1. 서론

 

최근 행정·금융·에너지·교통 등 국가기반시설의 정보통신 기술 및 서비스에 대한 의존도가 심화하고, 해킹 기술이 빠르게 진화하면서 전 세계적으로 주요 기반시설을 대상으로 한 사이버위협이 매우 증가하고 있다. 따라서 주요국은 국가기반시설의 범위와 발생 가능한 위협을 정의하고, 주요 기반시설 보호와 관련된 법령이나 전략, 계획 등을 수립하여 주요 기반시설 보호 체계를 구축·운영하고 있다. 주요 기반시설 보호 정책은 위험을 완화하고, 주요 기반시설이 제공하는 핵심 서비스 등 기능(Functionality)과 연속성(Continuity), 무결성(Integrity)을 보장하기 위한 모든 활동을 의미한다. 국내에서는 「정보통신기반 보호법」에 따라 공공·민간 분야로 구분하여 주요 정보통신기반시설의 보호 체계를 정의하고, 취약점 분석·평가 시행, 보호대책·

계획수립, 보호대책 이행 여부 확인, 침해사고 통지 등 관리기관, 관계 중앙행정기관이 수행하는 주요 정보통신기반시설의 보호 업무를 규정한다. 미국, EU 등 주요국은 관련 법령 등을 통해 주요 기반시설 보호 범위 및 추진체계, 기본방향 등을 기술하고, 보호 계획을 수립하여 더욱 구체적인 수행방안을 마련한다. 또한, 주요국은 제4차 산업혁명 시대에 진입하면서 지능화·조직화한 사이버위협에 대응하기 위해 국가 사이버보안 전략을 수립하고, 이를 이행하기 위해 주요 기반시설을 중심으로 공공-민간 부문의 사이버보안 향상, 사이버공격 대응역량 강화, 사이버보안 산업 활성화, 사이버보안 인력양성 및 인식 제고, 연구개발, 국제협력 등을 추진하고 있다.

 

따라서 본고에서는 미국, 영국, 일본, 중국 등 주요국의 주요 기반시설 보호와 관련된 법령 및 지침, 보호 계획, 국가 사이버보안 전략 등의 현황을 분석하여 주요 기반시설 보호 정책의 구성을 정의한다. 또한, 각 구성마다 주요국의 주요 기반시설 사이버보안 향상을 위한 주요 활동을 비교·분석하여 국내 주요 정보통신기반시설 보호 정책의 개선을 위한 정책적 시사점을 도출하고자 한다.

 

2. 주요 기반시설 보호 정책의 구성 정의

 

구분		한국	일본	중국	미국	영국
주요 기반 시설 보호 체계 수립	용어	주요 정보통신 기반시설	Critical Information Infrastructure(CII)		Critical Infrastructure	Critical National Infrastructure
	분야	공공, 민간	14개 분야 (정보통신, 금융,항공, 공항, 철도 등)	에너지, 금융, 교통 , 정보통신 등, 연구기관, 언론	16개 분야 (화학, 상업시설, 에너지, 금융, IT 등)	13개 분야 (화학, 에너지,통신, 금융 등)
	법령	정보통신기반 보호법	사이버보안 기본법	네트워크 안전법 (사이버보안법)	국토안보법	NIS Regulations 2018
	지침 및 계획	관계 중앙행정기관별 소관 주요 정보통신 기반시설 보호 지침 · 보호 계획	CII 정보보호 대책에 관한 제4차 시행계획	CII 안전 보호 조례(안)	NIPP 2013 및 분야별 보호 계획(SSPs)	13개 분야 보안 및 복원력 계획, 에너지 등분야 OES 및 DSP 대상 사이버보안 지침
주요 기반 시설 사이버 보안 강화	국가 전략	국가 사이버안보 전략·기본계획	사이버보안 전략	국가 사이버 보안 전략	EO-13636, PPD-21, 국가 사이버전략	국가 사이버보안 전략 2016-2021
	기준 및 지침	주요 정보통신 기반시설 취약점 분석· 평가 기준	CII 안전기준 수립 지침 · 대책편, CII 기능보증 기반 위험평가 지침서	네트워크 안전 심사 방법, 네트워크 제품과 서비스 보안 심사방법 등	NIST 사이버보안 프레임워크 (NIST CSF) v1.1	사이버평가프레임워크 (CAF), 위험관리 지침,모의침투 테스트 지침, 사이버보안 설계 원칙 등
	관련 지원 정책	(국정원·과기정통부) 관리기관 보호대책 이행 여부 확인 및 기술지원	경제산업성 사이버보안 경영 가이드라인, JPCERT/CC · IPA 정보보호대책 등	–	C3VP, CISA 사이버보안 평가 서비스 (CRR, PCA, RVA, CSET® 등)	Cyber Essentials, NCSC Cyber Security Professionals,Cyber Security Consultancies, ACD, 모의침투 테스트 등

 

미국, 영국, 일본, 중국 등 주요국의 주요 기반시설 보호와 관련된 정책은 <표 1>과 같이 크게 주요 기반시설 보호 체계 수립과 관련된 관련 법령 제정과 사이버보안 강화와 관련된 전략·계획 수립으로 구분할 수 있다. 주요 기반시설 보호 관련 법령 등에서는 주요 기반시설 보호 체계를 수립하고, 보호 지침 또는 보호 계획을 통해 주요 기반시설 범위 식별, 위험분석·평가 및 완화방안 등 분야별 보호 활동을 구체화한다. 또한 국가 사이버보안 전략 등에서는 최근 4차 산업혁명 기술 도입, 고도화된 사이버위협 발생 등 사이버 환경의 변화를 고려하여 추진과제 중 하나로 주요 기반시설의 사이버보안 강화 정책을 수립하였다. 이에 따라 정부 기관은 기존에 수립한 보호 계획을 검토하여 업데이트하고, 운영 주체 등을 대상으로 사이버보안 관련 정보 및 서비스를 제공하고 있다.

