- 미국, EU, 영국의사이버보안전략을중심으로 - 1) 미국, EU, 영국은사이버보안전략을체계적으로수립및추진하고있는대표적국가들이다. 미국은백악관을사이버보안컨트롤타워로지정, 사이버보안조정관직위를신설하여국가차원의사이버보안전략을총괄, 지원하고있으며, EU의경우, 유럽전체를포괄하는사이버보안전략을마련해회원국들간의협력을촉구하고있다. 영국역시사이버보안선진국으로사이버보안전략발표이후, 매년추진사항에대한검토를진행하는등체계적인추진의모범국가중하나다. 미국, EU, 영국등주요국의사이버보안전략의수립과정과추진현황은추진체계와복원력강화, 산업육성, 인력양성, 인식제고, 국제협력등 6개부문으로구분해분석할수있었으며, 다양한전략적요소를고려한정책을추진하고있는것으로확인할수있었다. 이에따라우리나라도사이버보안정책추진시복원력강화를위한담당기관간및민간 공공간협업강화를비롯해사이버보안산업육성, 인력양성등다양한부문을고려한사이버보안정책추진이필요하다는결론을도출하였다. 목차 Ⅰ. 서론 / 2 Ⅱ. 주요국사이버보안전략추진현황 / 3 1. 미국 / 3 2. EU / 5 3. 영국 / 7 Ⅲ. 주요국사이버보안전략비교 분석 / 9 1. 사이버보안전략추진체계 / 9 2. 복원력강화 / 12 3. 산업육성 / 16 4. 인력양성 / 17 5. 인식제고 / 21 6. 국제협력 / 22 Ⅳ. 결론및시사점 / 23
Ⅰ. 서론 최근전세계를대상으로하는사이버위협의피해규모가계속해서증가함에따라 국가차원의효과적인사이버위협대응을위한사이버보안전략을수립 시행중에있 다. 1) 특히미국과유럽, 영국등사이버침해사고가상대적으로많이발생하고비교적 국가체계가안정된국가를중심으로사이버보안전담부처또는기관을설립하여대응하고있으며, 더불어사이버위협대응전문인력수요급증에따른인력양성전략을별도로수립하는등효과적인사이버위협대응을위한정책을추진하고있다. 미국은 9.11 테러발발이후사이버공간내보안을전담할부처인국토안보부 (DHS) 를설립하며, 전세계사이버위협대응체계의본보기가되고있는사이버보안선진국가이다. 이미오바마정부에서사이버공간보호등을기반으로한 IT 생태계구축과활용을통해경제성장과혁신촉진의지를표명함에따라백악관을필두로사이 버보안을총괄 관리하고있다. 2) 또한, 유럽연합 (EU) 은지난 2013 년 2 월범유럽차 원의사이버보안전략을수립하는등 EU 회원국간의사이버보안협력증대를위한공통된규범과기본가치를전파하기위해노력중에있으며, 영국역시 EU 국가내에서도사이버보안선진국가로사이버보안전략에따른추진과정및성과를검토한보고서를매년출간하는등사이버보안강화정책의실효성을제고하기위해노력하고있다. 이러한배경을바탕으로본고는사이버보안정책을주요국정과제로삼아추진하고있는국가인미국, EU, 영국들의정책추진현황과전략들을상세히살펴보고자한다. 먼저사이버보안전략의수립과정과추진현황을알아보고사이버보안전략을상세 히알아보기위해추진체계와복원력강화, 3) 산업육성, 인력양성, 인식제고, 국제협 1) 시만텍이발표한 2013 노턴보고서에따르면, 1인당사이버범죄로인한금전적피해는 2012년 197달러에서 2013년 298달러로약 50% 가증가하였으며, 전세계사이버범죄피해비용역시 2012 년 1,110억달러에서 2013년 1,130억달러로증가하고있다는보고서를발표하였음. 2) 미국경기회복투자법 (American Recovery and Investment Act of 2009, ARRA) 를통해의료 IT, 스마트그리드, 연방기관정보시스템등에정보보호강화를추진중.
력등 6 개부문으로나누어해당내용을비교 분석해보려고한다. 사이버보안전략과 체계를세분화된주제로비교 분석하는작업을통해궁극적으로국내사이버보안정 책수립에참고할수있는시사점을도출해보려고한다. Ⅱ. 주요국사이버보안전략추진현황 1. 미국 미국은다른국가에비해사이버공격의표적이되는경우가빈번해이른시기부터국가사이버안보에관심을가지게된다. 특히미국정부는사회적혼란및국가안정성과관련되는주요기반시설의사이버보안강화에집중하며, 이를주요국정과제로삼고정책적인노력을기울이는특징이있다. 사이버보안을강화하기위한정책들은법체계정비에서출발하게되는데, 그시작은 1980년대중반의컴퓨터범죄또는사이버안보에관한법제정 4) 이다. 이시기에국가주요기반시설보호를위해중앙정부를중심으로전략개발이이루어지기시작하였으며, 1998년 5월대통령령 (Presidential Decision Directive, PDD) 63호공표를통해주요기반시설에대한범정부적보호체계를처음으로마련하는데이른다. 5) 클린턴정부에이어 2001년출범한부시정부는국방부펜타곤이공격을받고세계무역센터빌딩이무너지는 9.11 테러사건에직면하게되고, 이사건을계기로주요기반시설보호의중요성이더욱부상한다. 부시행정부는재임기간동안행정명령발효 3) 본고에서의복원력 (Resilience) 은민 관협력, 사이버위협정보공유등사이버위협의대응력을의미 4) 1980년부터 1990년대에제정된미국의사이버안보관련법안은아래와같다. 위장접근수단 컴퓨터사기및컴퓨터남용법 (Counterfeit Access Device and Computer Fraud and Abuse Act) (1984), 전자통신사생활보호법 (Electronic Communications Privacy Act)(1986), 컴퓨터보안법 (Computer Security Act)(1987), 문서감축법 (Paperwork Reduction Act)(1995), 정보기술관리개혁법 (Information Technology Management Reform Act 또는 Clinger-Cohen Act) (1996) KISA, 주요정보통신기반보호강화방안마련, 2013. 12 5) 김은혜 이재일, 미오바마정부의사이버보안주요정책및법안, 인터넷 & 시큐리티이슈, 2011. 8
