2010년 들어 사이버보안이 글로벌 위험으로 등장한 후, 10년이 지난 현재 사이버위험은 글로벌 경제에서 가장 중요한 시스템 문제 중 하나로 부상하였다. 세계경제포럼(WEF)은 사이버보안에 대한 글로벌 지출은 현재 연간 1,450억 달러에 도달했으며 2035년까지 1조 달러를 초과할 것으로 전망하였다. 이러한 상황에서 세계경제포럼은 2019년 사이버보안에 관한 세계경제포럼 연례회의에서 제기된 보안 문제를 연구하기 위해 ‘미래 시리즈: 사이버 2025’를 발족하였다. 이 미래 시리즈의 일환으로 세계경제포럼은 옥스퍼드대학(글로벌 사이버보안역량센터: GCSCC)과 공동으로 주요 신흥기술의 미래를 전망하고 문제점을 진단하기 위한 시리즈 연구 중 하나로 ‘사이버보안, 신흥기술 미 시스템적 위험⁽¹⁾’ 보고서를 2020년 11월에 발표하였다, 이 보고서에서는 사이버공간의 변화를 촉진하는 대표적인 4개 변혁적인 기술로서 유비쿼터스 연결성(ubiquitous connectivity), 인공지능(AI), 양자컴퓨팅(quantum computing), 디지털 신원(Digital Identity)에 대한 차세대 접근방식을 제시하고, 이와 관련된 향후 5~10년 동안 직면할 주요 미래 위험을 예측하고 해결과제들을 제시하였다. 본고에서는 세계경제포럼의 보고서에서 제시한 미래 사이버보안을 조망할 수 있는 4대 변혁적 기술 중심으로 미래의 사이버보안 위험 상황과 해결방안을 고찰해보고자 한다.

 

유비쿼터스 연결성

 

최근 인터넷에 연결된 스마트폰, 웨어러블, 정보가전 등 기기가 폭증하면서, 산업계는 편재한 센서, 네트워크, 자동화된 시스템을 활용하여 새로운 사업을 창출하고 있다. 사물인터넷(IoT) 등을 통해 디지털화가 가속화하면서 언제 어디서나 인터넷을 이용할 수 있는 유비쿼터스 연결성의 시대가 가까워지고 있다. 고속의 안정적인 이동통신을 가능하게 하는 5G가 본격적으로 구축되면서 네트워크 가상화, 에지컴퓨팅 등이 진화하고, 개인 맞춤형 네트워크를 향해 발전해가고 있다.

 

새로운 네트워크와 데이터 분석 기술을 이용하여 기존의 물리적 세계에서 연결되지 않았던 기반시설에 대한 보다 효율적이고 안정적인 통제가 가능해지고, 새로운 제품(자율주행차, 드론 등)의 상용화가 가까워지고 있다.

 

경제사회 전반의 모바일 연결성이 확대되면서 다양한 개인, 사회, 기업들이 활용이 증가하고, 산업계는 새로운 무선기술을 이용한 가치를 창출하고 있으며, 공급망 관계가 변화하고 있다. 기업들은 독립적인 운영방식보다는 새로운 연결 생태계에 참여하면서 산업의 근본적인 변화를 촉발하고 있으며, 신기술의 출현과 도입이 가속화될 전망이다. 현재 진행 중인 기기, 네트워크, 서비스가 초연결되고 상호의존적이며, 정교한 공유인프라가 실현되면 경제사회 전반의 유비쿼터스 연결 시대를 맞이할 것이다.

 

 

5G 시대의 유비쿼터스 연결성과 활용분야
[출처: PwC(2019)⁽²⁾]

① 시스템적(Systemic) 위험

 

유비쿼터스 연결로의 진화는 새로운 사업 모델을 창출하면서 조직적 사이버보안 위험을 초래할 것이며, 기술의 발전으로 초연결사회에 진입하면서 위험은 범위, 심각성 등의 측면에서 더욱 증폭될 것이다. 대규모의 연결된 생태계는 잠재적인 공격표면의 빠른 확장을 의미하며, 새로운 시스템이 연결되면 데이터, 서비스 등 디지털 자산의 기밀성, 무결성, 가용성에 대한 위험을 초래하고, 산업사회에 대한 잠재적인 피해가 영향이 더욱 심각해질 것이다. 예를 들어, 지능형 운송이나 의료수술에서 중요한 기능이 안전이 통신 시스템의 무결성과 가용성에 점점 더 의존하면서 통신시스템에 대한 침해는 인간의 안전을 위협하고 치명적 사고를 초래할 수 있다.