<그림 1> 주요 기반시설 보호 정책의 구성

주요 기반 시설 보호 법령 및 지침 계획		주요 기반시설 보호 목표(Goal) 및 목적(Objectives)
		주요 기반시설의 안정적 운용, 국가안보 및 국민 생활·경제, 사회의 안정 보장
		⇧					⇧
		주요 기반시설 보호 추진체계
		보호 주체(총괄기관, 소관 부처, 운영 주체, 사고 대응 지원기관 등), 책임 및 역할
		주요 기반시설 범위 식별		⇨		침해사고 예방			⇨		침해사고 대응 및 복구
		주요 기반시설 대상 분야 주요 기반시설 식별 방법 의존성 및 상호연계성 분석				사이버보안 위험관리 – 위험분석·평가 – 보호 대책 수립 – 모니터링·검토					침해사고 대응 체계 구축 – 침해사고 대응·복구 – 침해사고 통지모의훈련
		⇧			⇧					⇧
		민·관 공동협력체계(Public-Private Partnership, PPP) 구축 및 정보공유
⇧								⇧
국가 사이버보안 전략 및 계획
주요 기반시설 사이버보안 향상 및 사이버공격 대응 역량 강화 (IT/OT 환경에서의 신규 위협 대응, Security-By-Design 등)

 

국가별 주요 기반시설 보호 및 사이버보안 강화 정책을 내용적 측면에서 분석하면 <그림 1>과 같이 주요 기반시설 보호 목표 및 목적, 추진체계, 주요 기반시설 범위 식별, 침해사고 예방 및 대응·복구 측면에서의 보호 활동, 민·관 공동협력체계 구축 및 정보공유 등으로 분류할 수 있다. 국가 차원에서 공공-민간 부문의 주요 기반시설 보호 목표를 제시하고, 이를 수행하기 위한 보호 주체와 주체별 책임 및 역할을 규정한다. 주요 기반시설 보호에 관한 주요 활동은 주요 기반시설 범위 식별, 침해사고 예방 측면에서의 위험관리, 침해사고 대응·복구 측면에서 사이버위기 관리로 구분하고, 민·관 협력체계 및 정보공유를 기반으로 공공-민간 부문이 발생 가능한 위험에 공동 대응한다. 또한, 국가 사이버보안 전략 등에서 수립한 정책을 이행함으로써 법령상에서 규정하지 못한 주요 기반시설 사이버보안 활동을 보완하고 있음을 알 수 있다.

 

3. 주요국 주요 기반시설 사이버보안 정책 현황 분석

본 장에서는 <그림 1>의 주요 기반시설 보호 정책의 구성 요소 중에서 주요 기반시설 보호 추진체계와 사이버보안 활동(주요 기반시설 범위 식별, 침해사고 예방, 침해사고 대응 및 복구, PPP 구축 및 정보 공유)을 중심으로 주요국 사이버보안 정책 현황에 대해 비교·분석한다.

 

(1) 주요 기반시설 보호 추진체계 구성 및 주요 역할 분석

구분	한국	일본	중국	미국	영국
관련 근거	정보통신기반 보호법	CII 정보보호 대책에 관한 제4차 시행계획	CII 안전 보호 조례(안)	PPD-21	NIS 규정 2018, 13개 분야 보안 및 복원력 계획
정책 수립	정보통신기반 보호위원회	사이버보안 전략본부	인터넷 보안 및 정보화 선도그룹 (CLSGISI)	국토안보부 (DHS)	내각부 산하 CGSD, (NIS 규정 관리· 감독) DCMS
실무 지원	(공공)국정원, (민간)과기정통부	내각 사이버 보안센터 (NISC)	국가 인터넷 정보판공실 (CAC)	사이버보안 및 기반보호청 (CISA)	국가 사이버 보안센터 (NCSC)
소관 부처	관계 중앙행정기관	총무성, 금융청, 국토교통성, 경제 산업성, 후생노동성	산업 주무부처 또는 감독 관리기관	국토안보부, 국방부, 재무부, 교통부 등	내각부, 국방부, 내무부, DCMS 등
운영 주체	주요 정보통신 기반시설 관리기관	CII 사업자	CII 운영자	주요 기반시설 소유자·운영자

 

주요 기반시설 보호 추진체계를 살펴보면 국내는 법령에 근거하여 공공·민간 부문별 실무 지원기관을 지정하고, 정보통신기반보호위원회를 통해 정책 조정 및 심의가 이루어지는 형태로 분산형 모델을 채택하고 있다. 그러나 일본, 중국, 미국은 국가 사이버보안 총괄기관을 중심으로 정책 수립 및 실무를 지원하는 중앙집중형 모델을 기반으로 한다. 영국은 내각부가 국가 사이버보안 정책 수립·이행과 중앙정부 간의 정책 조정 역할을 수행하고, DCMS는 에너지·교통수송·의료·수자원 주요 기반시설 운영자와 디지털 서비스 제공자의 NIS 규정 이행에 대한 관리·감독을 총괄한다. 그러나 주요 기반시설 사이버보안 실무 지원 측면에서는 NCSC가 주요 기반시설 운영 주체를 포함하여 공공-민간 부문 이해관계자들을 대상으로 사이 버보안 관련 기술 자문과 가이드 제공, 사이버공격 신고 접수 및 대응 지원 등을 총괄하므로, 분산형과 중앙집중형 모델이 혼합되어 있다.

 

일본, 미국, 영국 등 주요국은 보호 계획 등에서 분야별로 주요 기반시설 소관 부처를 지정하고, 소관 부처는 분야별 보호 계획을 수립하여 운영 주체의 보호 활동에 대한 관리·감독한다. 국가별 소관 부처의 보호 계획 또는 지침 수립 방식을 살펴보면, 분야 공통으로 규정한 보호 계획이나 보호 기준 등을 기반으로 분야별로 보호 계획을 수립하는 하향식 접근방식을 사용한다. 그러나 국내의 경우, 관계 중앙행정기관 등을 대상으로 사전에 보호 지침 및 보호 계획 수립지침을 배포하고, 관계 중앙행정기관은 각 관리기관에서 제출한 보호대책을 종합·조정하여 소관 분야 주요 정보통신기반시설 보호 계획을 수립하므로, 상·하향식 접근방식을 모두 사용한다.