와법안제정을통해주요기반시설에대한중앙정부의보안정책을추진하였고, 2002년 11월제정한 국토안보법 (Homeland Security Act) 를근거로국토안전및사이버보안주무부처인국토안보부 (Department of Homeland Security) 를신설하였다. 국토안보부는 9.11 테러의충격으로미국내분립되어있던안전정보관련정보기관들을통합해당시 17~18만명의직원을거느리는거대부처 6) 로출범하였고, 오바마대통령이취임했던 2009년까지미국의사이버보안과국토안보를주도하였다. 2009년에오바마행정부가수립된이후에도사이버보안은핵심적인국정과제로주목받게되었으며, 이에따라 2009년 5월에는 백악관, 연방정부등최상위리더십에따른정책추진 (Leading from the top), 보안교육, 전문인력양성등디지털국가구축을위한역량제고 (Building Capacity for a Digital Nation), 민 관협력을위한파트너십구축등공동책임 (Sharing Responsibility for Cybersecurity), 효율적인정보공유및사고대응능력제고 (Creating Effective Information Sharing and Incident Response), 혁신촉진 (Encouraging Innovation) 등의내용 7) 을담은 사이버공간정책리뷰 (Cyberspace Policy Review) 를발표하였다. 본전략에는주요목표들의달성을위한단기 (Near-term) 액션플랜 10개그리고중기 (Mid-term) 액션플랜 14개도포함되어있다. 사이버공간정책리뷰의발표는기존국토안보부에서주도했던국가사이버보안업무가대통령을중심으로백악관에서정책을추진하는체계로재편된것을의미한다. 또한, 국가기관의사이버위협대응능력제고뿐만아니라보안교육과인력양성, 혁신또한중요시하기시작했으며여러분야에서민간부문의책임과의무를강조했다는데의의가있다고볼수있다. 이러한정책추진에도불구하고주요기반시설과언론사들이사이버공격에지속적 6) 국토안보부 (DHS) 는대통령경호를담당하는재무부산하의비밀검찰부를비롯해해안경비대, 국경수비대, 이민귀화국 (INS), 세관, 연방비상관리국 (FEMA), 교통안전국 (TSA) 등 22개연방기관이합쳐져탄생 http://www.dhs.gov/history 7) http://www.whitehouse.gov/assets/documents/cyberspace_policy_review_final.pdf
으로노출 8) 되는사고를겪자오바마는 2013년 2월주요기반시설의사이버보안강화를위한행정명령 (Executive Order 13636) 과정책지침 (PDD 21) 을발표한다. 행정명령 13636호는주요기반시설의보호체계구축을위한사이버보안프레임워크의개발과보급을핵심목적으로하며, 정책지침 21호는주요기반시설보호에관련되는중앙부처들의역할과의무를적확하게규정하는것을주요목적으로한다. 2009년에발표했던사이버공간정책리뷰혹은타국가의사이버보안전략과달리주요기반시설의보안강화에을맞춘정책이라는점이특징적이다. 행정명령에따라 국가기반보호계획 2013 ( 14. 1), 사이버보안프레임워크 ( 14. 2) 등이수립되는등민 관을포괄하는사이버보안강화정책이진행되고있다. 2. EU EU의사이버보안논의는디지털아젠다논의에서시작한다. EU는 2010년디지털기술활용을통한지속가능한성장을이룰수있도록하는디지털아젠다 (Digital Agenda for Europe) 7개가발표하였고사이버보안도그중하나로선정되었다. 7개의아젠다는 브로드밴드신규규제환경조성, 유럽의시설자금연계를통한공공디지털서비스기반신규조성, 디지털기술습득과채용관련대연합착수, EU 사이버보안전략및지침 (Directive) 제안, EU저작권프레임워크개정, 공공분야시장을통한클라우드컴퓨팅활성화, 신규전자산업전략추진등으로구성되었다. 아젠다들은새로운디지털시대를맞아신규시장발굴및활성화를중요시하고있다. 미국이주요기반시설의보안강화를중시하고있다면 EU는디지털에서새로운성장동력을찾으려는노력에서사이버보안에대한관심이시작된것이다. 이중 4번째항목인 EU 사이버보안전략및지침제안 에따라 EU의사이버보안전략 (Cybersecurity Strategy of the European Union) 이 2013년수립된다. 사이버보 8) 2013 년 1 월국토안보부산하 ICS-CERT 의악성코드감염사고와뉴욕타임즈및월스트리트저널 의해킹사고가발생
안전략은궁극적으로 EU의안전한온라인이용환경구축및시민들의권리증진을목적으로하며이를위한 EU의구성, 시민의권리보호와관련해필요한활동을제시하고있다. 본전략에서는사이버보안정책수립시기초가되어야할 5가지원칙을제시하고이에기초한사이버보안전략에대해명시하는내용으로구성된다. 본전략은사이버복원력을강화하고사이버범죄를줄이는등의전략목표달성을위해서는 EU 차원에서중앙집중감독이아닌각국정부스스로가사이버위협예방및대응수단, 정책 법적수단마련을통한민간과의협력체계확립이중요함을서술하고있다. 구분 사이버보안 정책수립원칙 설명 오프라인세계에서의핵심가치를온라인에서동일하게적용 기본권, 표현의자유, 개인정보및프라이버시가치중시 인터넷접근성향상을위한인터넷의무결성, 보안성확보 다수이해관계자 (Multi-stakeholder) 거버넌스접근법지지 사이버위협해결을위한민간 공공등관련부문간효율적대응 사이버복원력 (resilience) 강화 사이버범죄의획기적인감소사이버보안 사이버보안력제고를위한산업및기술자원개발전략 공통보안및방어정책과관련된사이버방어정책및역량개발 EU의통일된사이버공간정책수립및 EU의핵심가치실현출처 : EU 사이버보안전략 (Cybersecurity Strategy of the European Union), 2013. 2. 이와같이각회원국들의사이버보안체계마련을지원하기위해, 보안조치를의무화하고기준을제시하는 네트워크및정보보호지침 (Directive on Network and Information Security) 이전략의후속조치로 2013년 12월수립된다. 네트워크및정보보호지침은국가네트워크정보보안체계, 관할기관간협력, 공공행정및기업의정보보안등의내용으로구성되어있으며국가 국가간 민간기업등의의무를모두규정하고있다는특징이있다. 지침에서는 EU 회원국내컴퓨터긴급대응팀 (CERT) 설치, 회원국간보안정보공유체계구축, 주요사업자들에게보안요건준수의무
