4차 산업혁명과 보안 <2>

저번 주 소프트캠프가 알려드린 4차 산업혁명과 보안 <1> 

잘 읽어보셨나요?

사물인터넷, 빅데이터, 인공지능, 클라우드 등의 핵심기술로

우리 삶을 눈부시게 발전시키는 반면, 정보유출의 위험도 존재하기 때문에

해외에서는 다양한 방면으로 고민하고 발전시키는 모습을 엿볼 수 있었습니다.

국내 또한 4차 산업혁명의 열풍이 불고 있어

정책적으로, 기술적으로 4차 산업혁명을 대비하기 위해 많은 노력을 기울이고 있는데요,

오늘은 소프트캠프가 국내의 현황 및 정보보안 등에 대해 알려드리겠습니다.

국내 4차 산업혁명 대비 현황

 

우리나라는 4차 산업혁명을 어떻게 준비하고 있을까요?

정부는 민관합동 4차 산업혁명 전략위원회를 신설해

기술·산업뿐만 아니라 경제·사회 전반적으로 4차 산업혁명 혁신을 추진할 예정입니다.

먼저 국가 중점데이터 기술을 36개에서 74개로 추가 선정하고

예산 또한 전년대비 39% 증가시켜 4차 산업혁명 핵심기술 개발을 위한 R&D 지원 확대에 나설 예정입니다.

또한 산업통상자원부는 주요 원천기술을 보유하고 있는 이스라엘과 영국에서 기술교류회를 열고

4차 산업혁명 기술 컨퍼런스를 추진하는 등 4차 산업혁명의 역량을 키우고자

기술과 투자 협력을 강화할 예정입니다.

해외의 정보보안 대응

 

우리나라도 4차 산업혁명을 맞이하기 위해 많은 준비를 하고 있지만

정보보안에 대해선 미흡한 면이 있는데요,

해외의 경우 4차 산업혁명과 함께 정보보안에 대한 중요성을 인식하게 되면서

많은 관심을 갖고 발 빠르게 대응하고 있습니다. 

미국의 경우 사이버 보안 지출이 꾸준히 증가해

미국 총 GDP의 0.35%인 600억 달러를 돌파할 것으로 예상하고 있습니다. 

또한 하루가 다르게 진화하는 사이버 공격에 대응하기 위해

기업 내부에서 사이버 보안 역량을 강화했던 과거와는 달리

최근에는 외부에서 전문기업으로부터 필요한 기술을 적극적으로 도입하고 있으며

사이버 보안 분야의 스타트업 투자 또한 늘어나고 있습니다.

그리고 실리콘밸리를 중심으로 사이버 보안 분야의 엔지니어 채용 수요도 늘어나고 있으며

수 많은 고객 정보를 다루는 금융, 의료, 통신 등의 기업에서도

사이버 보안 전문가를 채용하는 추세입니다.

IT 기술의 발전으로 데이터 용량과 연결성이 기하급수적으로 증가해

전통적인 방어 수단으로는 앞으로의 사이버 공격을 막을 수 없기 때문에

이러한 움직임이 일어나고 있는 것 인데요,

특히, 인공지능, 인지컴퓨팅과 함께 모든 사물이 인터넷을 통해 연결되는

4차 산업혁명 시대에는 정보보안에 대한 보다 철저한 준비가 필요하다고 생각됩니다. 

국내의 정보보안 대응

 

 

국내 또한 이러한 움직임에 발맞춰 정보보안의 중요성이 증대될 전망인데요,

특히 올해는 4차 산업혁명 주도권 선점을 위한 

보안 강화(3S : Smarter, Stronger, Safer), 규제 개선, 산업발전 촉진이 이뤄질 한 해가 될 것으로 전망하여 

보안업계 및 정부에서 다양한 트렌드와 이슈를 제시하고 사업을 진행하고 있습니다.

▲ 정보보안 트렌드 및 이슈 

한국인터넷진흥원은 현재의 정보보안 환경을 진단하고 앞으로의 핵심 가치를 발굴하기 위해

2017년 정보보호 10대 이슈 및 기술을 발표했습니다.

구분	세부 기술
국제동향	강대국간 사이버 공방 심화 - 사이버전면전 위험 고조
	사이버위협정보 공유와 협력 확대 - 대응이 빨라진다
공격기법	돈을 노린 랜섬웨어 공격 - 사이버범죄 주류에 등극
대응기술	빅데이터·AI·클라우드 활용 사이버보안 - 패러다임이 바뀐다
	분산저장기술 블록체인 - 이론에서 현실로
	다양화되는 바이오인증 - 사용자 인증의 대세로
융합보안	보안 고려없는 사물인터넷 - 커져가는 일상의 위험
	활성화되는 커넥티드 카의 안전띠 - 사이버보안
	잊힐 권리 보장 - 강화되는 개인정보 자기결정권
	개인정보 보호화 활용의 조화 - 4차 산업혁명을 좌우한다

또한 2~3년 내 사업적 성과가 예상되어 4차 산업혁명을 대비할 수 있는 정보보호 10대 기술을 발표했는데요,

지능정보사회가 도래함에 따라 인공지능 기반 보안 뿐만 아니라 IoT, 커넥티드 카 등의 융합 보안과

랜섬웨어, 개인정보 비식별화 등 사회 이슈 해결형 보안 기술이 주를 이뤘습니다. 