 

주요 기반시설 운영 주체는 조직에서 제공하는 주요 기반시설의 핵심 서비스를 안정적으로 제공하기 위해 발생 가능한 위험을 평가하여 적절한 보호대책을 마련하고, 사이버위협 등 위기 발생 시 이를 관계 주체에 통지하고 그 피해를 최소화하기 위한 조치를 수행해야 한다. 국내를 비롯하여 중국은 관련 법령에 따라 취약점 분석·평가, 보호조치 실시, 침해사고 통지 등 운영 주체가 준수해야 하는 법적 의무사항과 위반 시 제재 등 규제 중심으로 주요 기반시설 보호 활동을 규정하고 있다. 그러나 일본과 미국, 영국은 주요 기반시설 운영 주체가 스스로 위험을 식별하여 보호대책을 마련하는 민간 중심의 자율보안체계를 기반으로 하며, 정부기관(총괄기관, 소관 부처 등)은 민간 부문과의 협력을 극대화하면서 이를 조정하고 지원하는 역할을 수행한다. 그러나 유럽에서 NIS 지침이 제정되고 자국의 법률을 개정하면서 에너지 등 일부 분야의 주요 기반시설 운영자에게 최소한의 보호조치 실시, 침해사고 통지 등 법적 의무사항을 부여하면서 정부기관이 민간 부문의 주요 기반시설 사이버보안 활동에 적극적으로 개입하는 방향으로 전환되고 있다. 특히 영국에서는 국가 사이버보안 전략의 후속 조치로 NCSC는 ACD 프로그램을 개시하고, ISP 사업자나 사이버보안 사업자 등과의 협력하에 악성 도메인 필터링, 웹 인프라 점검, DMARC 이용하여 스피어피싱 메일 차단, 취약점 보고, 악성코드를 포함한 이메일을 전송하거나 피싱 사이트로 유도하는 호스트를 역탐지하여 경고하는 등 각종 사이버 이벤트에 대해 영국 정부기관이 직접 관여하고 있다. 따라서 주요국은 전반적으로 공공-민간 부문의 주요 기반시설 사이버보안 수준을 높이기 위해 최소한의 기술적· 관리적 보호조치 실시, 침해사고 통지 등 규제와 지원 정책을 병행하고 있음을 알 수 있다.

 

 

(2) 주요 기반시설의 정의와 범위 식별

 

주요국은 주요 기반시설 보호 관련 법령 등을 통해 에너지, 교통수송, 수자원, 국방, 금융, 행정 등 주요 기반시설 분야를 정의하고, 분야별 핵심서비스와 관련된 정보시스템, 정보통신망 등을 파악할 수 있도록 주요 기반시설 식별 방법론을 수립·운영하고 있다.

 

먼저 주요 기반시설(Critical Infrastructure, 이하 ‘CI’)의 정의를 살펴보면, 국가안보와 국민 생활 및 경제활동의 기반이 되는 필수적인 시스템 및 관련 서비스, 데이터 등을 포함하며, 미국과 영국은 물리적 자원까지 그 보호 대상으로 한다. 반면, 국내를 비롯하여 일본, 중국은 주요 기반시설 서비스를 제공하는 정보시스템 중 전자적 침해사고 등으로 인해 중단 또는 파괴 시, 심각한 영향을 미치는 정보시스템, 네트워크 시설 등 정보통신기반시설로 한정하여 주요 정보통신기반시설(Critical Information Infrastructure, 이하 ‘CII’)로 정의한다.

 

또한 미국은 무력화되거나 파괴될 경우, 국가 안보 및 경제, 공공 안전에 영향을 미치는 물리적 또는 사이버상의 필수 시스템·자산(즉, CI)을 비롯하여 최소한의 미국 경제와 정부를 운영하기 위해 필요한 공공·민간 부문에 의해 통제되는 핵심자원(Key Resource)까지 주요 기반시설의 범위로 포함한다. 그러나 2018년 9월, 트럼프 정부에서 발표한 국가 사이버전략에서는 국가 차원에서 중대한 위험을 관리하기 위해 특정 분야나 시스템, 자산이 아닌 국가의 핵심 기능(National Critical Functions)에 초점을 맞추어 주요 기반시설의 범위를 정의하고 있다. 여기서 국가의 핵심 기능은 파괴, 무력화 또는 장애 발생 시, 국가안보, 경제 및 공공 안전 등에 영향을 줄 수 있는 공공과 민간 부분의 핵심적인 기능을 의미한다. 따라서 <표 3>과 같이 국가의 핵심 기능을 크게 4개로 구분하고 각각 세부 기능을 기술한 것으로 보아 다른 국가에 비해 주요 기반시설의 범위를 가장 포괄적으로 정의하고 있음을 알 수 있다.

 

<표 3> 미국 국가 핵심 기능(National Critical Functions)

기능	세부 기능
Connect	핵심 네트워크 운영, 인터넷 기반 콘텐츠·정보 및 통신 서비스 제공, 유선·위성·무선 네트워크 서비스 제공 등
Distribute	전기 분배/전송, 항공·철도·도로·선박화물 및 승객 운송, 파이프라인에 의한 자재 운송, 대중교통 승객 운송
Manage	선거 실시, 공공사업·서비스 개발 및 유지, 교육 및 훈련, 법 집행, 정부 운영, 사이버 사고 관리 기능 수행, 민감한 정보의 보호, 인프라 제공 및 유지 등
Supply	연료 탐사 및 추출, 연료 정체 및 처리, 전기 생산, 제조 설비, 정보기술 제품·서비스 제공, 화학물질 생산, 농산물 생산 및 제공, 연구 및 개발, 급수 등

 