 

디지털 생태계에서 행위자 간 새로운 관계가 복잡해지고 새로운 제품과 서비스의 출현으로 조직, 공급망, 산업, 개인 간 복잡한 상호의존성을 형성해가고 있다. 이러한 상호의존성은 생태계의 한 부분에서 발생하는 사고가 다른 행위자와 시스템에 대한 연쇄적인 손해를 끼칠 수 있음을 의미한다.

 

많은 기업이 클라우드, 인터넷서비스, 하드웨어, 소프트웨어, 장비 관련 업체들이 생태계를 형성하면서 다양한 플랫폼업체나 공유서비스업체에 대한 의존성이 심화하면서 고부가가치 공유지원에 대한 공격위험이 증가하고 있으며, 이러한 공격으로 인한 심각하고 시스템적 피해가 발생할 수 있다. 널리 사용되는 정보자원에서 발견된 취약성을 악용하면 생태계의 광대한 영역에 손해를 끼칠 수 있다.

 

② 해결과제

 

사이버보안 표준과 원칙이 국가, 산업 부문, 기업 간 상호호환성이 미흡하고, 파편화되어 있다. 유비쿼터스 연결의 잠재적 이점을 달성하기 위해 국가, 산업 부문, 기업 간 사이버보안 기능의 상호운용성을 강화할 필요가 있다. 현재 초연결 생태계의 보안을 위한 기술·관리 표준과 원칙이 개발되고 있으며, 산업계는 정보공유 보안 원칙, 상호운용 솔루션, 기기 보안 인증 등을 개발하고, 새로운 디지털 시대의 기준을 제정하기 위한 요구사항을 검토하고 있다. 국제기구들은 디지털 보안, 국제 정책 권고사항, 국제 규범을 위한 공통원칙의 개발을 하고있다. 이러한 표준과 원칙은 기본적으로 시스템을 구축하고 운영하는 방법에 적용되며, 기업의 이용 방법에 대한 관리와 규제방안에 대해 추가적인 검토가 필요하다. 정책이나 규제요건들이 부적합하여 기술적 상호운용성과 보안성이 손상되지 않도록, 다양한 법적 관할에 소재한 기업들이 준수해야 하는 규정들이 상이하여 충돌이 방지해야 한다. 사이버보안 공동체는 초연결 생태계에 대한 정책이나 규제 접근방식에서 발생하는 중대한 불일치를 해결할 수 있는 절차를 마련해야 한다.

 

기업 서비스의 보안성과 가용성에 대해 현재 충분히 정의되거나 투명하지 않으며, 산업생태계가 점점 더 복잡해짐에 따라 기업 목적에 적합한 최적의 위험 대응 방법을 결정하고, 공급업체가 보안 사항을 충족하는지 확인하는 것이 더욱 어려워질 수 있다. 고객이 올바른 위험관리 결정을 내릴 수 있도록 산업생태계는 공급망에서 보안 기능의 투명성에 대한 기본적인 신뢰를 구축해야 한다. 특정 국가나 산업부문에서 발전 전인 사례(영국에서는 자율주행차의 책임당사자에 관한 법적 접근방식의 개발, 미국 캘리포니아주의 IoT 기기에 대한 보안·개인정보보호 규정 등)가 존재하지만, 국제적으로 상호인정되는 명확한 사이버보안 규정과 정책을 마련할 필요가 있다.

