최근 인공지능 등 혁신 기술의 확산으로 인해 편리함이 증가하고 있지만, 이러한 기술들을 악용하여 사이버공간을 위협하는 사례가 늘어나고 있다. 외부 공격으로부터 사이버공간이 견고하게 유지되고, 사용자의 데이터가 안전하게 보호되며, 지속적인 서비스가 제공될 수 있도록 안전하고 신뢰할 수 있는 기반을 구축하는 것이 더욱 중요해지고 있다. 한국인터넷진흥원(KISA) 디지털안전지원본부는 정보통신망을 통해 제공되고 이용되는 디지털 서비스와 제품이 사이버 위협에 대응할 수 있도록 효과적인 예방 체계를 확립하는 데 주된 역할을 하고 있다. 디지털 환경에서 발생할 수 있는 사이버 위협을 분석하여 사전에 사고를 예방하고, 사고 발생 시, 그 피해를 최소화하여 정상적인 상태로 돌아갈 수 있도록 환경을 조성하는 것에 힘쓰고 있다. 또한 디지털 서비스와 제품에 발생할 수 있는 위협을 평가하고, 보안 취약점을 진단하여 조치하며, 안전과 보안에 대해 신뢰할 수 있는 평가와 인증을 받을 수 있도록 지원하고 있다. 

 

안녕하세요. 본부장님, 한국인터넷진흥원(KISA) 디지털안전지원본부의 소개를 부탁드립니다.

안녕하십니까, 월간인물 구독자 여러분. 한국인터넷진흥원(Korea Internet and Security Agency, KISA) 디지털안전지원본부의 본부장 김정희입니다. 제가 근무하는 KISA는 1996년부터 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 근거하여, 정보통신망을 안전하게 이용할 수 있는 기반 조성을 위해 힘쓰고 있습니다. 구체적으로는 사이버 공격으로 인한 해킹 등이 민간에 발생한 경우, 이에 대한 사고 대응과 더불어 디지털 전환 환경의 정보보호 예방 체계 강화, 개인정보 보호 및 피해 대응, 관련 산업 진흥 등의 업무를 수행하고 있습니다. 해킹 공격 등으로 정보통신망에 이상이 있을 때, 개인정보가 유출되었을 때 국민의 안전을 보호하기 위해 정보통신망에서의 소방수 역할을 하는 조직입니다.

저는 민간 기업에서 공공의 정보기술(IT) 시스템 통합을 담당한 경험을 바탕으로, KISA에서 정보화, 인터넷, 디지털 전환 등 빠르게 변화하는 환경에 발맞춰 정보보호가 내재된 안전하고 신뢰성 있는 디지털 서비스와 제품들이 확산되도록 하는 임무를 맡고 있습니다. 이 과정에서 과학기술정보통신부, 행정안전부, 개인정보보호위원회 등 여러 부처와 긴밀히 협업하여 사업을 진행하고 있습니다.

 

디지털안전지원본부의 주요사업 내용과 역할은 무엇인가요?

구체적으로 세 가지 사업을 설명해 드릴 수 있는데요. 첫째로는, 디지털 서비스 및 디지털 제품 보안성 강화로 클라우드와 정보통신망 연결 기기(IoT) 등의 디지털 서비스와 제품의 보안성을 강화합니다. 이를 위해 관련 기업에 정보보호관리체계(ISMS) 인증, 클라우드 보안 인증(CSAP), IoT 인증 등을 지원합니다. 둘째, 공급망 보안 체계(Supply Chain Security Management) 구축 및 운영으로 최근 급증하고 있는 공급망 공격이 제삼자의 도구와 서비스를 통해 정보 시스템과 네트워크에 침투하여 공격하는 행위이기 때문에 민간과 공공 영역에서 이러한 위협을 방지하기 위한 체계의 구축 및 운영을 지원합니다. 셋째, 신기술 기반 디지털 혁신 서비스 발굴 및 확산으로 블록체인 등 신기술을 기반으로 한 디지털 혁신 서비스를 발굴하고 확산합니다. 이는 블록체인 정책 개발, 국민 체감형 서비스 확산, 국민 생활 디지털 전환 촉진 등을 포함합니다.