국가별 주요 기반시설 식별 및 지정제도에 대한 현황을 비교하면, 중국과 미국은 국내와 유사하게 관련 법령 등에 따라 소관 부처 또는 위원회 등을 통해 분야별 주요 기반시설을 지정하여 그 목록을 직접 관리한다. 그러나 일본은 CII 정보보호 대책에 관한 시행계획에서 주요 기반시설의 핵심 서비스를 기반으로 CII를 식별하나, 국내와 다르게 소관 부처가 CII 지정에 직접 관여하거나 목록으로 관리하지 않는다. 즉 CII 정보보호 대책에 관한 시행계획에서는 분야별 관련 법령 등을 통해 CII의 핵심 서비스를 파악하고, 이 핵심 서비스의 최소한의 기능 연속성 유지를 위한 범위와 수준, 관련된 중요 시스템의 사례 등은 제시하고 있다. 그러나 CII에 해당하는 중요 시스템은 핵심 서비스를 제공하기 위해 필요한 정보시스템 중에서 서비스에 미치는 영향도를 고려하여 CII 사업자가 자체적으로 식별한다. 또한 미국, 일본 등은 주요 기반시설의 운영 환경의 변화, 분야 간의 의존성 분석 등을 주기적으로 검토하고, 분야를 추가로 지정하거나 대상 사업자의 범위 확대 여부를 결정한다. 예를 들어, 일본은 소관 부처가 CII 분야를 추가로 지정할 때는 기존 CII와 상응한 영향력을 가지면서 핵심 서비스와 관련된 중요 시스템의 존재 여부, 정보보호 대책을 수립·운영하는 주체가 명확하고 서비스 장애 발생 시 침해사고 통지 여부 등을 기준으로 한다. 또한 사물인터넷(IoT) 등 최신 정보통신기술 도입 현황을 고려하여 CII 사업자는 CII 식별 시에 IT 인프라와 관련된 정보시스템, 정보통신망뿐만 아니라 OT 환경을 구성하는 제어계 시스템, IoT 기기, 현장 장치 등과의 통신·지원하는 시스템 등까지 검토 대상에 포함한다.

 

(3) 침해사고 예방: 사이버보안 위험관리

 

주요 기반시설 운영 주체는 소관 주요 기반시설을 보호하기 위해 위험관리 접근방식을 기반으로 위험을 식별·분석·평가하고, 그 결과에 따라 적절한 보호대책을 수립·시행해야 한다. 따라서 정부기관(소관 부처, 실무지원기관 등)은 운영 주체들이 이와 같은 일련의 보호 활동을 의무적으로 수행하도록 관련 법령에 규정하거나 참조 가능한 보안 프레임워크 또는 최소한의 보안대책, 산업계 표준, 모범사례 등 관련 정보를 제공한다.

 

<표 4> 국내·외 주요 기반시설 사이버보안 위험관리 방식

구분		CII		CI
		한국	일본	미국	영국
운영 주체		취약점 분석·평가 수행 : 계획수립, 대상선별, 취약점 분석·평가 실시보호대책 수립·시행	위험평가(Risk Assess-ment): 사전준비, 대상식별, 위험식별 · 분석 · 평가, 평가 결과 검토, 성과평가 PCDA 기반 보호대책 수립·시행 전력, 금융 등 일부 분야 모의침투 테스트 실시	전사 위험관리 프레임워크 (RMF) 수립전력, 금융, 의료, 화학 등 분야별 관계 법령 또는 산업계 표준에 따라 사이버보안 대책 수립·운영 NIST CSF 도입	사이버 평가 프레임워크(CAF) – 보안위험 관리, 사이버 공격으로부터 보호, 사이버 보안사고 탐지, 피해 최소화전력, 금융, 의료 등 분야별 관계 법령 또는 산업계 표준, NIS 규정에 따라 사이버보안 대책 수립·운영
소관 부처		관리기관의 보호대책 종합·조정소관분야 보호 계획 수립	분야별 CII 정보보호 대책 관한 안전기준 수립	CI 위험관리 프레임워크 수립 – 목표·목적 설정, CI 식별, 평가·위험분석, 위험관리 대책 구현, 효과성 측정, 정보공유	산업 분야별 관련 법령에 따라 관리·감독
실무 지원 기관		보호대책 이행 여부 점검	CII 정보보호 확보에 관한 안전기준 수립지침 ·대책편 배포	NIST CSF 도입 지원 및 구현 가이드라인 배포CISA 사이버보안 평가 서비스 및 도구 제공	사이버보안과 관련된 기술 자문 및 가이드 제공인증제도 운영, 보안성이 검증된 제품·서비스 정보 공개

 

국내 기반시설 관리기관은 관리적·기술적·물리적 영역으로 구분된 정보보호 관련 활동의 수행내용에 중점을 두며, 일본 CII 사업자는 Plan(정책, 관리체계, 대책 수립), Do(대책 시행, 평시 및 사고 발생 시 대응), Check·Act(평시(감사·훈련) 및 사고 발생 시(사고 대응)을 통해 개선과제 도출) 사이클에 따라 보호대책을 시행한다. 미국 주요 기반시설 소관 부처는 운영 주체가 비용 대비 효과적인 사이버보안 활동을 수행할 수 있도록 전사 위험관리 프레임워크 상에 NIST CSF 도입을 권고하고 있다. NIST CSF는 공공-민간 부문이 공동으로 개발한 사이버보안 지침으로 주요 기반시설 전 분야의 사이버보안 강화를 위한 공통으로 적용이 가능한 사이버보안 활동을 식별(ID)·보호(PR)·탐지(DE)·대응(RS)·복구(RC) 총 5개의 기능으로 정의하고, 기능별로 산업계 표준, 모범사례, 가이드라인 등 관련 참조를 제시한다.

 

또한 주요국은 IoT 등 신규 정보통신기술 도입, 공급망에 대한 사이버위협 증가 등 변화하는 사이버 환경에 대비하기 위해 국가 사이버보안 전략 등을 통해 주요 기반시설 사이버보안 강화 정책을 추진하거나 주기적으로 사이버보안 지침을 검토하면서 주요 기반시설 보호 정책을 보완하고 있다. 대표적인 사례로 공급망 위험관리, 사이버보안 설계 원칙(Security-by-Design, Secure-by-Default) 등 관련 정책을 들 수 있다.