 

일반적으로 사이버보안 운영역량이 부족한 상황이며, 현재의 위험통제가 제대로 작동하지 않을 수 있는 새로운 시스템에서 더욱 심각해질 수 있다. 기술 솔루션은 진화하고 있지만, 초연결 환경의 속도와 규모와 관련된 중대한 문제와 다양한 조직 간 상호운용성과 관련된 문제가 남아있다. 현재의 정보공유 모델은 기술과 위협의 규모와 복잡성의 증가에 맞추어 발전해야 한다. 운영기술(OT)과 정보기술(IT)의 융합환경에서 사이버보안을 수행할 수 있는 전문가를 확보할 필요가 있다. 새로운 기술은 기술 격차를 넓히고 있으며 OT 보안과 IT 보안 접근방식 간의 충돌이 발생하지 않도록 디지털 전환에 필요한 기술을 개발하고, 운영 기술에 미치는 영향을 파악하고 기술 부족 문제를 해결하기 위한 접근방식을 확립해야 한다.

 

A.T. Kearney/World Economic Forum workshop, November 2016; expert interviews

인공지능(AI)

 

기업의 핵심 사업에서 인공지능(AI)의 활용이 증가하면서 비즈니스 서비스와 기능의 AI 알고리즘에 대한 의존성이 증가하고 있다. 그러나 인공지능 알고리즘의 설계, 개발, 이용 방법에 대한 일반적인 확신은 부족한 상황이다. 네트워크 방어자는 물론 사이버 공격자들이 AI를 이용한 도구를 배포하고 있으며, 이들 상호 간의 역량의 균형을 예측하기 어렵다. 따라서 AI 방어자가 AI를 이용한 다양한 위협에 대응하기 위해 상호협력하고, AI 기반 프로세스를 보호하기 위한 도구를 개발해야 한다. 안전한 설계, 수명 주기 관리, 사고관리 관련 AI의 보안원칙을 마련할 필요가 있다. AI 보안원칙은 AI 관련 사이버 위험의 거버넌스를 지원하는 보다 강력한 보증체제의 기반을 제공할 수 있다.

 

AI 기술을 개발하기 위한 글로벌 경쟁이 가속화되고 있으며 글로벌 경제 전반의 AI 활용이 빠르게 확산되고 있다. 전 세계적으로 머신러닝 기술 연구 등 AI 연구개발에 상당한 투자를 진행하고 있다. 시장 조사기관인 IDC에 따르면 AI에 대한 글로벌 지출은 2019년에 375억 달러로 추산되며, 중국과 미국이 글로벌 AI를 주도하며 2023년에는 979억 달러에 이를 것으로 전망되고 있다. AI 관련 새로운 기술은 더 빠르고 정확한 분석과 의사결정을 지원하고, 빅데이터에서 통찰력을 얻으면서, 운송, 제조, 금융, 의료와 같은 다양한 분야에서 인간 능력을 능가하는 서비스들을 창출하고 있다. 데이터 활용, 프로세스 개선, 효율성 향상, 고객 경험 향상 등 향후 5~10년 이내에 AI 시스템이 활용 분야가 광범위해지고 역할도 증가할 전망이다.

 

① 공격자와 방어자 역량의 균형

 

공격 측면에서는 1세대 AI 지원 공격 도구가 등장하고 있으며, AI 기술이 성숙하고 향후 몇 년 동안 널리 이용되면서 악의적 AI 이용이 가속화되고 점점 더 정교해질 전망이다. 사이버 공격자들은 사이버 공격 단계 전반에 걸쳐 AI를 이용하여 공격 기능을 향상할 것이다. 즉 공격을 자동화함으로써 공격 속도를 향상하고, 규모를 확대할 수 있다. 또한 자동화를 인해 전문적인 지식이나 스킬의 중요성이 줄어들면서 위협의 범위가 확장될 수 있다. 공격자는 딥러닝 분석을 사용하여 피해자의 공격표면을 예측하고 방어 방법을 학습하여 정확한 공격을 감행할 수 있으며, AI를 이용하여 방어자의 탐지나 제거를 회피하고, 은밀하게 공격을 수행할 수 있다.

