[지디넷코리아]
“이제는 중소기업도 사이버보안을 챙겨야합니다.”
윤오준 중앙대 보안대학원 특임교수(전 국정원 3차장)는 22일 열린 ‘제 2회 중소기업 정보보안 세미나’에서 “보안은 실무자만의 업무가 아니라 기업 대표의 KPI여야 한다”며 이 같이 밝혔다. 이날 행사는 중소기업중앙회(K-BIZ)가 한국정보산업협회(KISIS)와 공동으로 개최했다. 작년에 이어 올해 두 번째로 열렸다. 이날 기조강연(키노트)을 한 윤 교수는 국정원에서 사이버보안을 총괄하는 3차장을 맡아 2024년 2월부터 2025년 6월까지 1년 4개월간 근무했다.
보안이 남의 일이 아니라 중소기업의 핵심 생존 수단이라고 짚은 그는 “이제 보안이 얼마나 중요한가?를 묻는 것이 아니라 사고 이후에도 이 자리를 계속 유지할 수 있는가?를 물어야 할 중요한 시점”이라고 밝혔다. 이날 그는 ▲최근 국내외 사이버위협 동향 ▲주요 사이버보안 정책 동향 ▲중소기업의 보안 고려사항 등을 들려줬다.
2022년 일어난 SK와 카카오 IDC, 그리고 2023년 11월과 2025년 9월 일어난 정부 전산망 사고는 취약한 통신망 관리 민낮을 보여준다면서 “한번의 사고가 국가시스템을 멈출 수 있다”고 우려했다. 현재 진행중인 미국과 이란 전쟁을 언급하며 “사이버가 전쟁의 전주곡이 됐다. 전쟁 총성이 울리기전에 이미 키보드에서 시작됐다”고 해석했다. 이어 미국이 전 베네수엘라 대통령 마두로를 축출할때 원격으로 군사시설 인근 전력을 차단하는 등 “사이버기술이 전략 자산이 됐다”고 진단했다.
세계적 해커 국가인 북한도 언급했다. 북한의 방위산업 핵심기술 탈취가 증가했고, 공격방식도 변화, 과거 방산 대기업 위주에서 현재는 보안 취약 협력업체와 외주 서버, 이메일 계정을 공격한다는 것이다. 그러면서 “방산 보안은 개별 기업의 문제가 아니다. 생태계 전체의 문제로 인식해야한다”면서 “보안은 더 이상 특정 기업 문제가 아니고, 중소기업도 안전지대가 아니며 예외가 될 수 없다”고 강조했다. 북한은 생성형 AI를 활용해 기업 침투도 시도하고 있는데, 글로벌기업 크라우드스크라이커의 2025년 위협 헌팅 보고서에 따르면, AI에이전트가 새로운 공격 표면으로 부상해 AI시스템 방어가 보안의 핵심과제 중 하나로 부상했다.
윤 교수는 “현재의 전쟁은 ‘물리적 공간+사이버공간’으로 두 공간에서 동시에 진행된다”면서 “사이버 영역이 해양, 공중, 우주로 확장되면서 보안 영역도 덩달아 확대됐다. 연결 고리 취약점이 해커에게 다양한 공격 루트를 제공한다”고 말했다.
당국의 주요 사이버 정책 동향도 설명했다. AI시대를 맞아 기존의 망분리 정책이 한계에 봉착, 최근 국정원이 국가망 보안체계 개선책을 발표한 바 있다. 국정원은 AI기술과 데이터 활용 필요성 때문에 차등적 보안 통제를 적용, 보안성 확보와 원활한 데이터 공유의 동시 달성에 나섰다. 이번달 1일 국가사이버보안기본지침에 이를 반영한데 이어 데이터 분류 가이드라인도 연내 마련할 계획이다.
기존 경계기반 보안 모델도 한계에 봉착했다. 이에 대응, 제로트러스트 기반 상시 검증 체계를 마련하기 위해 지난 12월 가이드라인 2.0을 발표했다. 이외에 공급망 보안 강화와 함께 화이트 해커를 활용한 보안 취약점 신고 제도도 당국이 새로 도입할 예정이다.
윤 교수는 중소기업이 고려해야 할 보안 사항도 소개했다. 반복하는 5대 보안 실패로 ▲사고 발생 초기 은폐 및 보고 누락 ▲퇴사, 외주 인력 계정 미회수 ▲개발, 시험망 보안 통제 부재 ▲협력사 보안 수준 미검증 ▲위기시 작동하지 않는 DR(Disaster Recovery, 재해복구) 등을 지적하며 “기술적인 문제 보다 보안관리체계가 더 큰 문제다. 뚫린 곳은 언제나 가장 약한 연결고리가 있다”고 진단했다.
체크해야 할 보안 준수 사항도 제시했다. ▲협력사 보안 수준 체크 정례화 ▲관리자와 개발자 계정 관리 수준 ▲기술자료 반출 통제 방식 ▲사고발생시 보고와 의사결정 체계 ▲사고대응 및 DR 훈련을 들었다.
특히 그는 사이버 복원력 강화를 강조했다. “사고는 언제든 일어날 수 있다. 사고 예방이 70이라면 사고 수습 복원력은 100″이라면서 “복원력 강화는 부단한 교육 및
훈련과 유관기관의 신속한 정보 공유로 이뤄진다”고 밝혔다. 사이버복원력 예시도 들었다. 이에 따르면, 복구목표시간(RTO) 4시간, 복구목표시점(RPO) 1시간, 평균대응시간(MTTR) 2시간이다.
윤 교수는 “이제는 AI 대 AI로 승부해야 한다”면서 자율적인 AI보안 에이전트 활용과 보안운영팀의 역량을 확장해야 한다면서 “반복적인 보안 작업을 자동화하고, 탐지와 조사 대응 전 과정을 지원해야 한다”고 당부했다.