기관·기업 보안 담당자들 "망 분리 제도·제로트러스트 구체화 시급" 한 목소리

등록 2025.02.24 17:35:23수정 2025.02.24 20:00:24

한국침해사고대응팀협의회(CONCERT) '기업 정보보호 이슈 전망 보고서' 발간

망 분리, 제로트러스트 2.0 구체화 필요·정보보호 최고책임자 제도도 개선 시급

[그래픽=뉴시스] 재판매 및 DB금지.

[서울=뉴시스]송혜리 기자 = 국내 기관·기업의 보안 담당자들은 올해 정책 당국에 바라는 사항으로 망 분리 제도·제로트러스트(Zero Trust) 2.0 구체화, 정보보호 최고책임자(CISO) 지정·신고제도 개선 등을 꼽았다.

이는 인공지능(AI)·클라우드 등 신기술 도입과 확산을 촉진할 보안 정책에 대한 관심이 높아지고 있음을 반영한다. 특히, 규제 준수와 업무 효율성 간 균형을 맞추기 위한 내부 정책 마련과 적절한 도입 시점을 고민하는 것이 주요 배경으로 분석된다.

한국침해사고대응팀협의회(CONCERT)는 최근 발간한 '기업 정보보호 이슈 전망 보고서-CONCERT FORECAST 2025'를 통해 이러한 내용을 발표했다.

한국침해사고대응팀협의회는 국내 490여개 주요 기업, 금융기관, 공공기관, 보안업체 등 다양한 조직의 정보보호 담당자로 구성된 단체다. 이들은 정보 공유, 보안 교육, 정책 연구 등을 통해 사이버 침해사고 대응과 정보보호 역량 강화를 위해 협력하고 있다.

협의회는 2007년부터 매년 정회원사들의 보안 계획과 주요 이슈를 분석한 '기업 정보보호 이슈 전망 보고서'를 발간하고 있다. 올해 보고서는 490여개 회원사 중 195개 정회원사를 대상으로, 지난 1월 한 달간 설문조사와 인터뷰를 병행해 도출했다.

망분리 제도·제로 트러스트 2.0 구체화 필요

지난해 정부는 기존의 망분리 제도를 개선한 국가 네트워크 보안 프레임워크(N²SF, National Network Security Framework)를 발표했다.

이 프레임워크는 공공기관에서 보안이 필요한 업무 시스템을 제외하고는 논리적 망분리 또는 보안 시스템을 적용하는 것을 전제로 규제 대상에서 제외하는 내용을 담고 있다. 이를 통해 클라우드, AI 등 신기술을 적극 활용할 수 있도록 했다.

아울러 금융위원회는 금융사가 생성형 AI, 클라우드 등을 내부망에서 활용할 수 있도록 '금융규제 샌드박스'를 통해 규제 특례를 허용하는 방안을 추진키로 했다.

이러한 망분리 완화 정책은 차세대 보안 개념인 '제로 트러스트'와 결합해 더욱 강력한 공급망 보안 체계를 구축하는 데 기여할 것으로 기대된다.

제로 트러스트는 모든 접속과 활동을 의심하고 지속적으로 검증함으로써 변화하는 디지털 환경과 사이버 위협에 대응할 수 있는 최신 보안 전략이다. 정부는 개념을 알리는 데 중점을 뒀던 '제로트러스트 가이드라인 1.0'에 이어 도입과 확산에 방점을 찍은 '가이드라인 2.0'을 지난해 말 공개했다.

이와 관련, 대다수 보안 담당자는 망분리 완화 정책이 신기술을 효과적으로 활용할 수 있도록 예외 적용을 허용했다는 점에서 긍정적으로 평가했다. 그러나 일부 회원사는 망분리 완화 정책이 보다 세분화될 필요가 있다고 지적했다.

망분리 완화정책이 보다 세분화될 필요가 있다는 한 회원사는 "다수 계열사를 포함하고 있는 기업의 경우, 보유 정보 및 중요도에 따른 내부정책 적용기준을 마련해야 한다, 보안 위험에 대한 별도 방안을 마련해야 하고, 보안 점검과 컨실팅도 받아야 하는데, 현재 어느 수준까지 보안대책을 마련해야 되는지 명시가 안돼 있는 상황"이라며 보다 구체적인 보안 가이드라인이 필요하다고 주장했다.

제로 트러스트 2.0 가이드라인에 대해서도 "자율보안체계에 대한 구체적 가이드나 모범사례공유가 더 필요하다", "내부인력만으로 가이드라인을 이해, 적용하는데 어려움이 있다, 설명회, 공청회 등이 진행될 필요가 있다" 등 정책과 가이드라인 발표 이후 보완된 후속조치가 빠른 시일 내 이어지길 바라는 의견들이 제시됐다.

정보보호 최고책임자 지정 신고 제도 개선돼야

"겸직금지 CISO를 임원급으로 한정하다 보니 CISO에 선임되면 계약직으로 전환되게 된다. 이에 따라 계약직 근무 2년 후에는 많은 회사들이 계약을 종료하고 있다. 근로 불안정과 더불어 책임만 있고 권한은 없다는 인식이 팽배해 CISO 선임을 꺼리는 추세다"

이처럼 CISO 지정·신고제도 개선 필요성을 강조하는 의견도 다수 개진됐다. CISO 지정·신고 제도는 기업의 정보보호 체계 강화를 위해 시행됐지만, 실제 운영 측면에서 여러 한계와 문제점이 곳곳에서 포착되는 실정이다.

특히, CISO의 위상과 권한에 대해 "CISO의 독립성이 부족하다, 실질적인 권한이 부족하다, 이러한 CISO임에도 과도한 책임을 가진다"라는 구체적인 사례도 많이 거론됐다.

이밖에 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 유지기간의 연장·인증유지에 따른 혜택, 인력양성 및 전문성 강화를 위한 체계적인 시스템 등 정보보안 생태계 조성의 필요성, 수탁사 관리감독의 정확한 기준과 수탁사의 정의 등 다양한 의견들이 있었다고 협의회 측은 설명했다.

◎공감언론 뉴시스 chewoo@newsis.com