부과등을명시하며실질적인보안강화요건을제시하고있다. 최근유럽의회 (EP) 에서 2014년 3월 13일에본지침초안을채택하였으며, 향후유럽이사회 (Council of the European Union) 와함께네트워크및정보보호지침의최종합의를위한협상이예정되어있다. 3. 영국 영국은사이버공간에서증대되는공격으로부터모든시민들안전하게보호하기위해 2009년 6월최초로사이버보안전략을수립하였다. 사이버보안전략수립전에는정보보호법 (Data Protection Act 1998) 을근거로정보보호관련사항을규제했던영국은본전략의발표를통해사이버범죄의인식제고와민간대응능력강화등을목표로설정하였다. 그럼에도불구하고국가기반시설을위협하는사이버공격의위험에노출되면서사이버보안전략의목표에따른계획및진행현황에관한보고서를매년발표하게된다. 영국사이버보안전략 (The UK Cyber Security Strategy) 은 2015년까지안심할수있는사이버공간하에서경제적 사회적가치를창출한다는비전을바탕으로 사이버범죄감소및안전한사이버공간구축, 사이버공격에대한복원력강화와사이버상의권익보호, 열린, 역동적, 안정적인사이버공간구현, 사이버보안지식 기술 능력구축등의네가지목표하에세부실행과제 57개를제시하였다. 또한, 4년동안 6억 5천만파운드 ( 약 1조 1천억원 ) 의국가사이버보안프로그램 (National Cyber Security Programme) 을통해사이버보안정책운영에요구되는예산을마련하는등전략추진을위해체계적으로정책을추구하는모습을보여주었다. 사이버보안핵심전략을근거로보면영국은국가기관전반의사이버보안대응력및복원력강화외에도민간사이버범죄소탕, 민간기업의사이버보안관리강화및필수적정보공유, 사이버공격의효과적대처를위한국제협력강화등공공 민간 국가간협력을통해안전한사이버공간구현을주요정책목표로삼고있다. 또한, 사
이버보안위협이사이버범죄를유발하고, 국가안보에악영향을미칠수있는것으로판단하여, 법집행기관 수사기관 민간 개인등여러주체간의협력및각각의능력제고를위해노력해야한다는것을제안하고있다. 사이버보안전략세부과제의지속적인평가및관리를위해매년전략추진과정검토작업을수행하고있으며목표별진행현황도발표하고있다. 또한영국은사이버보안전략추진과정검토보고서를 2013년 12월에발표하였고, 전략추진방향을제시하는 국가사이버보안전략계획 (The National Cyber Security Our Forward Plans) 을발표하며, 영국사이버보안전략의 4가지기본목표를비롯하여사이버공격의국가적대응능력제고, 주요기반시설 네트워크의복원력강화, 사이버보안인식확산및위험관리능력향상, 전문인력양성, 국제협력등에관한계획을추진하고있다. 1 고도화된사이버위협에대비한대응능력제고 2 인터넷비즈니스안정성강화및사이버범죄감소를위한법집행기관역할강화 3 영국주요시스템및네트워크복원력강화 4 영국산업내사이버리스크관리능력향상 5 제품, 서비스에대한높은수준의사이버보안수준요구 6 사이버보안관련연구및교육을통한전문인력양성 7 원활한사이버범죄해결을위한국제협력지원출처 : 국가사이버보안전략계획 (The National Cyber Security Our Forward Plans), 2013. 12
Ⅲ. 주요국사이버보안전략비교 분석 1. 사이버보안전략추진체계 미국은오바마대통령취임직후정부의핵심과제로사이버보안을채택하여 2009 년 2월사이버보안정책과체계에대한종합적검토를지시하였으며, 같은해 5월사이버공간정책리뷰를발표하였다. 사이버공간정책리뷰발표이후기존국토안보부장관이총괄하던사이버보안컨트롤타워의역할을백악관내사이버보안조정관직위를신설하여국가사이버보안총괄조정과리더십기능을담당하도록역할과기능을이전하였다. 국가안보위원회 (National Security Council) 내사이버보안조정관 9) 을총책임자로하는사이버보안국 9) 사이버보안조정관은다음과같은역할을담당한다. 1 사이버보안조정관은대통령에게직접사이버보안정책을직접보고, 2 주, 지방정부및민간부문을포함하는미국의모든사이버보안담당자들과의긴밀한협력이가능하도록규정, 3 국방부, 국가안보국, 국토안보부등과협력하여, 대규모침해사고발생시총지휘관역할을담당, 4 국가안전보장회의에상주하며대통령과안전보장회의에사이버보안관련정책을정기적으로보고, 5 미군과민간기관의연방정부사이버안보정책마련을위한자문관역할수행
(Cybersecurity Directorate) 을설치하여, 사이버스페이스정책리뷰에나와있는정책방안을더자세히설명하고발전시킬임무를부여하였다. 이외에도주요기반시설에대한사이버보안을담당하고있는국토안보부와사이버전에대비를위한활동을하고있는국무부 상무부등관련정부부처내담당부서와산하기관을통해미국의사이버보안전략을추진하는데있어필요한업무를지원받고있다. 여러부처에걸쳐있는사이버보안업무가사이버보안조정관을통해대통령에게리더십을부여하고있다는것이특징적이다. EU는단일국가가아닌연합체이기때문에사이버보안추진체계도다소상이한구조이다. 사이버보안은집행위원회 (European Commission) 산하네트워크콘텐츠기술총국 (Communication Networks, Content and Technology) 10) 에서총괄하고있으며, 산하기관인유럽네트워크정보보호기구 (ENISA) 에서지원을받고있다. 유럽네트워크정보보호기구는 EU회원국네트워크및정보보안을지원하며, 국가간정보교류증대와네트워크보안기능조정등의역할을수행하는기관으로 EU규정에의거하여 10) 네트워크 콘텐츠 기술총국 (Communications Networks, Content and Technology): 지식정보 사회구현을목표로유럽의정보사회정책연구, 디지털콘텐츠및인터넷등디지털아젠다총괄
2004 년에설립되었다. 특히, 집행위원회, 회원국, 회원국의기업체등의사이버보안 업무지원및자문 연구를통해사이버보안위협대응능력을개선하는데노력하고 있으며, 매년사이버위협평가보고서를발간하고있다. 영국의사이버보안추진체계는내각부 (Cabinet Office) 를중심으로한다. 정보보호정책을총괄하고있는내각부는정부기관정보보호정책을조율하고있으며, 산하기관으로정보보증중앙기구 (CSIA), 사이버보안청 (OCSIA), 민간비상대비사무처 (CSS) 등이있다. 또한주요기반시설보안은내무부 (Home Office), 산업활성화를위한정보보호관련정책은기업혁신기술부 (Department for Business Innovation and Skills), 외무부 (Foreign&Commonwealth Office) 는통신정보수집 제공을담당하고있다. 그외에도상업기술규제개혁부 (Department for Business Innovation and Skills) 와국방부 (Ministry of Defence) 도사이버보안업무를수행하고있어여러부서의정보공유및일관된정책추진이요구되는구조이다.
