국가사이버보안정책과 Think Tank 의역할 2016.07.11. SECUINSIDE 고려대학교정보보호대학원 ( 前대통령안보특별보좌관 )
오바마정부사이버보안정책평가 위협사례 미국은중국, 북한, 이란등으로추정되는일련의사이버공격을겪으면서사이버공격을국가사이버안보의중대한위협으로인식하고대응강화 이란미은행사이버공격 소니픽처스해킹 Operation Aurora 미우편시스템해킹 2011 2013 2015 2009 2012 2014 Operation ShadyRat 미인사관리처해킹 미신문사해킹 뉴욕주댐해킹 2
오바마정부사이버보안정책평가 거버넌스체계 오바마대통령은사이버보안조정관을신설하며, NCCIC 과같은실무대응체계를마련하는등美사이버안보거버넌스체계를정립함 국가안보위원회 (National Security Council) 사이버보안국 (Cybersecurity Directorate) 대통령 사이버보안조정관 (Cybersecurity Coordinator) 국가기반시설자문위원회 (National Security Council) 국방부 (DOD) 국무부 (DOS) 국토안보부 (DHS) 법무부 (DOJ) 상무부 (DOC) 사이버사령부 사이버보안국제전략 국가보호본부 FBI NIST 사이버보안및커뮤니케이션부서 CS&C 국가사이버보안및통신통합센터 NCCIC 자료 : 배병환외, 정보통신방송정책, 재구성 3
- 오바마정부사이버보안정책평가 전략 : 국가안보전략 2015 년 2 월, 미백악관이발표한 국가안보전략 (National Security Strategy) 에사이버위협대응을주요과제로식별하며대응전략제시 국가안보전략개요와의의 미국가안보전략개요및의의 - 백악관이 5년마다발간하는보고서로, 오바마대통령의국가안보전략 2.0 이라평가할수있음 - 현미국의안보기조를 전략적인내 (Strategic Patience) 라표현 - 아프간, 이라크중심의전략에서아시아중심이며, 극단주의와테러, 사이버, 러시아, 기후변화, 질병등새로운보안위협대응으로전환되는과도기 사이버위협대응전략 - 사이버공간은상공, 해상과같이새로운세계가공유하는공간으로사이버위협대응필요 - 핵심기반시설등을위협하는악의적주체에대해법 제도적으로국제협력통해대응할것 4
오바마정부사이버보안정책평가 전략 : 국방사이버전략 2015 년 4 월, DoD 는사이버위협의증가에따라대응강화를위해기존전략에서적극적으로기조를변경한 The DoD Cyber Strategy 를발표 US DoD Cyber Strategy 개요 2015 년 4 월, 미 DoD 는기존의전략에서더욱적극적인기조로변경된사이버전략서 The DoD Cyber Strategy 공개 2015 년오바마정부의두번째국가안보전략 (National Security Strategy) 기조와소니픽처스해킹등에따라전략변화 미국방부의 3 가지사이버임무를식별 1) 군네트워크방어 2) 중대결과를초래하는사이버공격으로부터미영토와미국이익보호 3) 군사작전과비상계획지원위한사이버전력제공 5
오바마정부사이버보안정책평가 작전 : PPD-20 오바마대통령은 대통령행정지침 20 호 통해국방부를비롯해유관기관에게미국의사이버작전과사이버작전수행위한기반마련 미정부는국가이익을해하는사이버공격에대하여국제법과무력충돌법에의거합리적인범위내에서다음작전수행가능 공격적사이버효과작전 (OCEO) 방어적사이버효과작전 (DCEO) OCEO, DCEO 위한다음의제반사항규정 OECO, DECO 위한정보수집 OECO, DECO 위한잠재적타겟식별 미영토내 DECO 는허용되지않지만특수상황에서수행가능 악의적사이버활동의방지와핵심인프라보호위해민간과함께 DCEO 수행가능 긴급한사이버작전에대해서는해당기관장허가에따라선조치후보고가능 6
