사이버 안보 시대의 비즈니스 트렌드
전 세계 사이버 범죄 피해액은 연 6,000조 원에 달한다. 이에 세계의 기업, 학계, 정부는 사이버 안보를 지키기 위해 다방면의 노력을 기울이고 있다. 국내 정보기술(IT)·소프트웨어(SW) 기업들은 프라이버시 보호 정책 수행과 관련 인증을 획득하고 있으며, 카네기멜론대는 사이버 안전을 위한 신규 표준 모델을 제시했다. 미국 정부는 사이버 보안 관련 수출통제 규정을 발표했다.
글 안성원 소프트웨어정책연구소 선임연구원
국내외 기업은 사이버 안보 문제에 대응하기 위해 다양한 노력을 기울이고 있다. 특히 고객의 개인정보를 보호해 사이버 공간상의 안전과 신뢰성을 확보하는 것이 주를 이루고 있다. 전담 부처 및 위원회를 설립하거나 인증 획득, 주요 보안기업 인수 등 다양하다.
네이버는 프라이버시 센터를 설립하고, 2015년부터 <프라이버시 백서>를 발간하는 등 개인정보 보호로 고객 신뢰성 향상을 위한 노력을 기울이고 있으며 관련 캠페인도 병행하고 있다. 카카오는 2014년부터 프라이버시 자문위원회를 운영 중이며, 최근 ‘알고리즘 윤리 헌장’을 개편하며 프라이버시 보호 관련 조항을 추가했다. 온라인 거래 플랫폼 기업 당근마켓은 ‘프라이버시 정책 및 이용자 보호위원회’를 출범해 고객 보호정책 모니터링, 분쟁 조정, 민원 및 심의 해결방안 등을 모색하고 있다. 유통 플랫폼 11번가는 국제 표준 정보보호 인증(ISO/IEC 27001) 및 개인정보보호 인증(ISO/IEC 27701)을 동시에 획득하고, 전자상거래 부문 최초로 국내 인증(ISMS-P)도 취득했다.
한편, 글로벌 기업으로는 구글이 지난 3월 사이버 보안업체 맨디언트(Mandiant)를 54억 달러에 인수했으며, 마이크로소프트(MS)와 아마존(Amazon)도 각각 리스크IQ(RiskIQ), 위커(Wickr) 등 보안 플랫폼 업체를 인수하며 서비스 보안 강화에 나섰다.
이러한 사례들은 기업이 자사의 사이버 안보를 지킴과 동시에 서비스를 이용하는 고객의 사이버 보안 기대치에 부응할 수 있는 방편이다. 또한 고객만족을 높이고 데이터 보호, 투명한 운영 등을 실현한다는 차원에서 최근 산업계에 이슈가 되고 있는 ESG 경영의 과제를 실천하는 좋은 예시이기도 하다.
능력성숙도모델통합(CMMI; Capability Maturity Model Integration)은 SW업계와 유관 분야에서 ‘사실상의 표준(de-facto)’ 인증으로 활용되고 있다. 미 카네기멜론대학(CMU)의 소프트웨어공학연구소(SEI)가 제시한 이 모델은 5가지 성숙 단계를 통해 SW의 설계·제작 단계에서부터 안전과 신뢰성을 평가한다.
최근에는 미 국방부(DoD)와 협력해 사이버보안성숙도모델인증(CMMC; CyberSecurity Maturity Model Certification)이 제시되면서, 사이버 보안 분야의 새로운 인증 표준으로 자리 잡고 있다. CMMC는 기존 CMMI와 연계해 유사한 구조를 가지며, 미 국방부가 발주하는 사업에 참여하거나 관련 기관과 계약하기 위해서는 반드시 거쳐야 하는 인증 제도다.
접근통제, 자산관리, 신원확인, 사건대응, 유지관리, 보안심사, 직원보안 등 전체 17개의 보안 관련 분야에서 단계별로 이전 단계의 필요한 사항을 모두 누적 이행해야만 하며, 모델 1.0 기준으로 총 171개의 기준 충족을 위한 수행활동(practices)이 명시돼 있다. 모델 2.0은 미 국립표준기술연구소(NIST)의 표준에 따라 3개 등급으로 간소화했다.
국내 SW기업을 비롯해 방산기업, 생산한 제품이 사이버 보안과 연관성이 있는 기업 등 대미 수출기업은 이 인증 제도를 거치기 위해 SW의 설계와 구현 및 검증 단계에 이르기까지 표준을 따름으로써 자사 제품에 대한 안전성과 신뢰성을 인정받을 수 있다.
미국 상무부 산하 산업안보국(BIS)은 지속적으로 발생하는 사이버 보안 문제에 대응하기 위해 수출통제를 강화하는 새로운 규정을 발표했다. 이는 사이버보안에 영향이 있는 SW에 대한 개발 및 생산, 사용에 활용되는 기술을 수출할 때 BIS의 승인을 받도록 하는 규정이다. 즉 미국 업체들이 보안 관련 기술을 특정 국가에 수출할 때 사이버안보수출면허(ACE; Authorized Cybersecurity Exports)를 통해 수출 면허를 획득해야 한다. 몇몇 제재 국가(쿠바, 이란, 북한, 시리아 등)나 수출업자가 사이버 안보에 문제 소지가 될 수 있음을 인지한 경우를 제외하고, 협력 국가들에 대해서는 면허가 면제될 수도 있다.
또한 미 상원은 연방 기관과 특정 기관이 사이버 보안 침해 사고를 사이버 보안 및 기반 시설 보안국(CISA)에 보고하고 관련 문제를 해결하도록 하는 ‘사이버 사고 통지법(Cyber Incident Reporting Act)’을 발의했으며, 지난 3월 바이든 대통령은 이 법안에 서명했다. 이 법안에 따르면, 4가지 사항의 기본 보고와 16개 중요 기반 시설을 규정한다. 사이버 사고 발생 72시간 이내에 보고하고, 랜섬웨어로 인해 비용 지급이 발생한 경우에는 24시간 이내에 보고하며, 관련된 데이터를 보존할 것을 명시했다.
이에 따라 정보보호 및 사이버 보안과 관련한 규제를 잘 인지하고, 제품별 준수 및 유관 기관·기업들과 파트너십 기회 모색과 대응이 필요하다.