 

인공지능, 양자기술 등 삶이 편리해지고 있는 반면 사이버위협은 지능화·고도화될 우려가 있습니다. 안전한 사이버공간 실현을 위해서 디지털안전지원본부에서 국민 삶과 밀접한 어떤 지원을 하고 있는지 궁금합니다.

첫째, 국민 생활과 밀접한 소비자 디지털 제품의 안전성을 강화하고 있습니다. 로봇청소기와 같은 디지털 제품의 해킹 사고가 증가하면서, 주요 국가들은 안전성과 보안성이 확인된 제품에 보안인증라벨을 도입하여 소비자들이 안전한 제품을 선택할 수 있도록 지원하는 정책을 확대하고 있습니다. 이에 KISA는 안전한 제품으로 시험·평가된 경우 보안인증라벨을 부여하고, 해당 제품이 시장에서 유통·이용될 때 안전과 보안에 대한 정보를 확인할 수 있도록 관리체계를 구축하였습니다. 또한, 삼성전자 등과 협력하여 2024년 하반기에는 최초로 보안 최고 등급을 획득한 디지털 로봇청소기가 시장에 출시되도록 지원하였습니다. 이를 통해 안전한 제품 선택의 기반을 마련하고, 보다 많은 기업들이 보안에 투자하여 인증을 취득하도록 유도하고 있습니다. 이렇게 마련한 관리체계는 생활가전뿐만 아니라 의료, 금융, 통신 등 다양한 산업 분야의 보안 투자도 촉발할 수 있어 정보보호 시장 확대에도 기여할 것으로 판단됩니다. 아울러, 우리나라에서 보안인증을 받은 디지털 제품이 다른 나라에서도 인정받을 수 있도록 국가 간 협력을 진행하였습니다. 2024년에는 아시아 진출의 교두보가 될 수 있는 싱가포르와 디지털 제품 보안에 대한 국가 간 상호인정 협약을 체결하여, 국내 기업이 하나의 인증만으로도 제품을 수출할 수 있는 성과를 얻었습니다. 앞으로도 미국, 독일 등 다른 국가들과도 제도 상호인정을 확대하기 위한 협력을 지속할 예정입니다.

둘째, 국민 일상의 디지털 서비스의 보안성 강화하는 데 노력하고 있습니다. 보안이 취약한 개통 방식으로 인해 약 98억 원의 피해가 발생한 알뜰폰 보안 사고와 관련하여 긴급 점검 및 취약점 분석, 전수 조사를 실시하였습니다. 이와 동시에 해당 서비스가 안전하고 책임성 있게 운영될 수 있도록, 보안이 미흡한 기업에는 행정 처분을 강화하고 정보보호를 총괄하는 최고 책임자(CISO) 지정과 정보보호 관리체계를 구축하도록 제도 마련을 지원한 바 있습니다. 또한, 보안 사고의 대다수가 중소기업(82.5%)에서 발생하고 있다는 점을 고려하여, 기업 부담을 줄여 이들의 서비스와 제품이 인증 제도권으로 편입될 수 있도록 운영을 개선하였습니다. 이를 통해 인증 소요 기간을 5개월에서 2개월로 단축하고, 인증 비용이 절감되도록 하여 기업이 이를 취득하기 위한 부담을 함께 완화하였습니다. 결과적으로 필요한 분야에서는 보안을 강화하고 이에 따른 부담을 완화할 수 있도록 노력하여 기업들이 정보보호 제도권 내에서 보다 적극적으로 보안 투자를 확대할 수 있도록 유도하였습니다.

 

재외국민들의 불편을 해소하기 위한 민관협업으로 해외 체류 국민의 디지털 이용환경을 개선한 내용도 말씀 부탁드립니다.