미국 NIST는 CSF를 버전 1.1로 업데이트하면서 식별(ID) 기능에 ‘공급망 위험관리’ 항목을 추가하고, 조달 요건으로 사이버보안 요구사항 제시, 계약을 통해 사이버보안 요구사항 준수 명시, 제품 또는 서비스 납품 시 검증 등 사이버공급망 위험관리 방안을 제시하였다. 또한 영국 NCSC는 사이버보안 설계 원칙에 대한 사항을 사이버보안 지침이나 CAF 등에 포함하고, Cyber Essentials, CPA(Commercial Product Assurance), CAP(Certified Assisted Products) 등 인증제도를 운용하면서 운영 주체가 보안성이 검증된 제품이나 서비스, 공급업체(사이버보안 컨설팅 포함) 등을 사용할 수 있도록 관련 정보를 제공한다.

 

(4) 침해사고 대응 및 복구: 침해사고 대응 체계 구축 및 모의훈련

 

<표 5> 국내·외 주요 기반시설 침해사고 대응 및 관리

구분		CII		CI
		한국	일본	미국	영국
사고 원인 및 심각도 판단	주요 위협	해킹, 악성코드 감염, 서비스거부, 고출력 전자기파 등 전자적 침해행위	사이버공격, 부주의, 시스템 취약성, 기기 등 고장, 재해·재난 등	자연재해, 사이버위협, 기술적 결함으로 인한 재난, 테러 등 (All-Hazard)
	사고 평가 지표	피해 발생 가능성, 일부 또는 다수기관 발생, 정보통신망· 정보시스템 장애 또는 마비, 전국적 또는 피해 범위가대규모로 발생	서비스 지속성에 영향 (서비스 지장이 발생한 범위· 시간·대체 여부, 동시 다발성), 서비스의 안전성에 영향 (인적·물적 피해, 주민대피 등 범위, 복구비용 및 범위 등 환경에 미치는 영향, 동시 다발성)	사고의 심각도, 사고 대응의 긴급성, 대응 노력 조정 시 필요한 우선순위,대응 시 필요한 투자 정도	핵심 서비스 중단으로 영향을 받은 사용자 수, 사고 지속기간, 해당 사고로 인해 영향을 받은 지역 등
	척도	관심/주의/경계/심각	Level 1 ~ Level 4 (L/M/H/위기)	Level 1 ~ Level 5 (L/M/H/심각/긴급)	Category 1 ~ Category 6 (국가 사이버 비상, 매우 중대한 사건 등)
사고 대응체계	대응 계획	관계 중앙행정기관별 소관 주요 정보통신 기반시설 보호 지침 (침해사고 대응 및 복구), 침해사고 또는 사이버위기 대응 매뉴얼	CII 정보보호 대책에 관한 제4차 시행계획, CII 서비스 장애 심각도 평가 기준, CII 시행계획에 따른 정보공유 지침서(안)	국가 사이버사고 대응계획(NCIRP)	NIS 규정 2018 (에너지, 교통수송, 의료, 수자원 분야의 핵심 운영자,디지털 서비스 제공자 사고통지 의무, 위반 시 법적 제재)
	총괄 기관	정보통신기반시설 침해사고 대책본부 (광범위하게 발생한 경우)	NISC	CISA	(사이버공격) NCSC
	지원 기관	관계 중앙행정기관, 기술지원·수사· 유관기관 (KISA 등)	JPCERT/CC, IPA 등	CISA(NCCIC), ISACs 등	NCSC(CERT-UK), CIR(Cyber Incident Response) 인증 회사
모의훈련 및 교육		해킹메일 훈련 등	CII분야 통합훈련, CEPTOAR훈련 등	Cyber Storm, FedVTE	Exercise in a Box (온라인도구)

 

주요국은 주요 기반시설에서 발생 가능한 위험에 대응하기 위해 자연재해, 사이버위협, 기술적 결함 등으로 인한 재난, 테러 등 모든 Hazard를 고려하고, 만약 주요 기반시설 운영 주체가 제공하는 핵심 서비스에 영향을 미치는 사고가 발생하면, 해당 사고의 심각성을 평가할 수 있도록 사고의 발생 범위, 지속 시간, 복구 비용 등 평가지표를 제시하고 있다. 또한 주로 재난 분야에서 연구된 복원력(Resilience)의 개념이 물리적 환경에서 사이버공간으로 확장되면서 주요 기반시설 보호 정책은 예측 불가능한 모든 Hazard에 대해 대응하기 위해 보안(Security) 및 복원력(Resilience)을 강화하는 방향으로 전환되고 있다. 여기서 복원력은 위협 등으로 인해 변화하는 환경에 대비·적응하고 일정 수준까지 견디며, 이로 인해 발생한 혼란으로부터 신속히 회복하는 능력을 의미하며, 구성요소로는 시스템의 견고성(Robustness), 신뢰성(Reliability), 중복성(Redundancy), 적응성(Adaptability), 회복성(Recoverability) 등을 들 수 있다. 이처럼 주요 기반시설 복원력 강화 정책은 미국과 영국을 중심으로 모든 Hazard에 대한 사전 준비(Preparation), 사고 발생 이후에도 지속적인 핵심 서비스 제공, 대응 및 복구 등 사고 전·후의 활동을 모두 포괄하는 접근방식을 채택하고 있다. 일본에서는 제3차 시행계획부터 IT와 OT의 융합 환경과 사고 발생 이후의 대응 방안에 초점을 두고, 사이버공격, 재난·재해 등 사고 발생 이후 업무 연속성을 확보하기 위해 비상 대응계획(Contingency Plan)과 업무 연속성 계획(BCP)을 수립할 것을 제시하고 있다.

