[박나룡 보안칼럼] 2025년, 정보보호 기대와 우려

AI 활성화 환경, 망분리 완화, 개인정보보호 등 다양한 이슈가 기다리는 한 해 2025년, 기술 발전, 규제 변화, 경제적 도전 속에서도 조직과 사회의 신뢰를 지키는 핵심 축으로 발전하길

2024-12-24     길민권 기자

2025년을 앞두고 정보보호 분야는 새로운 도전과 기회가 만들어지고 있다.

AI의 활성화, 공공 정책의 변화, 개인정보보호 규제 개선, 그리고 경기 침체 우려 속에서의 보안 투자 위축까지, 이 모든 요소는 정보보호의 중요성을 더욱 부각시키고 있지만, 기대만큼이나 우려도 큰 한 해가 될 것으로 보인다.

1. AI 시대, 정보보호의 역할은?

OECD, NIST, EU, 미국 등 전 세계 많은 나라에서 공통된 관심사로 AI에 대한 활성화와 함께 부작용을 최소화하기 위한 방법들을 고민하고 있다.

국내에서도 24년이 얼마 남지 않은 시기에 AI 기본법이라 불리는 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(안)’이 관련 위원회를 통과하고, 본회의만 남아있는 상황이다.

공통적으로, 인공지능 윤리원칙을 제정하고, 충분한 사전고지, 표시, 설명을 요구하고 있으며, 인공지능 수명주기 전반에 걸친 위험 식별, 평가 및 완화와 인공지능 관련 안전사고를 모니터 링하고 대응하는 위험관리체계 구축, 고영향 인공지능 또는 이를 이용한 제품ㆍ서비스를 제공하는 경우 위험관리방안과 이용자 보호 방안의 수립ㆍ운영 등이 포함되어 있다.

특히, 인공지능 수명주기 전반에 걸친 위험 식별, 평가 및 완화에 대한 요구는 정보보호의 중요성을 부각시키는 동시에, 위험관리체계(RMF)를 기반으로 한 체계적 접근을 요구한다. 이는 이미 ISMS-P 인증을 보유한 조직들에게 유리하게 작용할 것이다.

AI 시대에 신뢰성과 안전성을 확보하기 위한 정보보호 조직의 선제적인 노력이 필요한 시기다.

2. 망분리 완화, MLS 준비는 잘 될까?

공공분야 망분리 규제 완화 정책에 따라 다층보안체계(MLS) 로드맵이 공개되었다.

기존의 인터넷 차단 여부에서 데이터 중심으로 국가 망분리 체계의 변화가 시작될 예정이다.

MLS는 데이터 중요도에 따라 기밀, 민감, 공개 등급으로 분류해 차등적 보안 통제를 적용하 겠다는 구상이고, 이는 정보보호의 기본적인 개념이다.

기본적으로 RMF(Risk Management Framework)를 구축하고, 중요도 등급에 따라 인터넷 차단을 적용할 부분은 적용하는 등의 유연한 보안 대책을 도입하라는 것이다.

하지만, 중요도에 따라 보안을 적용하기 위해서는, 당연히 중요도를 판단해야 하고, 중요도를 판단하기 위해서는 조직이 가진 자산을 모두 식별한 후 기준에 따라 분류할 수 있어야 한다.

또한, 이런 업무를 전문적으로 수행할 수 있는 인력(내부 조직이든, 외부 컨설팅 인력이든)이 필요하고, 준비하고 도입하는 시간도 필요하다.

기존 망분리 정책이 10년을 넘기면서 나름대로 안정적이고 높은 보안 수준을 유지하고 있었 지만, AI 시대 생산성, 효율성을 높이면서 정보보호 시장 활성화에도 도움이 될 수 있는 정책의 변화는 필요해 보인다.

다만, 단편적 대응이 아닌, 데이터 중요도에 기반한 실질적인 효과적 구현이 가능하기 위해서는 많은 시간이 필요해 보인다.

3. 개인정보 동의 관행 개선은 어떻게?