재외공관을 통한 대면 신원확인 절차의 불편함을 해소하고자 관계부처 및 민간기업과 협력하여, 세계 최초로 전자여권 기반의 비대면 신원확인 체계를 도입하였습니다. 이를 통해 재외동포들이 온라인으로 디지털 정부 서비스를 이용할 수 있게 되었습니다. 특히 재외동포청, 과학기술정보통신부 등 관계부처와의 정책 협력과 민간기업 5개사의 참여로 비대면 신원확인 기술을 확립하고, 지난 11월에는 인증센터를 개소하여 752만 재외동포가 언제 어디서나 이용할 수 있도록 하였습니다. 현재 전 세계 21개국에서 하루 평균 1,500여 건의 서비스 이용이 이루어지고 있으며, 이는 연간 약 94억 원의 사회적 비용 절감에 기여할 것으로 기대됩니다. 이러한 성과를 인정받아 본 사업은 정부혁신 대표 과제로 선정된 바 있습니다.

 

KISA는 기관 최초 블록체인 등 신기술 분야의 벤처창업 진흥 유공 장관 표창을 받았습니다. 또한 블록체인 전자문서 혁신 생태계 구축에 앞장서기 위한 SK 증권과 업무협약 등 그동안의 블록체인 기업 성장을 위한 성과들을 들어볼 수 있을까요? 

블록체인 분야는 2025년 글로벌 시장에서 138조 달러에 이를 것으로 예상될 만큼 지속적으로 성장하고 있습니다. 이러한 이유로 국내 관련 기업들의 해외 진출 수요도 높아지고, 한국의 블록체인 성공 사례를 벤치마킹하려는 글로벌 기관 및 기업의 요청도 증가하고 있습니다. 이에 따라 KISA는 글로벌 수요와 국내 공급 기업을 신속히 매칭할 수 있는 블록체인 수출 하이웨이 전략을 구상하고 시행하였습니다.

먼저, 총 14개국에 블록체인 우수 기업과 우수 사례를 전파하는 한편, 월드뱅크와 마다가스카르 농업 부문 혁신에 블록체인 실증 사업을 연계한 바 있습니다. 또한, 아랍에미리트 두바이 Gitex 박람회에 참여하여 국내 기업에 중동의 오일머니 투자가 가능하도록 물꼬를 텄습니다. KISA가 주도하는 블록체인 사업은 지난 7년간 총 1,040억 원 규모의 예산을 통해 280개 기업과 108개 서비스를 발굴해 왔습니다. 이 과정에 참여한 기업 중 기술 개발 및 사업화, 글로벌 진출 및 해외 투자 유치가 가능한 수준으로 성장한 기업들을 대상으로 해외 진출을 집중적으로 지원하였습니다. 성장 기업의 경우 중동 수요처와의 계약 성사 성과가 있었고, 성숙 기업의 경우 중동의 벤처 캐피털의 큰 관심으로 투자 유치가 예정되어 있습니다. 이러한 지원 활동들의 공로를 인정받아 본 사업은 벤처창업 진흥 유공 포상을 받았습니다.

 

2025년 사이버보안 위협전망을 어떻게 바라보시나요? 어떤 준비가 필요할지 말씀 부탁드립니다.

2025년 사이버 위협에 대한 전망을 살펴보면, 첫째, 공격자가 생성형 인공지능(GPT)을 활용하는 것이 본격화되며 불법적인 목적을 가진 사기(FraudGPT) 및 악성코드 생성(WormGPT) 등의 악성 인공지능 모델의 등장이 예상됩니다. 이러한 모델을 이용한 자동화된 피싱, 소셜 엔지니어링 및 기타 지능적인 사이버 공격의 증가로 이어질 수 있습니다. 둘째, 디지털 융복합 환경에서 제공되는 다양한 서비스 및 제품에 대한 사이버 위협이 증가할 것으로 예상됩니다. 특히 사물인터넷(IoT) 기기와 자율주행차, 지능형(스마트) 빌딩 및 교통 체계 등에서 발생할 수 있는 보안 취약점이 악용될 가능성이 큽니다. 이는 민감한 개인 정보의 유출과 시스템 마비와 같은 심각한 결과를 초래할 수 있습니다. 셋째, 정부, 공공기관 및 민간 기업에 대한 무차별적인 분산 서비스 거부(디도스) 공격이 더욱 빈번해질 것입니다. 이러한 공격은 조직의 정상적인 운영을 방해하고, 경제적 손실과 신뢰도 하락을 초래할 수 있습니다. 이 세 가지 요소를 종합적으로 고려할 때, 2025년의 사이버보안 환경은 매우 도전적일 것으로 예상됩니다. 이에 대비하기 위해 준비해야 할 것은 생각보다 간단합니다. 