 

주요 기반시설 등에서 발생한 사고에 대해 국가적 차원에서 신속히 대응·복구할 수 있도록 지침 또는 계획 등을 통해 사고통지 및 절차, 관련 기관의 역할 및 책임, 기술지원 방안 등 사이버 위기 대응 체계를 구축·운영하고 있다. 따라서 주요 기반시설 사고 발생 시 국가 사이버보안 실무기관을 중심으로 기술 지원과 관련 정보를 제공하여 공공-민간 부문이 공동으로 대응할 수 있도록 지원한다. 또한 주기적인 사이버 모의훈련을 통해 사이버위협 정보공유, 사이버 사고 대응 절차 등 점검하고 개선사항을 도출해 이를 반영한다.

 

(5) 민·관 공동협력체계(PPP) 구축 및 정보공유

 

<표 6> 국내·외 주요 기반시설 민·관 협력 공동협력체계(PPP) 및 사이버위협 정보공유

구분		CII		CI
		한국	일본	미국	영국
민·관 공동협력 체계 (PPP)		(정보통신, 금융, 전력, 의료 분야) ISACs	CEPTOARs 및 CEPTOAR- Council, 사이버보안협의회,(ICT, 금융, 전력 분야 실무자 대상) ISACs,	분야조정위원회(SCCs) 및 ISACs, National Council of ISACs	CiSP, Cyber Growth Partnership (CGP)
정 보 공 유	환경 구성	정보공유분석센터 구축·운영	정보공유 대상 및 요인, TLP을 활용한 정보공유 범위 정의, 공유정보의 취급방안 규정(익명화 등)	정보제공자 및 공유정보에 대한 보호 규정(국토안보법 PCII), 사이버위협지표 및 방어조치 공유 절차 등 구체화(CISA)	NCSC 공유정보 취급방안 규정 (접근 제한, 정보공개 요구 시 제외 등)
	공유 조직	(공공) 국정원(NCSC) (민간) 과기정통부(KISA) ISACs(전력, 통신, 금융, 의료)	(민·관) NISC, CEPTOAR 및 CEPTOAR-Council (ICT, 금융, 전력 등) ISACs	(민·관) CISA 산하 NCCIC ISACs 및 ISAOs, National Council of ISACs	(민·관) NCSC CiSP, Fusion Cell
	주요 프로그램	민간 부문 C-TAS (통신사업자, 보안업체, 국내·외 관계기관 등)	IPA J-CSIP, JPCERT/CC 조기경보, ICT-ISAC 정보공유시스템 운영	국토안보부 PCII 프로그램, CISA ECS, CISCP, AIS 등

 

주요국은 국내와 다르게 민간 부문이 주요 기반시설을 소유·운영하는 비율이 높으므로, <표 6>과 같이 민·관 공동협력체계(PPP) 구축과 사이버위협 정보공유 정책이 집중적으로 추진되었다. 특히 미국은 NIPP 2013을 통해 연방정부, STLL 정부, 민간 부문, 지역 사회 등 관련된 이해관계자가 참여하는 CI 분야 내 또는 분야 간의 조정, 정보공유·분석 조직 등 국가적 차원에서의 PPP 구조를 제시하였다. 따라서 미국 CI 분야 내 PPP는 크게 CI 소관 부처와 CI 소유·운영자, 벤더사 등 관련 민간 이해관계자로 구성된 분야 조정위원회(SCCs)와 연방 및 STLL 정부 등이 참여하는 정부 조정위원회(GCCs)로 구성되어 있다 . 여기서 SCCs와 GCCs는 수평적인 관계로서 해당 분야의 사이버보안 표준이나 규제 관련 정책, 계획 수립 시의 의사결정 과정에 적극적으로 참여하고, CI 분야별 이해관계자의 사이버보안 요구사항을 해결하기 위해 가이드 개발 등 정부기관의 정책을 지원하는 형태로 운영된다.

 

주요 기반시설 사고 발생 시, 관련 정보를 공공-민간 부문이 신속하게 공유하여 사고로 인한 영향이 다른 분야로의 전이되지 않도록 피해를 최소화하고, 유사한 사고가 발생하지 않도록 민간 부문의 사이버 위협 정보공유를 유도하는 정책이 추진되었다. 먼저, 미국은 기존의 운영 중인 사이버위협 정보공유 프로그램(CISCP, ECS 등)의 대상 범위를 CI 소유·운영자까지 확대하였으나, 민간 부문의 참여율이 저조하여 효율성이 높지 않은 것으로 나타났다. 따라서 공공-민간 부문 간의 원활한 사이버위협 정보공유 환경을 조성하기 위해 정보공유 시 법적 책임 면제 등을 포함한 CISA(Cybersecurity Information Sharing Act of 2015)을 제정하고, 공유 정보(사이버보안 위협, 방어조치)과 정보공유 절차 및 취급 방법 등을 확립하여 공공-민간 부문의 정보공유 창구를 NCCIC로 단일화하였다. 또한, 미국과 영국은 실시간으로 자동화·양방향 정보 공유가 가능한 시스템을 구축하고, 사이버위협 및 취약점 정보, 조기경보 등을 공유한다.

 

일본도 CII 분야 소관 부처와 대규모 사업자를 중심으로 분야별 CEPTOARs을 구성하고, 분야별 CEPTOAR 간 모범사례 등을 공유할 수 있도록 협의체가 구성하였다. 또한, ICT, 금융, 전력, 교통 등 일부 분야에서는 실무자를 대상으로 운영 수준에서의 사이버보안 모범사례나 사이버 공격 및 취약점 정보공유가 이루어질 수 있도록 ISACs을 설립하였다.

 

3. 시사점 및 결론

주요국은 국가적 차원에서 공공-민간 부문의 주요 기반시설을 보호하기 위해 관련 법령 등을 제정하고, 국가 사이버보안 전략 등을 수립하여 주요 기반시설 사이버보안 향상 및 사이버 공격 대응 역량 강화에 관한 정책을 추진하고 있다. 해당 법령과 전략들을 내용적 측면에서 분석하면 주요 기반시설 보호 정책은 주요 기반시설 보호 목표 및 목적, 추진체계, 주요 기반시설 범위 식별, 침해사고 예방 및 대응·복구 측면에서의 보호 활동, 민·관 공동협력체계 구축 및 정보공유 등으로 구성된다. 이와 같은 구성요소들을 기준으로 주요국의 주요 기반시설 사이버보안 정책을 비교·분석한 결과 다음과 같은 특징과 정책적 시사점을 도출할 수 있다.

