도 중요하다 현재 오픈체인 프로젝트에 참여하고 있는 국내 사이버 보안 기업은 거의 없다시피한다. 다만 삼성, 현대, LG 등 대기업과, 네이버, 카카오 등 기술기업들이 참여하고 있다.

그랫 “국내 사이버 보안 기업들도 오픈체인 프로젝트의 국제 표준인증(ISO/IEC 5230)을 취득해서 기술 역량을 높여야 한다”는 목소리가 높다.