오바마정부사이버보안정책평가 법제 : CISPA 등 공공 - 민간사이버위협정보공유기반마련을위한법안을지속추진했으며, 2015 년 10 월 CISPA 법이통과되어정보공유기반마련 발표연도 2011 년 2012 년 2013 년 법안명 Homeland Security Center and Physical Infrastructure Protection Act of 2011 (H.R.174) PRECISE Act (H.R. 3674) CSA 2012 (S. 3414) Cybersecurity Act of 2012 (S.2105) SECURE IT (S.2151)/(H.R.4263)/(S.3342) National Cyber Security and Critical Infrastructure Protection Act (H.R.3696) SECURE IT (H.R.1468) 2014 년 - 2015 년 National Cybersecurity Protection Advancement Act (H.R.1731) Protecting Cyber Networks Act (H.R.1560) Cyber Threat Sharing Act of 2015 (S.456) CISA (S.2102) CISA (S.2588) CISA (S.754) CISPA (H.R.3523) CISPA (H.R.624) CISPA (H.R.234) 7
오바마정부사이버보안정책평가 법제 : 기타 CISPA 법외에도연방정부보안강화와민간과의협력강화, 인력양성과연구개발등을위한다양한법제를추진함 National Cyber Security Protection Act of 2014 DHS 산하에국가사이버안보 통신통합센터 (NCCIC) 설치하며, 활동의기반마련 사이버위협정보공유등을위한연방정부와민간의접점역할수행 Cybersecurity Enhancement Act of 2014 사이버위험감소표준및절차수립을위한공공-민간협력체계마련 사이버안보관련연구개발, 교육및인력양성, 인식제고, 기술표준등추진 Cybersecurity Workforce Assessment Act of 2014 국토안보부의사이버안보인력의역량을평가할수있도록기반마련 사이버안보인력확보전략, 역량강화방안전략, 장학금제도등추진 자료 : 국가보안기술연구소 8
오바마정부사이버보안정책평가 예산 2016 년 2 월, 오바마대통령은 사이버보안국가행동계획 을발표했으며, 계획실현을위해 2017 년도사이버보안분야예산으로 190 억달러요구 Cybersecurity National Action Plan 개요 2016 년 2 월, 오바마대통령은 사이버보안국가행동계획 (Cybersecurity National Action Plan) 발표 다음과같은세부계획제시 - 정부의노후장비교체를위한 31억달러투자 - 정부시스템접근을위한인증체계개선 - 연방보안시스템인 EINSTEIN의예방능력강화 - 보안전문인력양성위해 6,200만달러투자 이행동계획실현을위해 2017 년도사이버보안예산으로전년도대비 35% 증액된 190 억달러를요구함 9
오바마정부의사이버보안정책평가 R&D : DARPA (1) 미국은사이버무기개발과국방분야사이버기술개발을위해국방부산하 DARPA 의정보혁신실 (I2O) 을중심으로관련연구를중점추진중 체계적 R&D 계획및추진 사이버전과직접적관련성증가 사이버전지원인프라개발 새로운군인프라환경반영 융합무기체계보안연구 내부자위협대응강화 국방수권법에명시된기술정책방향에따라대응기술체계적추진 인프라, 예방, 대비, 대응, 복구등사이버방어단계별 R&D 계획및추진 기존연구는정보보증, 사이버인프라확보등에관한연구에집중 반면, 최근연구는 PlanX 등사이버전과직접적관련이높은분야로변화 사이버작전에활용되는도구외에도작전수행을위한기반기술확보노력 사이버전장지도마련, 사이버게놈프로젝트, 사이버훈련장개발등 사이버작전이수행될정보시스템환경이변화함에따라대응기술역시변화 클라우드컴퓨팅환경, 스마트폰환경등변화된환경을반영한연구수행 기존무기체계에정보통신기술이결합되는융합무기체계등장 드론등최첨단융합무기대상사이버위협역시대응하기위한프로그램추진 악의적내부자, 내부취약점등이최근가장큰사이버위협요인으로부각 이에대한대응을위해내부자위협탐지및대응을위한연구프로그램추진 10
오바마정부의사이버보안정책평가 R&D : DARPA (2) 미국은사이버무기개발과국방분야사이버기술개발을위해국방부산하 DARPA 의정보혁신실 (I2O) 을중심으로관련연구를중점추진중 취약점최소화 사이버위협사전적예방을위해취약점최소화를통한근본적위협요인제거 이를위해보안설계, 공급사슬보안, 보안검증등에집중 직관적상황인지능력제공 복잡성, 연결성등이특징인사이버공간대응을위해상황인지가중요한요소 사이버공동작전상황도, 전장지도등시각화를통해직관적상황인지능력제공 사이버전대응기술효과성보장 개발된사이버전대응기술등의효과성및실효성판단필요 국가차원사이버전테스트베드인사이버훈련장통해각종기술들의효과성판단 사이버공격무기연구 자위권차원, 능동적방어차원에서사이버공격에대한고려필요 DARPA 는사이버공격무기역시개발을추진하고있는것으로추정됨 신속한 R&D 추진체계운영 급변하는사이버공간의대응을위해서는연구개발역시신속히이루어질필요 DARPA 는사이버패스트트랙을통해소규모의신속한연구 개발추진 11