 

반면, 방어 측면에서는 AI는 방어의 속도, 정확성, 피해를 줄이고 조직의 탄력성을 향상시킬 수 있다. AI 지원 방어에 대한 연구개발이 진행 중이며, AI가 일반적으로 분석가가 수행하던 작업인 위협 분석 등을 자동화하여 방어자의 활동을 지원할 수 있다. AI 활용은 사이버보안 생태계 내 방어체계에서 점점 더 깊이 통합되고 있으며 사이버보안에서 AI의 글로벌 가치는 2027년까지 463억 달러에 이를 것으로 전망되고 있다.⁽³⁾

 

공격자는 AI를 사용하여 방어자의 움직임을 예측할 수 있으며, 방어자의 경우 공격 전략을 예측하는 능력을 통해 방어방법을 조정하고 향상시킬 수 있다. 이러한 공격자와 방어자 간의 사이버 게임 형태는 AI 공격과 방어 방법 간의 군비 경쟁 가속화의 일부분이기도 하다. AI 기반 방어력의 향상에도 불구하고, 적대적인 AI 기반 공격 중 일부는 방어망을 우회할 수 있음이 이미 입증되고 있다. 예를 들어, 말웨어를 조작하여 머신러닝 기반 방어를 우회할 수 있는 지능형 에이전트가 개발되었으며, 머신러닝 기반 보안시스템에 대한 공격이 더욱 보편화하고 있다.

 

② 해결과제

 

AI 지원 공격자와 방어자 간 균형점의 위치는 아직 명확하지 않으나, 사이버 공격자의 공격위험을 완화하려면 사이버보안 커뮤니티가 AI 지원 공격자에 맞서 싸울 준비를 신속히 갖추고, AI 지원 방어 역량에 대한 투자를 강화할 필요가 있다. 산학협력을 기반으로 연구개발 아젠더를 도출하고, 산업생태계의 각 조직의 연구와 경험을 집약하여 AI 지원 적대적 공격 모델에 대한 이해도를 향상하고, 방어 도구를 개선할 필요가 있다.

 

산업생태계의 특정 부문에서 발생하는 보안사고의 피해나 자율적 의사결정 시스템의 장애는 조직 전반으로 확산될 전망이며, 산업생태계가 상호연결됨에 따라 다른 조직과 중요한 사회적 기능에 영향을 미칠 가능성이 높다. AI로 인한 시스템적 위협에 대한 산업생태계 전체의 복원력을 보장하려면 정보공유 등 협업 방식의 보안 접근이 필요하다.

 

많은 대상을 표적으로 삼는 AI 지원 공격 위협에 대한 대응 역량을 강화해야 한다. 방어자들은 자체적인 방어체계를 마련하여 생태계 일부를 방어하고, 협력적인 방어를 통해 전체의 방어 역량을 강화할 필요가 있다. 정부 및 기업의 책임자들은 시장의 기존 및 신흥 방어기술을 공평하고 저렴하게 이용할 수 있는 방법을 있는 방안을 강구해야 한다. 또한 새로운 AI 지원 위협 환경과 방어에 대한 적합한 자동 탐지, 대응, 수사 등에 대한 모범사례에 대한 지침을 제시할 필요가 있다.

 

산업 전반에 걸쳐 AI 알고리즘에 대한 의존성이 심화됨에 따라 AI 알고리즘의 무결성 보장이 매우 중요해지고 있다. AI 알고리즘은 오류나 편향성이 없어야 하며, AI 알고리즘이 공정성, 견고성, 설명 가능성을 보장하도록 개발되어야 한다. 보안 기능에 대한 완벽한 이해나 보증이 없으면 AI 알고리즘이 내린 잘못된 결정으로 인해 AI 시스템 리더에게 책임이 부여될 위험이 있다. 따라서 안전하고 방어 가능한 알고리즘이 개발되도록 AI의 보안원칙을 개발하고, 정부, 기업, 공급업체, 대학 등의 협력을 통해 보안 요구사항을 파악하여 코드화해야 할 필요가 있다. 특히 안전한 설계, 수명 주기 관리, 사고관리 등에 대한 AI 보안원칙을 마련해야 한다.

 

양자컴퓨터(Quantum Computing)

 

양자컴퓨팅은 향후 나타날 가장 중요한 기술 중 하나로, 양자 혁명을 촉발할 것이며, 양자 알고리즘은 산업 전반에 걸친 다양한 사용 사례에서 주요 발전과 혁신적 이점을 가져올 수 있는 잠재력을 지니고 있다. 예를 들어 양자를 분자 시뮬레이션에 적용하여 약물 발견을 가속화하고, 금융의 최적화 문제, AI 기능을 향상시킬 수 있다. 일부 기업들은 초기 버전의 양자컴퓨팅 서비스를 이미 제공하기 시작하였고, 가까운 장래에는 더욱 진화할 전망이다.