2. 복원력강화 1) 미국오바마대통령은미국상원에서사이버정보공유및보호법 ( 안 )(Cyber Intelligence Sharing and Protection Act) 과사이버보호법 ( 안 )(Cyber-security Act of 2012) 이연이어부결됨에따라주요기반시설보호강화를위해 2013년 2월대통령행정명령 (Executive Order 13636) 을공표하였다. 공표된대통령행정명령을살펴보면, 주요기반시설사이버위협정보공유체계강화를위해사이버공격징후포착시신속한공격징후보고서작성과대상기관에전파하기위한체계마련과함께국토안보부가사이버위협정보를민간사업자에게제공하는것이주요내용이다. 사이버침해위험을감소시키는서비스인사이버보안정보공유서비스 (Ehanced Cybersecurity Services) 대상을일부상용서비스제공업체에서주요기반시설로확대하겠다는내용을담고있는등민 관협력에기반한사이버위협정보공유체계구축에노력을기울이고있는상황이다. 2) EU EU는사이버보안전략을통해국가별네트워크및정보보호 (Network and Information Security) 권한기관간, 유럽경찰기구 (Europol), 유럽방위청 (European Defense Agency) 등민 관 군의위협정보공유의중요성을밝혔다. 이에, 유럽경찰기구는유럽검찰기구와함께사이버범죄대응관련정보공유에노력하고있으며, 더불어유럽경찰기구내유럽전역의인터넷범죄자들의신원, 범죄행태등에대한정보를공유하고있다. EU는효과적인사이버범죄위협에공동대응하고자유럽사이버범죄센터 (European Cybercrime Centre) 를 2013년 1월에설립하는등효과적인사이버위협정보공유를위한노력을기울이고있다. 3) 영국영국은 2013년 3월안전한사이버공간구현을위해민간과공공의사이버위협정보를실시간으로교류할수있는플랫폼인사이버보안정보공유협력체 (CISP) 를발족
하였으며, 주요기반시설사업자들과의사이버위협정보를공유하는협력체계를마련 하였다. 11) 또한, 국가범죄수사국 (NCA) 역시사이버범죄단체에대한정보를민간부 문과공유하여, 효과적인사이버범죄퇴치를위해노력을기울이고있는중이다. 1) 미국미국은효과적인사이버위협대응을위해사이버사고예방 탐지 대응을위한민 관협력프로세스를개발하였으며주요기반시설의보호체계구축을위해사이버보안시스템구축을위한기술표준 방법론 구축단계및절차등의내용을담고있는사이버보안프레임워크를개발하는등민 관협력에기반한복원력강화를꾀하고있 다. 12) 또한, 향후예상치못한사이버위협에대한효과적대응을위해민 관관련종 사자들이참여하는국가단위의사이버훈련을수행하는등민 관부문의사이버보안준비성검토및강화에도주의를기울이고있다. 2) EU EU는사이버보안및개인정보침해사고발생에따른관련규정법제에기반한보고체계를마련하는등공공과민간부문의사이버대응능력개발및협력지원하고있다. 13) 특히, 네트워크및정보보호와관련한최소한의공통요건규정을통한네트워크및정보보호전담국가지정및컴퓨터긴급대응팀설치, 국가네트워크및정보보호전략및협력계획채택장려하는등의내용을담고있는네트워크및정보보호지침을마련하는등 EU 전반에걸쳐, 국경을넘어서는사고발생시국가간조율, 11) 사이버보안정보공유협력체는민 관네트워크보안전문가들로구성되어있으며, 2013년약 250 여개의가입조직을 2014년말까지 500여개로확대시킬계획을가지고있음. 12) 최근미국은 2014년 5월미국내주요기반시설에대한보안위협과취약점등을조사한분석보고서 섹터리스크스냅샷 (Sector Risk Snapshot) 을발간하는등주요기반시설별잠재적피해를줄일수있는대비책강구를촉구하고있음. 13) EU는 Framework Directive for electronic communications 및 EU data protection legislation을통해전자통신서비스제공사업자및데이터관리자들에게보호조치및침해사고발생시보고조치등을하도록명시하고있음.
