KISA 추경 예산 기반 하반기 보안 강화 사업 4건 잇딴 발주
기간통신·이통사·IDC 등 고위험 산업군 보안인증 체크리스트 신설
AI 기반 침해대응 솔루션 구매, CISO 등 임원급 대상 긴급 교육 등
올해 들어 민간·공공을 불문한 사이버 공격이 기승을 부리면서 AI(인공지능) 대응 체계 고도화를 위한 제도 개편 움직임이 본격화했다. 경영진을 대상으로 한 정보보안 인식 제고 교육도 처음으로 정부 예산을 들여 추진한다.
19일 관련 업계에 따르면 민간 사이버 보안 대응 주무기관인 한국인터넷진흥원이 최근 나라장터에 'AI 기반 침해대응 체계 인프라 구축을 위한 시스템 도입' 및 '전국 정보보호최고책임자(CISO) 대상 현황 조사 및 긴급 교육' 등 사업을 발주했다. 두 사업의 공통점은 올해 추경(추가경정) 예산으로 긴급하게 추진한다는 점이다.
AI 침해대응 인프라 구축은 소위 'C-BRAIN'(사이버브레인)을 구축하는 사업이다. 침해사고 정보와 분석 정보, 위협 데이터 등을 모은 저장소를 구성하고 검색증강생성(RAG) 기능을 더해 AI로 대응하는 체계를 만들 계획이다.
KISA는 "현재 예산·인력 등에 비해 침해 사고가 급증하고 있어 현실적 한계를 겪고 있다"며 "대응 지연을 해소하기 위해 사업을 긴급 추진하게 됐다"고 설명했다. 사업 기간은 계약 체결 후 90일 이내이며 사업 예산은 19억여원이다.
또 기업들이 대개 정보보호 투자에 인색한 만큼 중견·중소기업의 임원급 대상 보안 인식 제고 교육도 실시하게 됐다는 게 KISA의 설명이다. 그동안 실무급 대상 교육만 해왔으나 최근 SK텔레콤(102,700원 ▼3,100 -2.93%), 예스24(3,250원 ▲95 +3.01%) 등이 잇따라 사이버 공격을 받으면서 CISO 등 임원급 대상 교육의 필요성이 커졌다. KISA는 올해 12월 중순까지 전국 10개 지역에서 각 1회씩 총 10회의 교육을 진행할 예정이다.
침해사고 발생시 광범위한 영역에서 국민 피해가 예상되는 업종에 대한 인증 제도 역시 손질한다. KISA는 기존 운영 중인 정보보호 및 개인정보 관리체계(ISMS-P) 인증 제도 중 고위험 산업군의 체크리스트를 전면 개편하기 위한 작업에 착수했다.
이를테면 그동안 업종 구분 없이 일률적으로 적용했던 △정보보호 인증 체크리스트(정보보호 조직, 암호화 적용, 인적보안, 물리보안, 접근통제 등)와 △개인정보 인증 체크리스트(개인정보 수집시 보호조치, 정보주체 권리보호 등)를 앞으로는 고위험 산업군에 특화한 체크리스트로 개발하겠다는 것이다. 고위험 산업군은 인터넷 데이터센터(IDC) 사업자 등 기간통신사업자, 이동통신사, IT플랫폼 사업자, 클라우드 기업 등이다. 고위험 산업군에 대한 ISMS-P 인증 기준은 11월말까지 개발할 예정이다. 이 사업 역시 SK텔레콤 해킹 사고를 계기로 추진되는 추경 사업이다.
이밖에 주요 정보통신 기반시설의 고위험 취약점을 관리하는 진단도구 구매도 추진한다. 해커들이 무작위로 스캐닝해서 발견한 취약점 집중 공격으로 기관·기업의 내부망에 침투하는 것을 대비하는 것이다. 해당 보안 소프트웨어는 △신규 취약점 자동 업데이트 △취약점 진단 및 분석 △동시 256개 대상 스캐닝 △오픈 API(소프트웨어간 데이터 송수신 방식) 제공 △실제 취약점 위험도 및 공격 가능성 고려한 위협 산정 기준 표시 등 기능을 갖춰야 한다.