구분	세부 기술
지능형 보안기술	지능형 APT 위협 감지를 위한 CTI(Cyber Treat Intelligence) 기술
	스스로 인프라 정보를 은폐하고, 취약점을 분석·치유하는 능동형 사이버 자가방어 기술
	금융 편의성과 보안성을 동시 제공하는 인공지능 기반 이상거래 탐지기술
	오픈소스 안전 활용을 위한 IAST(Interactive Application Security Testing)
융합보안기술	IoT 기기 필수 보안요소 내재화를 위한 하드웨어 기반 IoT 단말 보안기술
	커넥티드카 이용자의 안전성 보장을 위한 V2X 데이터 보안 기술
스마트 사회안심 기술	신·변종 랜섬웨어 대응을 위한 랜섬웨어 동작 프로세스 프로파일링 기술
	안전거래 환경을 위한 블록체인 기반 보안플랫폼 기술
	사용자 친화형 인증을 지원하는 행동 패턴 기반 무자각·무인지 인식기술
	빅데이터 환경에서 개인정보 비식별화를 위한 프라이버시 보존형 데이터마이닝 기술

▲ 정보보안 육성 사업 

- 미래창조과학부

미래창조과학부는 4차 산업혁명을 선도할 수 있는 융합 신산업 육성의 일환으로 

안전하고 행복한 ICT 융합 서비스 이용 환경 조성을 위한 융합 보안 시범 사업을 공모하였습니다. 

융합 보안 시범 사업은 기존 ICT 보안 위협이 산업계 전반으로 확산돼 

국민들이 안전하게 ICT 융합 서비스를 이용할 수 있도록 보안 위협에 대응하는 

융합 보안 기술의 개발과 확산을 위해 추진되고 있는 사업입니다.

- 고용노동부

고용노동부는 4차 산업혁명을 이끌 정보보안 전문가를 육성하기 위해 11개 민간훈련 기관을 선정하였습니다.

훈련기관에서는 정보보안, 사물인터넷, 빅데이터, 스마트제조 등 4개 분야 총 24개의 훈련과정이 제공될 예정이며

IoT 고급 개발자 양성과정, 인공지능 에이전트, 스마트 팩토리 구축 전문가과정, 빅데이터 플랫폼 기술 등의

훈련과정을 통해 626명의 기업 맞춤형 핵심 전문인력을 양성할 계획입니다.

- 금융보안원

금융보안원에서는 4차 산업혁명 시대에 적합한 금융보안 전문 인력을 양성하기 위해

금융보안 전문 자격제도를 도입할 예정입니다.

금융보안은 일반 IT 보안과 달리 관련 법률, 서비스 전반에 대한 높은 이해도가 필요한데요

우선 해외 관련 자격제도를 분석해 국내 상황에 맞는 민간자격증으로 시작할 예정입니다.

4차 산업혁명을 위한 앞으로의 정보보안 과제

 

정보보안이 4차 산업혁명의 플랫폼으로 자리잡기 위해

다양한 비전을 제시하고 각종 사업을 추진하고 있지만 아직까지는 많이 부족한 상황입니다.

그럼 4차 산업혁명을 위해 앞으로의 정보보안은 어떻게 나아가야 할까요?

▲ 기술적 보안에서 서비스 보안으로의 전환 

국내 정보보안은 보안취약점 진단 및 해킹/바이러스 대응 중심의 기술적인 조치가 주를 이루는데

대부분의 보안 사고는 관리부분이 미흡하여 나타납니다. 

기술적 보안에서 서비스 보안으로 전환하여 디지털화 된 모든 것에 대한 보안이 이뤄져야 합니다. 

▲ 보안 분야의 선순환적인 지역생태계 구축

보안 분야 전문 기관들은 대부분 수도권에 있으며 심지어 전공학과, 국가사업도 수도권에 집중되어 있습니다.

기술적인 보안 제품은 일정 지역에서 집중적으로 개발되고 공급되어도 무방하지만

보안 서비스는 수요처와 가까운 거리에 있지 않으면 많은 비용이 발생하거나 

제대로 된 서비스를 제공하지 못할 수 있습니다. 

따라서 지역에서 발생하는 보안서비스 수요는 지역에 소재한 업체에서 충족을 시킬 수 있는

지역생태계 구축이 필요합니다.

▲ ICT 역기능을 해결하기 위한 다학제적 연구

일반적인 ICT 분야와 달리 정보보안은 기밀성, 무결성, 가용성을 달성하기 위해

기술적인 수단 뿐만 아니라 공격자의 행태 분석, 경제적인 유인체계에 대한 설계 등이 중요하고,

경영경제학, 심리학, 사회학, 법학 등 다양한 사회과학 분야와의 협업도 필요합니다.

▲ 개별 시스템 보호 구조에서 전체 통합 보호 구조로의 전환

IoT 기기가 연결되는 4차 산업혁명 시대는 개별 시스템을 보호하는 구조로는

정보유출사고에 대응하기 어렵습니다.

개별 시스템이 아닌 전체 통합 보호 구조로의 전환이 필요하며

금지항목이 많되 예외를 허용하는 포지티브 규제 정책 대신 

원칙을 허용하고 예외를 금지하는 네거티브 정책 방식으로의 전환도 고민되야 합니다. 

또한 정부가 주도하는 규제 위주의 정책보다는 기업과 시장 역할을 강화해 민간 역량을 활용해야 합니다.

▲ 사이버 보안 거버넌스 필요

4차 산업혁명의 시대가 되면서 정보보안 문제는 개별 국가의 이슈가 아닌 국제 사회의 문제가 되었습니다.

정보보안 문제를 안보와 연결해 국제 규범 참여에 적극 대응해야 합니다.