민간의참여대비측면에서의법률을마련하는노력을기울이고있다. 또한, 민 관 협력을통해유럽내사이버위기대응을위한기존의표준절차와협력메커니즘을점 검하기위해격년으로범유럽차원의사이버사고대응훈련을지원하고있다. 14) 이외 에도유럽집행위원회차원에서주요기반시설운영자들과함께네트워크및정보보호취약점파악과복구시스템개발노력을기울이고있는중이다. 3) 영국영국역시정부네트워크및민간주요기반시설사업자들과의협력을통해사이버위협대응능력을강화하고있다. 모든정부부처이사회, 정부기관이사회는자체위험관리제도를통해사이버위험관리를지원하는등매년사이버위협대응준비상태가감사의일환으로면밀히검토되고있다. 또한, 국가기반시설보호센터 (CPNI) 와정보통신본부 (GCHQ) 간협력을통해주요기반시설사업자들에게잠재적취약점및피해완화관련조언, 지침을제공하고있으며, 금융부문사이버방어및사고대응실태점검을위한사이버훈련프로그램을수행하고있다. 1) 미국미국은사이버문제를근본적으로해결할수있는새로운기술개발과함께연구성과의극대화와실용화를통한사이버보안혁신을촉진하고있는국가다. 15) 사이버보안 R&D와관련한대표적인예로 2011년 12월사이버공간정책리뷰내사이버보안연구개발추진을위해연방사이버보안 R&D 전략계획 (Trustworthy Cyberspace: Strategic Plan for the Federal Cybersecurity R&D Program) 을예로들수있다. 16) 동전략계획은 1 연구는사이버보안문제의근본적인원인을이해하는데주력, 2 사이버보안은다면적인문제로전략은폭넓은분야에걸쳐다양한전문지식과역 14) 2014년 4월 EU는 EU 차원의사이버위협대응효율성제고를위한사이버유럽 2014(Cyber Europe 2014) 훈련을실시 15) 민경식 지순정, 미국의사이버보안정책과 R&D 전략에관한분석, 2013. 1. 16) 백악관과학기술국 (OSTP) 산하국가과학기술회의 (NSTC) 에서발표
량을투입하는것이필요, 3 기술과위협의변화에관계없이안전한환경을유지하기 위해사이버보안의원칙을유지등 3 가지기본원칙에기반하며, 1 현재의사이버시 스템에대한공격을무력화시키는 game-changing 적기술개발, 17) 2 미래사이버시 스템의보안과제에대응하는과학적접근기반구축등 2 가지를추진목적으로하고 있다. 연방사이버보안 R&D 전략계획의주요내용은 < 표 3> 과같이 4 개의내용으 로구성되어있다. 구성 (1) 변화의유발 (Inducing Change) (2) 과학적인기반의확립 (Developing Scientific Foundations) (3) 연구효과극대화 (Maximizing Research Impact) (4) 실용적이행가속 (Accelerating Transition to Practice) 내용전략의중심이되는 4개연구데마를의미하는것으로 game-changing 적인기술을상정한이들연구테마는, 모두위협의근본적인원인을이해하고지금까지와는다른접근방식으로사회의중요한사이버시스템, 인프라의보안을향상시키는것을목적으로함구체적인실현방법으로이질적분야의지식을체계화 (Organizes disparate areas of knowledge), 보편적법칙의발견 (Enables discovery of universal laws), 과학적수법에대한엄밀성적용 (Applies the rigor of the scientific method) 등 3개의방향성을제시전략에근거하여실시되고있는연구효과의극대화를위해, 타분야연구의연계혹은민관협력의커뮤니티활동을추진연구개발에서얻어진성과를사이버공간의신뢰성향상에활용하기위해각종실용화프로그램을추진 자료 : 민경식 지순정, 미국의사이버보안정책과 R&D 전략에관한분석, 2013. 1. 2) EU EU 는 ICT 보안관련기술연구개발에대한투자확대를통한해외기술에대한 의존성을축소하려는노력을기울이고있다. 유럽의국제경쟁력강화를목표로한 17) game-changing 이란종래의연구개발의과제 문제 (Hard Problem) 와다른새로운정보보호대책이 나비즈니스에대한보다근본적변화를요구하는생각을의미
호라이즌 2020(Horizon 2020) 연구혁신프레임워크프로그램 (Framework Programme for Research and Innovation) 을적극활용하여, 사이버위협대응도구및수단개발을지원하고있으며, 회원국간사이버보안연구의제조율장치마련및연구활동촉진을위한유인책을마련중에있다. 또한, 유럽집행위원회는유럽경찰기구와유럽네트워크정보보호기구에대해회원국들이최신사이버범죄수사및대응을위해부족한부분을식별하고역량을강화할수있도록적절한디지털과학수사도구와기술을개발할것을요구하고있다. 3) 영국영국은산 학 연과의협력을통한사이버보안연구개발을추진하고있다. 영국내대학교 3곳 ( 버밍업, 캠브리지, 뉴캐슬 ) 에 사이버보안연구학술센터 (Academic Centres of Excellence in Cyber Security Research) 를설립하는등영국내사이버연구역량강화및사이버산업성장촉진을위한자금을지원하고있으며, 국가기반시설보호센터 (CPNI), 공학및자연과학연구협회 (EPSRC) 와함께산업기술보호역량구축을위해연구소를설립하는등사이버보안연구공동체확대를위해노력을기울이고있다. 3. 산업육성 미국은국가차원에서사이버보안이충족된제품과서비스의보급을지원하기위해연방조달청 (GSA) 의사이버보안관련조달 계약업무를강화하며산업육성을꾀하고있다. 앞서전략에서살펴본것처럼미국은주요기반시설의보안강화를중요시하고있어, 보안산업육성과더불어사이버보안을강화하는정책을시행하고있다. 오바마정부 2기때발표된행정명령에의해사이버보안프레임워크가완성되었고그에따라프레임워크를자발적으로도입하고기준을갖춘기업에게주어지는인센티브방안도수립되었다. 프레임워크도입과사이버보안강화를위해주어지는인센티브는보조금, 세금혜택, 우선적기술지원, 규제완화, 보험요건책임경감등으로다양하다. 또한, 상무부는국방부 조달청 무역대표부등과협력해정부구매도인센티브방안으