 

반면 양자컴퓨팅은 다양한 보안 위험을 내포하고 있음으로, 정부와 기업의 리더는 양자기술의 잠재적 가치를 안전하게 실현하기 위해서 양자 기술의 위험을 이해하고 신속하게 대응할 준비를 하여야 한다.

 

① 기존 암호체계의 붕괴 위험

 

양자컴퓨팅은 현재 널리 이용되는 비대칭 암호화에 중대한 영향을 끼칠 수 있다. 강력하고 신속한 양자컴퓨터는 난해성이 높은 암호화에 사용되는 고전적인 수학적 문제를 해결할 것이다. 이에 따라 디지털경제의 기반인 기존 암호체계를 깨뜨릴 가능성이 높다. 이러한 위협에 저항하면서 양자 시대에도 안전할 수 있는 양자 암호화 솔루션을 개발하기 위한 프로젝트가 진행 중이다. 특히 미국 국립표준기술연구소(NIST)는 포스트 양자 암호화에 대한 표준화 프로젝트를 주목할 필요가 있다. 양자 암호화는 공격자와 방어자 간의 균형에 어떤 영향을 미치며, 상업적으로나 정치적으로 어떻게 진행될지에 대해 아직은 예견하기 어려운 상황이다. 디지털 생태계에서 양자컴퓨터가 비대칭 암호체계를 무력화하면 국가사회 전반에서 심각한 사이버보안 위험을 초래하고, 국가와 기업에서 의존하는 거래 및 데이터의 기밀성, 무결성, 가용성을 보장하지 못할 수 있다.

 

양자컴퓨팅 사례가 등장함에 따라 조직은 경쟁 우위를 유지하기 위해 사업모델에 양자컴퓨팅을 도입하면서 새로운 보안 딜레마에 직면할 것이다. 조직이 가장 소중한 지적재산에 대한 양자 계산을 타사 서비스에 맡기면서 적대적인 사이버침해 위험이 커지고, 양자 알고리즘으로 인해 의도하지 않은 위험을 초래할 수 있다. 양자 시대에 산업 사물인터넷(IIoT)의 상호연결된 시스템, 다양한 산업 애플리케이션에 걸쳐 배포되는 블록체인 서비스 등이 분산원장 서비스 등이 양자컴퓨팅에 취약한 공유인프라로 운영될 수 있다. 이러한 공유 인프라에서는 소유권이 고도로 분산되어 양자컴퓨터를 이용한 보안사고에 대해 책임 주체가 명확하지 않을 수 있다.

 

암호화 관련 잠재적인 미래 양자 위협은 현재의 위험 결정사항과 관련될 수 있다. 공격자들은 민감도가 높은 데이터셋을 지금 다운로드하고 나중에 해독할 수 있다. 조직은 현재의 데이터가 향후 해독될 수 있다는 사실과 현재 데이터의 편향 상태나 침해 위험에 대해 충분히 인식하지 못할 수 있으며, 양자 분야의 전문인력을 보유하고 있지도 않다. 범죄자들은 ​​사이버공격 능력을 향상하기 위해 양자 서비스를 이용하면서 양자컴퓨팅이 악의적 목적으로 오용될 가능성도 크다. 대량 살상 무기의 확산과 관련하여 이중 목적 기술과 유사한 일이 발생할 수 있다.

 

양자기술은 국가안보의 판도를 바꿀 잠재력이 지니면서, 미국과 중국 정부 등은 양자기술 개발에 막대한 투자를 하고 있다. 경쟁력 측면에서 장벽을 높이는 타 신기술과 마찬가지로 양자기술 분야에서 보호무역이 국제협력과 공평한 이용을 저해할 수 있는 위험이 있다. 이것은 양자기술의 잠재적인 경제 사회적 혜택을 확산하는 데 주요 장벽으로 작용할 수 있으며, 보안 능력 측면에서도 비대칭을 확대할 수 있다. 기술에 대한 공평한 접근이 보장되지 않는 경우, 양자기술 역량을 가진 국가는 이를 사용하여 전략적 이점을 창출할 것이며, 다른 국가는 상대적인 양자 빈곤에 빠질 수 있다.