 

첫째, 주요국의 주요 기반시설 사이버보안 정책은 민간 중심의 자율보안체계를 기반으로 하며, 정부기관은 민간 부문과의 협력을 극대화하면서 이를 조정하고 지원하는 역할을 수행하였다. 그러나 정책효과가 미비한 것으로 드러나면서 민간 부문의 주요 기반시설 사이버보안 활동에 정부기관이 적극적으로 개입하는 방향으로 전환되고 있다. 이는 전반적인 주요 기반시설 사이버보안 수준을 높이기 위해 최소한의 기술적·관리적 보호조치 실시, 침해사고 통지 등 운영 주체에 대한 규제와 지원 정책이 병행되고 있음을 의미한다.

 

둘째, 주요국은 ‘복원력’의 개념을 도입하여 자연재해, 사이버위협, 기술적 결함으로 인한 재난, 테러 등 모든 Hazard에 대한 사전 준비, 사고 발생 이후에도 지속적인 핵심 서비스 제공, 대응 및 복구 등 사고 전·후의 활동을 모두 포괄하는 접근방식을 채택하고 있다. 따라서 주요국의 주요 기반시설 보호 정책의 기본방향은 보안성과 복원력으로 구분할 수 있고, 주요 기반시설의 복원력 강화를 위해 ① 주요 기반시설의 서비스를 지원하는 자산 및 시스템, 네트워크에 대한 사이버보안 설계 원칙(Security-by-Design, Secure-by-Default)

적용 및 사전 검토, ② 사고에 대비하기 위한 대응 및 복구 방안 마련, ③ 사고 탐지 이후 업무연속성 확보 방안 수립 및 주기적인 업데이트 등이 제시되었다. 따라서 기반시설 관리 기관은 전사적 관점에서 재해·재난, 사이버위협 등 발생 가능한 모든 위협을 검토하고, 주요 기반시설이 제공하는 핵심 서비스에 영향을 미치는 위험 시나리오를 작성하여 분석하는 방법 등을 통해 업무 연속성 확보 방안을 수립한다. 이와 같이 수립한 사이버위기 대응매뉴얼, 업무연속성계획 등에 대해 실효성을 확보하기 위해 모의훈련을 통해 검증하고 사고 등으로부터 획득한 정보 반영 등 주기적으로 업데이트한다. 또한 스마트교통, 스마트에너지 등 신규 개발·구축되는 기반시설에 대해서는 구축 단계에서부터 보안을 고려하는 기준을 수립하고, 이를 사전에 검토할 수 있도록 방안을 마련한다.

 

셋째, 주요국의 주요 기반시설 보호 추진체계는 국가 사이버보안 총괄기관 또는 실무기관 중심의 중앙 집중형 모델로 만약 사이버 공격 등 위협 발생 시 이를 관련 부처나 주요 기반시설 운영 주체에 신속히 전파하여 상황 정보를 공유하고 대응할 수 있도록 구성되어 있다. 그러나 국내는 공공·민간 분야로 구분된 분산형 모델로 분야 간, 기관별로 주요 기반시설 위협에 대해 신속한 상황 정보 공유와 체계적인 위기 대응이 어려울 수 있다. 따라서 분야를 총괄할 수 있는 사이버보안 관련 부처를 신설하거나, 분산형과 중앙집중형이 혼합된 영국의 사례를 참조하여 공공-민간 분야의 사이버보안 실무를 총괄 지원할 수 있도록 관련 권한을 적정 조직에 부여한다. 또는 관계 중앙행정기관이 공공-민간 분야의 관리기관을 모두 감독하면서 IT 및 OT 환경에서의 적절한 위험 완화 방안, 사이버 위협정보 등을 파악하여 관리기관에 제공해야 하므로, 관계 중앙행정기관의 역할을 강화하는 방안을 고려할 수 있다.

 

넷째, 주요국의 주요 기반시설 범위 식별 방법을 분류하면 서비스(일본, 영국) 또는 자산(미국), 운영자(영국) 기반 접근방식으로 구분할 수 있다. 그러나 미국 트럼프 정부에서는 국가 사이버 전략을 발표하면서 주요 기반시설의 범위를 확대하고, 중대한 위험을 국가 차원에서 관리하기 위해 특정 분야나 시스템, 자산에서 국가의 핵심 기능을 기반으로 한 접근방식으로 전환하였다. 이와 같은 접근방식은 발생 가능한 위험 시나리오 분석을 통해 분야 간의 의존성, 분야 내 또는 분야 간의 영향을 미치는 위험(Cross-cutting Risks)을 더욱 쉽게 파악할 수 있다는 장점이 있다. 국내의 경우, 정보통신기반시설을 운영하는 관리기관을 파악하고, 해당 관리기관이 IT 또는 OT 환경에서 운영하는 시스템(예. 교통신호 제어, 인터넷 및 업무 시스템 등)을 구성하는 자산 (예. 서버, 네트워크 장비, 보안시스템 등)을 식별하여 지정하므로, 자산 및 운영자 기반이 혼합된 접근방식을 사용한다. 그러나 이처럼 기존의 접근방식은 산업 분야별 환경과 특성을 파악하기 어렵고, 스마트시티와 같이 사이버-물리 시스템으로 융합된 환경에서 에너지, 교통수송 등 여러 분야가 통합된 서비스나 플랫폼을 운영하는 경우에는 분야 간의 의존성이나 상호연계성 분석이 어렵다는 한계점을 가지고 있다. 따라서 주요 정보통신 기반시설의 핵심 서비스를 정의하고 이와 연관된 IT 및 OT 인프라, IoT 장치와의 연계 시스템 등을 파악할 수 있도록 서비스 기반 접근방식을 도입하고, 기반시설 지정·평가 시 분야별 특성이 반영될 수 있도록 기준을 개선한다.