로활용될수있는지검토하는등보안기준을적용하는기업의진흥에상당한의지 를보이고있다. EU는 EU 외다른국가에서개발된보안솔루션에과도하게의존될위험에대비하기위해사이버보안제품단일시장을구축하려는계획을가지고있다. 이를위해사이버보안분야의가치사슬을구성하는모든이해당사자들 ( 예 : 장비제조업체, 소프트웨어개발자, 정보사회서비스제공업체 ) 이보안을우선순위로인식할때비로소수준높은보안체계를구축할수있다고판단, 사이버보안수행을표시하기위한라벨을제정하고사이버보안성과와기록이우수한회사에라벨을부여하여이것을홍보및경쟁우위수단으로활용하게하는등유럽에서사용되는 ICT 제품과관련된가치사슬전반에걸쳐사이버보안강화를장려하고있다. 또한, 사이버보안우수사례를식별하고 ICT 솔루션개발과채택을위해유럽의관련공공 민간이해당사자들이한자리에모여가치사슬을논의할수있는장을마련하여우호적인시장환경조성에박차를가하고있다. 영국은사이버보안산업의내수시장을확대하고수출을촉진하기위해정부와산업계간협력체인 사이버성장파트너십 (Cyber Growth Partnership) 을설립하였다. 또한, 민간의사이버보안역량강화를위해사이버보안전문가의자격공시, 사이버보안제품및서비스의산업규격합격품표시 (kite marking) 의확대등의계획을밝히고있다. 4. 인력양성 미국은 2010년 4월국가사이버보안교육이니셔티브 (The National Initiative for Cybersecurity Education) 를발표하며, 국가차원의체계적인사이버보안인력양성을도모하고있다. 국립표준기술연구소 (NIST) 가국가사이버보안교육이니셔티브의전
반적인정책관리역할을수행하고있으며국가사이버보안인식제고를포함해교육기관의사이버보안교육도입, 연방사이버보안인력구조구축, 사이버보안인력훈련및전문화등 4가지의정책방향을담고있다. 이중연방사이버보안인력구조구축의경우, 2011 년국립표준기술연구소가발표한사이버보안인력프레임워크 (Cybersecurity Workforce Framework) 18) 로더욱체계화시켰으며, 이를통해보안역량에만을맞추기보다시스템관리, 운영, 데이터분석등사이버영역전반을포괄하는범위에서적재적소에필요한인재를체계적으로양성하고있다. 사이버보안인력프레임워크는 < 표 4> 와같이실제시스템의구축과운영, 관리및유지보수차원에서사이버보안업무를 7가지로분류하고업무별하위직종에따른요구사항을명시하고있다. 분류안전한기술보급 (Securely Provision) 운영및관리 (Operate and Maintain) 보호및방어 (Protect and Defend) 조사 (Investigate) 설명 시스템개발영역 안전한 IT 시스템의기획, 디자인, 실질적인구축업무 정보신뢰성보장, SW 엔지니어링, 기업아키텍처, 기술시연, 시스템요구사항계획, 테스트및평가, 시스템개발등 시스템운영영역 시스템운영과행정, 관리, 유지보수업무 데이터행정, IT 시스템보안관리, 정보관리, 고객서비스, 네트워크서비스, 시스템행정, 시스템보안분석등 보안강화영역 시스템안정성강화, 위협요인최소화, 외부공격대응업무 컴퓨터네트워크보안, 사고대응, 컴퓨터보안인프라지원, 보안프로그램관리, 취약성조사및관리등 사후대응영역 사고및외부공격원인분석, 증거확보업무 디지털포렌식, 사고조사등 18) 사이버보안인력프레임워크는 2013 년 7 월최종버전이공개된이후점진적인보급및업데이트가 이뤄지고있는것으로파악
분류운영및수집 (Operate and Collect) 분석 (Analyze) 설명 정보수집영역 사이버보안강화를위한정보수집업무 정보수집운영, 사이버운영계획및수행등 정보분석영역 통계분석, 사이버보안계획수립지원업무 사이버위협분석, 전방위정보활동, 취약성분석, 타깃분석등 지원 외부지원영역 (Support) 법률자문, 교육, 정책연구등자료 : 한국인터넷진흥원 (2014), 주요국사이버보안인력양성정책분석. 사이버보안인력프레임워크는각업무분류별세부직종마다주요업무내용과필요한지식등을구체적으로정리해두고있어기업및단체의경우, 현재필요한인재를파악해추가인력을확보하고사이버보안교육프로그램계획을마련하는등다양한용도로폭넓게활용이가능할것으로보인다. 또한, 기술훈련이필요한개인역시프레임워크를통해시장에서수요가있는기술이무엇인지, 해당직종에서구체적으로어떠한업무를수행하는지이해할수있어커리어구축에도움이된다. EU는회원국들에게네트워크및정보보호교육과훈련을위한국가적차원의노력강화의필요성을계속해서제기하고있는상황이다. EU 사이버보안전략내회원국들에게 2014년까지학교교과과정에네트워크및정보보호교육을포함시키고컴퓨터과학전공학생들을대상으로네트워크및정보보호및안전한소프트웨어개발과개인정보보호에관한교육을실시하고, 공공기관에근무하는인력들을위해기본적인네트워크및정보보호교육을실시해줄것을밝히고있다. 또한, 유럽네트워크정보보호기구에 IT 전문가들 ( 예 : 웹사이트관리자 ) 의기술과역량강화를위한자발적인증프로그램인네트워크및정보보호운용자격증 (Network and Information Security driving licence) 로드맵을제안했다. 이외에도유럽경찰대학 (CEPOL) 과유럽경찰기구등사법기관에대해사이버범죄에효과적으로대응하기위해필요한지식과전문