 

② 해결과제

 

정부와 기업의 리더는 양자기술 관련 조직이 직면할 수 있는 위험에 대처해야 한다. 첫째, 조직 자산 암호화에 대한 양자 위협을 평가해야 한다. 둘째, 암호화 자산이 적절하게 관리되고 적절한 기간 내 양자 시대에 적합한 암호로의 전환계획을 마련해야 한다. 셋째, 양자컴퓨팅 능력을 갖춘 공격자 앞에서 약화될 수 있는 모든 보안위험을 검토해야 한다. 넷째, 위험을 평가할 때 조직의 제품과 서비스에 대한 종속성을 파악해야 한다. 다섯째, 잠재적 보안위험을 완화하는 방법에 대한 이해를 바탕으로 양자 컴퓨팅을 사업에 적용함에 따른 장단점을 분석하고 수용 여부를 결정할 필요가 있다.

 

국가적 전략적 이점을 고려하여 정부와 산업계는 주권적인 양자 능력 개발을 위한 투자전략에 대해 협력해야 한다. 양자계획이 추진됨에 따라 보안 차원을 정기적으로 재검토하고 관련 기관들은 위험을 지속해서 모니터링해야 한다. 국가가 양자의 잠재적인 이점을 최대한 활용하려면 양자 시대에도 안전한 하드웨어와 알고리즘을 개발하고 보안 전문인력을 확보해야 한다. 양자가 복잡하고 고전적으로 반 직관적이라는 점을 고려할 때 교육 훈련에 대한 투자를 확대하고, 다양한 이해관계자들의 협력체계를 구축해야 한다.

 

조직은 양자 전환 및 잠재적 미래 위협에 직면하여 위험관리를 위한 기준, 거버넌스 원칙, 규정 등을 마련해야 한다. 정부와 규제기관은 모든 위험을 적절하게 해결하기 위해 어떤 시점에서 조처를 해야 하는지 고려해야 한다. 국제협력 차원에서 전 세계의 보안기술 표준화와 거버넌스 노력 사이에 적절한 조정이 필요한지 확인하고, 양자기술에 대한 국제적인 거버넌스 원칙(양자 자원의 윤리적 사용 촉진 등)을 마련할 필요가 있다.

 

디지털 신원(Digital Identity)

 

강력하고 안전한 디지털 신원은 온라인과 오프라인 거래에서 필수적이다. 현재 디지털 신원 시스템 구현을 위한 다양한 견해와 접근이 이루어지고 있다. 당사자가 위험 기반 결정을 내릴 수 있는 방식으로 경제적 거래를 지원하기 위해 다양한 접근방식 간 상호연결성과 상호신뢰성을 높여야 한다. 또한 국경을 초월한 개인정보보호를 강화할 필요가 있다. 현재의 다양한 디지털 신원 보호 접근방식을 이해하기 위한 협업과 분산 환경에서 발생하는 다양한 위협 대처 방법에 대한 검토 등이 필요하다.

 

① 디지털 신원에 대한 전 세계의 다양한 접근방식과 보안 위협

 

디지털 신원 관리에 대한 강력하고 전 세계적으로 상호운용 가능한 접근방식 마련은 향후 디지털 생태계의 잠재적 경제 사회적 가치를 실현하는 데 중요하다. 디지털 신원을 올바르게 확보함으로써 기존의 정보보안과 개인정보보호 문제를 해결하고, 글로벌 시장을 촉진하며, 기존 서비스의 디지털 전환을 지원하고, 새로운 유형을 제공함으로써 국가사회 서비스가 새로운 가치를 창출하도록 할 수 있다. 신뢰할 수 있는 서비스(운송, 금융 등), 상호운용 가능한 신원 관리 시스템은 전 세계적으로 경제사회 통합을 위해 중요하다. 신원 관리가 취약하면 사이버보안 문제를 악화시키며 다양한 형태의 사이버 범죄의 근원이 된다.