 

다섯째, 주요국은 위험관리를 기반으로 주요 기반시설 사이버 위험을 평가하고, 적절한 보호대책을 수립· 시행함으로써 그 위험을 완화한다. 정부기관(총괄기관, 소관 부처 등)은 IT 또는 OT 운영 주체들이 자신의 환경에 따라 보호대책을 적용할 수 있도록 참조 가능한 보안 프레임워크 또는 최소한의 보안 대책, 산업계 표준, 모범사례 등 관련 정보와 사이버보안 평가 서비스를 제공하고 있다. 또한 사이버 환경의 변화를 고려하여 주기적으로 관련 기준이나 지침을 검토하고, 공급망 위험관리, Security-by-Design, Secure-by-Default 등과 같은 신규 보안 요구사항을 추가하고 있다. 그러나 국내는 분야 공통으로 사용하는 취약점 분석·평가 기준에 근거하여 관리적·물리적·기술적 영역으로 구분된 정보보호 활동의 수행에 중점을 두고 있기 때문에 관리기관의 분야별 환경이나 특성이 반영되기 어렵고, 급변하는 사이버 환경에서의 이해관계자들의 보안 요구사항을 적절한 시기에 반영하지 못하고 있다. 따라서 주요 정보통신기반시설 식별 시 파악한 분야별 특성과 IT/OT 환경에서의 기존 보안 프레임워크·표준 등을 고려하여 취약점 분석·평가 기준을 개발하고, 이를 주기적으로 검토하면서 사이버 환경 변화에 따른 보안 요구사항을 반영한다.

 

여섯째, 주요국은 주요 기반시설의 핵심 서비스에 영향을 미치는 사고가 발생하면, 국가 사이버보안 실무기관을 중심으로 기술 지원과 관련 정보를 제공하여 공공-민간 부문이 공동으로 대응할 수 있도록 지원한다. 또한 운영 주체는 사고 발생 시 사고의 발생 범위, 지속 시간, 복구 비용 등에 따라 사고의 심각성을 평가하고, 이에 따라 해당 소관 부처 또는 법령 등에서 지정한 관련 기관에 침해사고를 통지한다. 분야 공통 또는 분야별 사이버 모의훈련을 통해 사이버위협 정보공유, 사이버사고 대응 절차 등 점검하고 개선사항을 도출하여 이를 반영하고 있다. 국내의 경우, 악성 메일 등을 관리기관 대상 공통 훈련을 통해 사이버사고 대응 절차를 점검하고 있다. 그러나 일본은 분야별 보안 요구사항, 기반시설 운영 환경 등을 고려하여 분야별 모의훈련 시나리오를 개발하고 탁상훈련부터 실전훈련까지 하고 있다. 특히 제어시스템 실무 담당자의 사고 대응 역량을 강화하기 위해 전력·화학·가스 등 테스트베드를 활용한 모의훈련 프로그램도 운영하고 있다. 따라서 국내 기반시설 관리기관 대상 모의훈련 프로그램 운영 시 일본의 사례를 참고할 필요가 있다.

 

일곱째, 주요국은 민·관의 일관성 있는 보호 정책 추진과 사고 발생 시 신속히 대응하기 위해 민·관 공동 협력체계 구축과 공공-민간 부문 간의 사이버위협 정보공유를 강조하고 있다. 특히 사이버위협 정보공유 환경 조성을 위해 관련 법령을 제정하거나 구체적인 사이버위협 정보공유 절차, 공유정보와 정보제공자를 보호하는 방안 등이 마련하였다. 또한, 주요 기반시설 사이버위협을 통합 수집·분석하여 이해관계자들과 공유하기 위해 비밀유지계약을 기반으로 한 정보공유 프로그램을 운영하거나 미국 AIS, 영국 CiSP 등과 같이 자동화된 정보공유시스템을 구축·운영하고 있다. 국내는 행정·금융·전력·통신·의료 분야 ISACs이 구축되어 사이버 공격 실시간 모니터링, 위협정보 공유, 침해사고 대응 등을 수행하고 있으나, 관계 중앙행정기관과 관리기관, 관리기관들간의 주요 정보통신기반시설 보호를 위한 정보공유가 활발히 이루어지고 있다고는 보기 어렵다. 따라서 모든 이해관계자간에 사이버위협 정보뿐만 아니라 주요 기반시설 보호 활동과 관련된 사항을 공유할 수 있도록 민간 부문의 관리기관, 사이버보안 관련 기술지원 조직들이 참여할 수 있는 정보공유 환경을

구성하는 것이 필요하다. 또한 주요 기반시설을 대상으로 한 고도화된 사이버 공격이 증가함에 따라 실시간으로 사이버위협 정보를 수집·분석·공유할 수 있는 자동화된 정보공유시스템을 활용하여 관리기관이 신속하게 대응할 수 있도록 한다.

 

주요 기반시설 보호 정책은 국가의 안전과 국민 생활의 안정을 보장하는 것을 목적으로 주요 기반 시설의 위험을 완화하고, 사고가 발생하더라도 최소한의 기능을 유지하면서 핵심 서비스를 제공하며, 그 피해를 최소화하면서 신속히 복구하는 모든 활동을 의미한다. 그러나 ICT 융합 환경이 등장하면서 사이버 공격은 물리적 위협으로 전이되는 등 주요 기반시설의 내·외부 위협요인은 증가하고, 스마트시티 등과 같이 4차 산업혁명에 따른 서비스가 등장하면서 취약점은 최소화하면서 안전한 서비스 제공을 위해서는 새로운 보안 요구사항을 고려해야 한다. 따라서 주요 기반시설 구축 단계에서부터 보안 요구사항을 반영하여 발생 가능한 잠재적 위협에 선제적으로 대응하고, 사고 발생 전·후 변화하는 환경에 대응할 수 있도록 종합적인 위험관리 방식이 필요할 것이다.