기술을강화할수있도록교육과정의설계와계획을조율해줄것을언급한바있다. 영국은학계와산업부문의협력기관을통해사이버보안인재풀을넓히고수급을강화하는노력을기울이고있다. 특히 IT분야인력교육기관인 e-skill 19) 과의공동연구를통해다른직종에서사이버분야경력으로의이직을희망하는사람들이참고할만한사이버보안경력을위한직업경로를개발하는등단순인력양성을넘어사이버 전문가직종역할주요기술역량 선임자 (Accreditor) 정보보증감사 (IA Auditor) IT 시스템이산업기준에부합하는지여부를판단하는결정권자보안시스템의기준부합여부를평가하는감시자 리스크평가및관리, 법제도지식등 규제환경이해, 조사및평가능력등 정보보증아키텍트 (IA Architect) 보안시스템의기획, 구축을담당하고 리스크를최소화하는현장실무자 보안아키텍처, 개발능력등 정보보안리스크자문 (Security and Information Risk Advisor) IT 보안총괄 (IT Security Officer Family) 통신보안직업군 (Communications Security Family) 보안리스크를식별하고해결방안을제시하는조언자사이버보안관련각종업무를총괄하는책임자특히통신네트워크분야의전문영역인암호화관련보안업무책임자 리스크평가및관리, 사후대청 능력등 의사결정, 규제환경이해, 시스템 운영 관리능력등 의사결정, 규제환경이해, 시스템 운영 관리능력등 도입테스터실제시스템도입전적합성여부를테스팅및취약성평가, 실무연구 (Penetration Tester) 판단하는테스터능력등자료 : 한국인터넷진흥원 (2014), 주요국사이버보안인력양성정책분석. 19) e-skills UK(The National Skills Academy IT): 경쟁력있는 IT 분야인력육성을위해 IT 교육전 략및프로그램수립, 기업체의문제해결지원등을수행하는교육기관
보안경력의체계적관리도지원하고있다. 또한, 사이버보안전략의일환으로정보통신본부 (CGHQ) 산하국가정보보증기술국 (CESG) 에서사이버보안전문가인증제도 (Certified Professional) 를시행해, 사이버보안및정보보호와관련된직업들을상세하게분류하고, 각직군별기술수준을데이터화 20) 함으로써정보보안관련여러직종별역할및역량을정립하였다. 5. 인식제고 미국은사이버보안인식을위해서도적극적인활동을벌이고있다. 범국가차원의홍보와캠페인을실시하는데대표적인캠페인으로 STOP, THINK, CONNECT 과 국가사이버보안의인식제고의달 운영을들수있다. STOP, THINK, CONNECT 캠페인은 사이버공간정책리뷰 ( 09) 를기초로고안되었으며국토안보부에서사이버보안인식제고를위해보안준수사항을알리는캠페인이다. 또한, 매해 10월로지정된 사이버보안인식제고의달 은올해로 11번째를맞았으며 STOP, THINK, CONNECT 캠페인과연계되어범국민사이버보안교육도함께운영되고있다. 유럽도마찬가지로사이버보안의중요성을강조하기위해유럽네트워크정보보호기구를비롯한유럽경찰기구, 유럽검찰기구, 각국데이터보호기관등은인식제고노력에힘쓰고있다. 유럽의 사이버보안의달 이 2012년 10월시험적으로실시되었고매해 10월이사이버보안의달로지정되어각종세미나와교육프로그램등이운영된다. 또한, 대학생들간에경합을벌이는사이버보안선수권대회도추진하면서민 관 학협력을강조하고있다. 20) 각직업별인증기준을통과하기위한기술역량을크게 9 가지카테고리로구분하고, 각역량들 을카테고리별로 A 부터 F 까지의코드로분류해점수를부여할수있게하였음.
영국은다양한주체별대상의맞춤형사이버보안인식제고방안을마련하고추진중에있다. 사이버보안의학위를신설해서학생들의관심을모으고있으며보안박람회등을개최해중소기업의인식제고에도앞장서고있다. 올해 8월, 영국은새로운인식제고프로그램인 사이버상식 (Cyber Streetwise) 캠페인 과 사이버센츄리온 (Cyber Centurion) 의추진을발표했다. 사이버상식캠페인은범죄수사국을주체로해서영국시민들이안전한사이버생활을영위하는데필요한보안관련정보와상식을알려주는행사이며, 사이버센츄리온은 12~18세청소년들이참여하는대회로청소년들이사이버보안진로에관심을갖도록독려하기위한목적으로시행되는행사이다. 6. 국제협력 미국은사이버보안및범죄에효과적으로대응하기위해 EU 영국 인도등주요국및글로벌기업들과협력관계를강화하는움직임을보이고있다. 미국과 EU는사이버보안및사이버범죄워킹그룹이출범하였고, 미국과인도는사이버테러정보공유등사이버보안협력을위한양해각서를체결하기도했다. EU는인터넷개방성과자유증진, 디지털양극화해소, 사이버보안역량강화등의핵심가치를옹호함과동시에사이버기술이평화적이고개방적으로이용되도록세계차원으로노력하고있다. EU 집행위원회, 고위대표부, 유럽평의회, 경제협력개발기구 (OECD), 유럽안보협력기구 (OSCE), 북대서양조약기구 (NATO), 국제연합 (UN) 등과같은국제기구들과의정책대화및협력을통해사이버방위능력을강화하고있다. 영국도 EU 와마찬가지로자유롭고개방적인인터넷의미래가치를보호하기위한 여러가지국외활동들을보여주고있다. EU, 북대서양조약기구등과의공동작업을
통해국제협력을강화하는것을비롯해다른국가, 조직과의공동작업을통한사이 버공간의행동규범조성을위해국제협력및글로벌사이버역량강화, 인식제고등의 활동을계획중에있다. Ⅳ. 결론및시사점 이상본고에서는추진체계 복원력강화 산업육성 인력양성 인식제고 국제협력등 6개부문으로나누어미국 EU 영국의사이버보안전략을비교해서살펴보았다. 그리고이를통해다음과같은분석결과를도출해낼수있다. 추진체계 : 미국 EU 영국은사이버보안전략을추진, 실행할총괄 전담부처를지정하여, 세부추진사항에대해서는전략실행시업무특성에따라해당관계부처와의협력을통해추진하고있다. 이러한부분은국가차원의사이버위협이발생할경우, 대응력에대한즉응성 ( 卽應性 ) 강화와함께전략추진시필요한전문성을십분활용하는데큰기여를할수있을것으로생각한다. 특히미국의경우, 백악관을사이버보안컨트롤타워로하고사이버보안조정관직위를신설하여, 국가최상위수준에서사이버보안전략을총괄담당하고있는것을살펴볼수있었다. 이는사이버보안전략추진시책임의명확화와함께부처내사이버보안전략추진시부처간역할조정, 국가차원의사이버보안전략추진에있어대통령의지시사항을명확하게반영할수있는효과가있을것으로판단된다. 복원력강화 : 주요국들은효과적인사이버위협대응을위해민 관협력을추진함과동시에국가또는국가간사이버훈련을수행함으로써사이버위협대응의절차와부족한부분을점검 검토할수있는노력을하고있다. 영국은사이버위협정보를실시간으로교류할수있는플랫폼인사이버보안정보공유협력체 (CISP) 를발족하여주요기반시설사업자들과의효과적인사이버위협정보공유의장을마련했으며, 미국은주요기반시설별보호체계구축을위한사이버보안프레임워크