미국사이버보안에서싱크탱크의역할 -CSIS CSIS 는 2008 년 44 대대통령을위한사이버보안정책제언 을발간했으며, 이는오바마정부의사이버보안기조의기반이된것으로평가 CSIS 의오바마대통령정책제언 국제전략문제연구소 (CSIS) 는 2008년 미국 44대대통령사이버보안위원회 를구성하여오바마대통령의사이버보안정책방향제언 종합적인국가사이버보안전략 수립 백악관주도사이버보안체계마련 ( 사이버보안 Czar 도입등 ) 민간과의협력체계확보 ( 국가기반시설보안위협등에대한 ) 사이버보안규제방안마련 사이버보안인력에대한신원관리 규제당국환경현대화 12
미국사이버보안에서싱크탱크의역할 사이버보안아젠다 오바마정부의 5 대사이버보안아젠다 1 최상위수준의리더십발휘 CIA, FBI, NSA 등으로분산되어있던사이버보안기능을백악관에서통제하고, 보안관련성과평가를수행함으로써사이버보안정책의강력한추진력확보 사이버안보조정관임명을통해, 사이버보안정책간우선순위를조정하고전국가적차원에서일관성있는보안정책및전략을추진할수있도록함 13
미국사이버보안에서싱크탱크의역할 사이버보안아젠다 2 디지털국가역량구축 사이버보안수준강화를위한근본적해결방안은이용자의인식수준향상에있음을인식하고이를위한범국가적인식제고사업을추진함 교육및산업계와협조를통한일반인대상인식제고사업추진 연방정부내의사이버보안관련조직및인력강화추진 3 사이버보안책임공유 국가사이버보안을위해서는정부망과민간망보안을분리하여고려하는것이불가능하다는인식하에정부 민간 산업간협력및공동대응체계구축및각주체의보안책임공유필요성을강조함 지능화 복잡화되는인터넷침해사고와해커의공격에효과적으로대응하기위해서는실질적이고긴밀한협력체계가필요함을강조 14
미국사이버보안에서싱크탱크의역할 사이버보안아젠다 4 기관간정보공유및사고대응체계구축 사이버보안관련연방정부기관간또는민간기관과의정보공유및사고공동대응체계구축을통한사고예방및대응역량을강화함 백악관이직접사이버보안관련업무에대한통제권을가지고진두지휘 다양한잠재적사이버테러시나리오작성을통한대응체계구축 5 혁신촉진 효과적인사이버보안정책추진을위한 R&D 정책및법제정비추진 국가차원의 R&D 정책을통해프라이버시, 국가차원의온라인 ID 관리등미래인터넷환경에서발생할수있는사이버보안문제관련사전연구수행 15
주요싱크탱크들의움직임 글로벌싱크탱크순위 글로벌주요싱크탱크 Top 10 순위 싱크탱크 국가 1 브루킹스연구소 (Brookings Institution) 미국 2 채텀하우스 (Chatham House) 영국 3 카네기평화재단 (Carnegie Endowment for International Peace) 미국 4 국제전략문제연구소 (CSIS, Center for Strategic and International Studies) 미국 5 브뤼겔 (Bruegel) 벨기에 6 미외교협회 (Council on Foreign Relations) 미국 7 국제전략연구소 (IISS, International Institute for Strategic Studies) 영국 8 랜드연구소 (RAND Corporation) 미국 9 우드로윌슨센터 (Woodrow Wilson International Center for Scholars) 미국 10 국제엠네스티 (Amnesty International) 영국 자료 : UPENN Scholarly Commons 16
주요싱크탱크들의움직임 Top 싱크탱크의사이버보안연구 글로벌 Top 싱크탱크들은사이버보안이슈를주요연구주제로선정하여정책적관점, 국제안보관점, 기술적관점등에서다양하게연구하고있음 브루킹스연구소 카네기평화재단 채텀하우스 국제전략문제연구소 17
사이버보안싱크탱크의요건 융합적역량 사이버보안은수학, 컴퓨터공학중심으로형성되었으나, 최근에는정치외교학, 법학등인문 사회학이강조되는대표적융합학문분야로인식 컴퓨터공학 행정학 법학 전기 전자공학 사이버보안 정치외교학 수학 심리학 경제학 18