 

디지털 신원 관리 접근방식을 구현하기 위해 다양한 정부와 기업들이 노력하고 있다. 다양한 신원 관리 솔루션에 대한 경쟁적인 투자가 진행되고 있으나, 국가, 산업부문, 기업의 상황이 서로 다르기 때문에 다양한 부문과 관할권에서 거래를 지원하는 데 필요한 상호운용성을 달성하기가 쉽지 않다. 디지털 신원은 올바른 방식으로 관리된다면 정보보안과 개인정보보호와 다른 신기술에서 발생하는 문제를 해결하는 데 크게 도움이 된다. 예를 들어 강력한 인증 보장은 AI의 위험을 완화하는 데 도움이 될 수 있다. 그러나 차세대 디지털 ID 생태계가 등장함에 따라 해결할 보안 및 신뢰 문제가 발생한다. 이기종 시스템의 ID에 대한 완전한 신뢰는 비현실적이며, 제로트러스트(Zero Trust)는 원하는 트랜잭션을 지원하기에 충분하지 않을 수 있다. 서비스를 제공하기 위해 공급망 전체에서 충분한 신뢰를 공유하고 예측하는 통합 ID 시스템(Federated ID System)을 개발해야 한다.

 

차세대 신원 시스템이 등장함에 따라 사회는 핵심 시스템에서 차세대 신원 시스템에 대한 의존성이 높아질 것이다. 이에 따라 고 가치 신원 생태계가 사이버 공격자들의 표적이 될 가능성이 높다. 점점 더 정교해지는 공격자들은 인증기기나 통신장비, 데이터베이스 등 주요 구성요소의 취약점을 악용하여 계정을 탈취하고, 거래정보를 획득하고, 민감한 정보를 수집할 것이다. 범죄자들은 재정적 이득을 위해 시스템을 남용하려고 할 것이며, 디지털 신원 생태계 내의 다양한 행위자들은 경제적 또는 정치적 이점을 노골적으로 그리고 은밀하게 얻기 위해 자신의 위치를 악용하려고 할 것이다.

 

② 해결과제

 

디지털 신원 솔루션이 신뢰 되고 채택되려면 다양한 구성요소의 보안성과 복원력 측면에서 행위자 간의 보증과 투명성이 필요하다. 신원 거래에 참여하는 행위자가 거래의 신뢰성에 대해 어느 정도는 이해할 수 있어야 하며, 신뢰 결함을 보완하기 위해 추가적인 보증 메커니즘을 구현할 것인지에 대해 정보에 입각한 결정을 내릴 수 있어야 한다. 신원 시스템에 대한 보안 접근방식과 표준을 개발하고 신원 증명, 생체인증 등의 새로운 기술이 발전하고 있다. 그러나 분산 ID 생태계에 대한 포괄적 기준은 아직 존재하지 않으며 정책들이 다르며, 사업별 동인의 차이로 인해 상호운용 가능한 접근방식과 신뢰가 부족하다. SMS를 사용하여 금융 거래를 위한 사용자 인증을 지원할 때 발생했던 사례들과 같이 ID 관리시스템의 보안 취약성으로 인해 응용서비스의 보안성이 저해되지 않도록 대책을 마련할 필요가 있다. 혁신적인 서비스를 창출하는 안전한 환경을 제공하기 위해 ID 관리 생태계 내 시스템의 보안 속성이나 취약성에 대한 투명성을 강화해야 한다.

 

보증 수준에 대한 공통된 이해를 통해 전 세계적으로 정의되거나 최소한 상호인정 및 상호운용 가능한 거버넌스 프레임워크(표준, 인증)가 필요하다. 신원 생태계의 다양한 구성요소 간 신뢰를 위해 신원 시스템 및 프로세스의 이해관계자들이 참여할 수 있도록 기본수준의 사이버보안을 정의해야 한다. 이러한 기본수준에는 ID 솔루션 구성 요소의 안전한 설계를 위한 기술적 요구사항과 프로세스 보증, 개인정보보호 요건 등을 포함해야 한다.