모든 소프트웨어와 하드웨어에 최신 보안 패치를 신속하게 적용하여 보안 취약점을 최소화합니다. 신뢰할 수 있는 안티바이러스 소프트웨어를 설치하여 정기적으로 시스템을 검사하는 것도 중요합니다. 또한, 의심스러운 이메일이나 링크를 피하고 개인정보를 신중하게 다루어야 합니다. 마지막으로, 피싱 이메일이나 악성 링크를 식별하고 이에 대응하는 능력을 향상하기 위해 정기적인 사이버보안 훈련을 실시하는 것이 필요합니다. 모든 단계에서 보안 인식을 높이는 것이 가장 중요한 시작점입니다. 작은 습관에서부터 보안을 강화하는 것이 큰 차이를 만들 수 있습니다.

 

지금까지 공직자로 걸어오신 길이 궁금합니다. 어떤 신념과 철학을 가지고 임하시는지 궁금합니다.

저는 지난 25년간 국내 정보보호 관련 공공기관의 변화를 함께 겪어왔습니다. 그 과정에서 공인인증서·간편인증을 포함한 국가 전자서명 인프라 구축, 전자정부의 안전성을 확보하기 위한 정보보호 관리체계의 구축과 확산, 해킹 등 사이버 공격을 예방하기 위한 사이버 위협 정보 공유, 정보보호산업 진흥정책 지원 등 다양한 활동을 해왔습니다. 정보보호 정책 수립과 이행에 있어 가장 중요하게 고려해야 할 점은 기업과 기관의 현장입니다. 중앙부처, 지방자치단체, 공공기관이 제공하는 전자정부 서비스의 정보보호 관리체계가 지속적으로 계획(Plan)-실행(Do)-평가(Check)-개선(Act)되는지를 현장에서 심사한 경험이 있습니다. 정보보호 보완을 위해 전달한 권고 한마디가 한 기관의 예산과 인력뿐만 아니라 업무 프로세스 변화에도 크게 영향을 미치는 것을 보며, 현장의 상황을 반영한 정책과 기준의 중요성을 깨달았습니다. 이러한 경험을 통해 정보보호 인력들의 애환을 직접 보고 느낄 수 있었고, 그들의 노고에 깊은 감명을 받았습니다. 늘 현장에서 답을 찾고자 ‘우문현답’(우리의 문제는 현장에 답이 있다)을 가슴에 새기고 업무에 임합니다.

 

KISA 디지털안전지원본부의 비전과 목표는 무엇인가요? 더불어 2025년 계획도 말씀 부탁드립니다.

세계 최대의 박람회인 CES(Consumer Electronics Show)의 올해 주제는 ‘Connect, Solve, Discover, Dive in’으로 인공지능(AI) 등 첨단 기술을 통해 연결하고, 문제를 해결하며, 가능성을 발견하고, 변화에 참여하며 깊이 탐구하자는 의미를 담고 있습니다. 2024년 조사에 따르면, 전 세계 조직에서 적어도 한 가지 이상의 비즈니스 기능에 AI를 통합한 기업의 비율이 72%로 크게 증가했고, 이는 전 산업에 걸쳐 인공지능 전환(AX)이 진행되며 대변혁이 예상된다는 것을 보여줍니다. 그러나 AI 기술의 발전에 따른 긍정적 효과에도 불구하고, AI 서비스 과정에서 데이터 유출이나 악성코드 자동 생성 등 사이버 범죄에 AI가 악용될 우려가 있습니다. 또한, AI 모델의 취약점을 공격하여 서비스 중단을 일으키거나 결과물을 조작하는 등 AI 모델에 대한 보안 위협도 증가하고 있습니다. 이에 따라 2025년에는 AI 기반의 디지털 서비스와 제품의 안전성(Safety)과 보안성(Security)을 내재화할 수 있도록 다양한 접근을 시도할 예정입니다.