를개발해사업자별, 담당자별자체적인복원력강화노력에기울일수있는수단을마련하였다. 산업육성 : 세국가모두자국내사이버보안제품과서비스의확산을통해보안솔루션에대한제3국의의존도를낮추는것과동시에내수시장확대는물론해외수출을통한경제성장의새로운동력으로활용하고있는것을살펴볼수있다. EU는사이버보안전략내에서제3국의보안솔루션에과도하게의존하게될것을우려해민간부문의사업자등관련이해관계자들의사이버보안수행요건에필요한유인책마련필요성을밝히고있는등보안솔루션자주권확보를위한구상을하고있는것으로판단된다. 인력양성 : 세국가들은국가차원의사이버보안인력양성계획수립과함께사이버보안직업경로개발을통해사후관리에도관심을기울이고있는것으로나타났으며, 학교교과과정과의연계를통한전국민의사이버보안기본역량까지고려하고있다. 특히미국과 EU의경우, 사이버보안인력프레임워크와사이버보안전문가인증제도를마련해업무별직종간구체적인전문기술의내용과요구사항을제시하며, 공공과민간분야에서사이버보안인력의역량을직관적으로판단할수있는근거를마련해주었다. 인식제고 : 미국 EU 영국은범국가차원의국민대상사이버보안인식프로그램과각종캠페인등을마련 실시하고있으며, 민간과의협력을통해효과적인인식제고를위해노력중에있다. 이는사이버보안의중요성과심각성에대해각인시켜주는것과동시에국민스스로가사이버보안을선제적으로예방할수있게하는근원적동인을이끌어내는조치라고생각된다. 국제협력 : 분석한국가들은국가간에국경이없는사이버위협의특성상하나의국가단위에서의사이버보안대응이어렵다는것을인식함에따라이를위해국가 국제기구등과함께다양한협력을추진및체결하고있다. 또한, 자국내사이버상의가치를전세계로전파하기위해다양한국제기구활동에적극적으로참여하고, 국가를넘어글로벌사이버역량강화를위한노력을기울이고있다.
이상주요국의사이버보안전략비교 분석을토대로국내사이버보안전략추진에관한제언을하면다음과같다. 첫째, 주요국의사이버보안전략의핵심이라고할수있는사이버위협정보공유와민 관협력의강화이다. 사이버위협에효과적으로대응하기위해서는민간과공공의정보가원활하게공유되어야하고이를통한협업이필수적이다. 미국의정보공유서비스 (ECS), EU의협력메커니즘운영, 영국의사이버보안정보공유협력체 (CISP) 등이소속을초월한협업프로세스를만들기위한노력을보여준다고할수있다. 국내도이러한정책들을참고해사이버위협정보를공유하고협력을강화하는협력체설립혹은프로세스확립등을검토해볼수있을것이다. 둘째, 효과적인사이버위협대응을위한체계적인사이버침해정보공유절차마련등민 관사이버보안협력프로세스마련과함께이를점검할사이버보안훈련을분야별 ( 금융, 의료, 제조등 ) 로수행하는것도생각해볼수있다. 이를위해국내유관기관 ( 산 학 연 관 ) 담당자로구성된침해정보공유협의체를구성하여효과적인사이버위협정보 ( 대응우수사례포함 ) 공유방안과절차를마련하고, 산업분야별로이를점검하는대응훈련을시행해야할것이다. 셋째, 국내사이버보안제품확산지원및해외사이버보안제품수출판로개척을지원할필요가있다. 사이버공간을통해국가와기업내기밀유출사고등사이버피해가계속해서증가함에따라이에대응할보안솔루션, 컨설팅서비스등의수요가계속해서증가할것으로생각된다. 이에국가차원의사이버보안제품 R&D 지원과함께해외시장진출에필요한기본적제반사항을지원해국내사이버보안제품의글로벌경쟁력을강화시켜야할것이다. 넷째, 일관성 연속성있는사이버보안전문인력양성계획수립과함께사이버보안전문인력커리어를관리할수있는로드맵을마련할필요가있다. 사이버보안전문인력에대한국가차원의명확한정의와함께민간과공공부문에분산되어있는사이버보안교육을통합관리해야하기때문이다. 또한, 단순전문인력양성에치우친것이아닌급변하는보안트렌드에맞는전문성을갖춘인재를양성할수있도록사
후관리에도관심을가져야할것이다. 마지막으로국제연합 북대서양조약기구등국제기구및국가간사이버보안협력을강화해야한다. 우리나라가사이버보안역량에대한비교우위가있는것을활용하여협력을추진해야할것이며, 더불어국제기구가주관하는여러사이버보안관련논의회의에적극참석한다면사이버보안가치와함께글로벌사이버보안패러다임을생성하고이끌어갈수있을것이다. 참고문헌 국토안보부홈페이지 (www.dhs.gov). 김은혜 이재일, 미오바마정부의사이버보안주요정책및법안, 2011. 8. 민경식 지순정, 미국의사이버보안정책과 R&D 전략에관한분석, 2013. 1. 백악관홈페이지 (www.whitehouse.gov). 한국인터넷진흥원 (2014), 주요국사이버보안인력양성정책분석. Cabinet Office, Progress against the Objectives of the National Cyber Security Strategy, 2013. 12. 12. Cabinet Office, The National Cyber Security Strategy: Our Forward Plans, 2013. 12. 12. DHS, Executive Order 13636: Improving Critical Infrastructure Cybersecurity -Incentives Study Analytic Report, 2013. 6. 12. DHS, Sector Risk Snapshots, 2014. 5. European Commission, Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, 2013. 2. 7. NIST, Framework for Improving Critical Infrastructure Cybersecurity, 2014. 2. 12. The White House, Cyberspace Policy Review, 2009. 5. The White House, Executive Order - Improving Critical Infrastructure Cybersecurity,
2013. 2. 12. The White House, Presidential Policy Directive - Critical Infrastructure Security and Resilience, 2013. 2. 12.