 

분산되고 이기종이며 복잡한 ID 생태계를 사기 및 남용으로부터 보호하고 침해를 방지하기 위해 새로운 접근방식을 도입하고, 보안 커뮤니티 간 협업을 강화하여야 한다. 전문 보안 커뮤니티는 ID 생태계가 출현할 때 단대단 보안을 평가하고 취약점을 해결하는 데 참여해야 하며, 새로운 기술이 출시됨에 따라 잠재적인 미래 위협에 대처하기 위한 방법을 검토해야 한다. 참여자들은 공격표면을 감소시키고, 사고에 신속하게 대응할 수 있도록 보안 커뮤니티를 함께 구축할 필요가 있다. 사기와 남용 예방, 위협정보 공유, 취약성 관리, 사고 대응 등을 위해 다양한 산업부문과 관할권에 걸쳐 다양한 참여자에 대한 인센티브 제공 등 사이버보안 역량을 강화해야 한다.

결론 및 시사점

산업생태계 전반에 걸쳐 사이버보안을 개선하는 데 진전이 있었지만, 기술의 발전 추세와 미래의 복잡성, 속도, 규모, 상호의존성 등을 고려할 때 현재의 사이버보안 수준은 충분하지 않으며 지속적인 개선이 필요하다. 향후 사이버보안의 범위도 기존의 네트워크와 시스템에서 다양한 정보계층, AI 알고리즘의 무결성 등 점차 확장할 필요가 있다. 새로운 사이버보안 도구를 개발하고, 국제적인 시스템 전반에 걸쳐 새로운 보안 솔루션을 효과적으로 구현해야 한다. 새로운 미래 위협에 대비하여 사이버보안 강화에 신속히 착수하지 않으면 미래 성장의 핵심요소인 신흥기술의 신뢰성과 무결성을 보장할 수 없을 것이다.

 

ICT 생태계가 복잡해지고 상호의존성이 높아지면서 공급업체에 대한 의존성에 대한 위험 증가, 클라우드 환경에서의 위험 집중 등 시스템적 위험이 증대하고 있다. 이러한 시스템적 위험은 하나의 조직만을 대처할 수 있으며, 정부와 기업 모두의 협력과 책임 분담이 필요하다.

 

정부 및 기업의 책임자들은 사이버보안이 단순히 시스템과 네트워크를 보호하는 문제가 아니라 점점 더 복잡해지는 기술 환경의 상호연결된 프로세스의 무결성과 복원력을 보장하는 측면에서 검토해야 한다. 새로운 기술의 도입에 따른 사이버 위험 노출의 영향을 파악하고 위험을 허용 가능하고 지속가능한 수준으로 유지하기 위해 필요한 완화조치를 취해야 한다. 책임자들은 핵심 인프라를 보호하기 위해 새로운 위험에 대처하기 위한 전략을 수립하고, 새로운 공격 표면에 노출되지 않는 방안에 대해 보안 협력을 강화해야 한다.

 

미래사회의 사이버보안을 위해 광범위한 이해관계자의 참여와 협력이 필요하다. 정부와 산업계의 책임자들은 보안 솔루션 채택을 장려하고 산업생태계의 다양한 요소 간의 신뢰와 투명성을 강화하고, 보안과 규제 모델의 충돌을 최소화하며, 국제적인 데이터 및 디지털 서비스 거래를 촉진하기 위한 정책을 강화해야 한다. 보안 커뮤니티는 비즈니스 및 주요 기반시설 내에서 새로운 사이버 위험을 효과적으로 완화하기 위한 보안 우선순위를 설정해야 한다. 마지막으로, 국경을 초월한 사이버 위험을 줄이기 위해 국제적인 공동협력을 강화해야 할 것이다.

[참고문헌]

 

1. GlobeNewswire News Room, “Artificial Intelligence (AI) in Cybersecurity Market Worth $46.3 billion by 2027 – Exclusive Report Covering Pre and Post COVID-19 Market Estimates by Meticulous Research”, GlobeNewswire News Room, 2020. 6.19
2. PwC Strategy and World Economic Forum, “5G for the Fourth Industrial Revolution”, 2019
3. WEF, Future Series: Cybersecurity, emerging technology and systemic risk, 2020.11