사이버보안정책센터 2016 년 6 월 11 일, 사이버보안정책센터 개소 19
사이버보안정책센터 주요미션과비전 글로벌선도사이버보안정책싱크탱크를목표로현장지향, 글로벌협력선도, 학문간융합연구, 미래지향혁신교육등을주요미션으로선정함 현장지향 문제해결형소통연구 현장소통형연구 혁신적융합교육 글로벌협력선도 사회문제해결 글로벌선도사이버보안정책 Think-Tank 분야별융합연구 학문영역간융합, 통섭 글로벌선도연구 글로벌융합인재양성 미래지향혁신교육 20
사이버보안정책센터 구성 사이버보안관련안보, 법 정책, 기업보안, 금융보안연구기반구성 임종인교수前대통령안보특별보좌관前개인정보보호위원회위원前한국저작권위원회위원現한국정보보호학회명예회장現대검찰청디지털수사자문위원회위원장 고려대학교정보보호대학원 권헌영교수現총리소속정부 3.0 추진위법제특위위원장現개인정보분쟁조정위원회위원現한국정보보호학회법무이사 개인정보보호연구회장現방송통신위원회방송통신규제심사위원 이경호교수現국가정보원정보보안관리실태평가위원現개인정보보호위원회조사분석위원前행정자치부 / 국방부정책자문위원現한국정보보호학회이사 김인석교수現 FDS 산업포럼회장現한국사이버정보전학회운영위원前한국정보보호학회부회장前금융감독원 IT 업무실부국장 사이버안보연구실 지도교수임종인 사이버법정책연구실 지도교수권헌영 위험관리연구실 지도교수이경호 개인정보보호연구실 지도교수권헌영 금융보안정책연구실 지도교수김인석 사이버평화인권연구실 지도교수백승조 21
사이버보안정책센터 설립목적 사이버보안관련정책연구의필요성과인력양성필요성에따라분야별사이버보안정책연구기능의통합및융합을위해설립 정보보호 정책 수요증대 정책연구와정보보호정책인력양성부족 분야별사이버보안정책연구기능의통합및융합 미래선도혁신 융합연구의추진기반마련 22
사이버보안정책센터 교육커리큘럼 관련연구역량확보를위한사이버보안정책전문커리큘럼구성 법정책 ( 권헌영 ) 위험관리 ( 이경호 ) 사이버안보 ( 임종인 ) 금융보안 ( 김인석 ) 선수과목 기초공통 법과정책 사이버법률, 정보보호기술개론, 정보보호정책학개론 전공필수 정보보호법제론 위험관리사이버국제법전자금융보안론 선택과목 정보보호정책개인정보보호정책 위험관리정보보호관리 사이버안보정책사이버국방정책 금융 IT 감사기법전자금융법규 기획과목 정보보호정책연구 ( 정책연구센터교수진 + 정책연구네트워크소속연구원 ) 심화과목 사이버법정책특론 사이버법정책세미나 위험관리특론 위험관리세미나 사이버안보특론 사이버안보세미나 금융보안정책특론 금융보안정책세미나 23
사이버보안정책센터 연구협력체계 ( 안 ) 사이버보안정책센터는주요정책및연구기관들과함께 MOU, 공동연구추진등을통한다층적인협력구조를만들어나갈계획 해외협력기관 CMU CyLab, Harvard Belfer Center, RAND, CSIS, Chatham House, Brookings, ICT 4 Peace, NATO CCDCOE, Atlantic Council, EWI, MITRE 등 국내협력기관행자부미래부국방부경찰청 NIS KISA NIA KISDI KITRI KIDA 국가보안기술연구소국가안보전략연구소제주평화연구원등 협력연구소 사이버법센터아세아문제연구소법학연구원정부학연구소한국사회연구소공공정책연구소일민국제계연구소평화와민주주의연구소등 자매연구실 보안성분석평가연구실정형기법연구실 해킹대응연구실 임베디드보안연구실 사이버국방연구센터 디지털포렌식연구센터등 사이버보안정책네트워크고려대정보보호대학원출신정부부처, 공공기관, 기업, 학교, 연구기관소속정책연구자들로구성 사이버보안정책네트워크 24
사이버보안정책센터 기대효과 사이버보안정책센터의기대효과및이를통한목표 사이버보안 Global Think-Tank 역량통합 교내 외에분산된정책연구자원과역량통합과협력체계마련 경쟁력강화 영역확장 대외적효과 국제안보 - 국가안보 - 기업보안등다양한연구영역포괄 국가 / 공공 / 기업, 컨설팅 / 법률자문 / 법제화등다양한업무영역포괄로토털정책지원서비스 One Stop Shop 사이버보안정책연구역량과경험을바탕으로대한민국을넘어아시아, 글로벌대표싱크탱크로자리매김 25
감사합니다. jilim@korea.ac.kr