지금까지 관행적으로, 서비스 제공계약에 필요하더라도 정보주체의 동의를 받아야만 하는 문제와 함께 동의만 받으면 개인정보 수집ㆍ이용에 대한 책임이 정보주체에게로 넘어가는 문제를 해소하기 위해, 24년 9월 15일부터 개정된 시행령이 적용되고 있다.

서비스 이용계약 과정에서 신뢰에 기반하여 별도의 동의 없이 개인정보를 이용할 수 있도록 하고, 동의가 꼭 필요한 경우에 한정하여 정보주체로부터 명시적인 동의를 받도록 개선한 것으로, 기존의 동의 체크박스를 최소화할 수 있을 것으로 기대된다.

홈페이지 가입 등 서비스 이용계약과 관련하여 개인정보를 수집ㆍ이용할 때에는 동의 없이 가능하다는 점을 명확히 하고, 필수동의를 받아온 동의내용에 계약 이행 등에 필요한 개인정보가 포함되어 있다면 해당 항목은 삭제하고, 그 외의 개인정보는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 하고 있다.

다만, 개인정보보호위원회 보도자료에는 서비스 제공 과정에서 정보주체의 자유로운 의사에 따른 동의 선택권(선택동의)을 부여하지 않을 경우, 사안에 따라 법 제22조 또는 제15조 위반이 될 수 있다는 점에 유의해야 한다는 점을 명확히 하고 있어 주의가 필요하다.

현장에서는 아직도 개인정보를 수집ㆍ이용할 때 동의를 받아야 하는지, 동의가 필요한 구체적인 상황에서는 어떻게 조치해야 하는지에 대해 많은 혼란이 있는 만큼 빠른 시기에 안착될 수 있도록 개인정보 담당 조직과 관계 기관의 노력이 필요해 보인다.

4. 경기 위축에 따른 보안 리스크 확대

경기 위축 시 정보보호에 대한 투자 축소는 정보보호 분야를 넘어 온라인 시대를 살고있는 모든 이해관계자들에게 직접적이고 중요한 부정적 영향을 초래할 수 있다.

특히, 조직에서 자원 배분의 우선순위가 변하게 되고, 정보보호가 종종 긴급성을 덜 가진 분야로 간주되면서 영향을 받을 가능성이 높다.

이는, 최신 보안 소프트웨어, 하드웨어, 혹은 보안 장비의 업그레이드와 유지보수가 지연될 가능성을 높이고, 시의적절하게 도입이 필요한 시스템에 대한 도입이 제한되면서, 조직의 사이버 공격 대응 능력을 더욱 취약하게 만들 수 있다.

이러한 틈을 타, 경제적 이득을 노린 사이버 공격이 증가가 예상되고, 예산 축소로 인해 보안 체계가 약화된 조직은 사이버 범죄자들의 주요 표적이 되어 피싱, 랜섬웨어, 또는 데이터 유출과 같은 경제적 이득을 위한 공격에 노출될 가능성이 증가할 수 있다.

또한, 인건비 절감을 위해 보안 인력 감축이 이루어질 수 있으며, 이는 조직의 공격 대응 속도와 효율성을 떨어뜨릴 수 있다.

숙련된 인력을 충원하거나, 다른 방식으로 대체하지 못하면 내부 위협 탐지나 사고 대응 시간이 길어지고, 이는 심각한 보안 사고로 이어질 가능성 크다.

단기적으로 예산 절감이 비용 절약으로 보일 수 있으나, 데이터 유출, 서비스 중단, 고객 신뢰도 저하 등은 장기적인 비즈니스 성장에 부정적인 영향을 미치고, 보안 사고가 발생할 경우 이에 따른 사회적 복구 비용은 훨씬 더 클 수 있다는 점을 인식해야 한다.

2025년은 정보보호가 기술 혁신, 사회 혁신의 동반자로 자리 잡을 수 있는 중요한 해가 될 것이다.

AI 활성화 환경과 망분리 완화, 개인정보 동의 관행의 변경은 새로운 가능성을 열지만, 동시에 더 정교한 위협 대응 체계와 정책적 실행이 필요해 보인다.

박나룡

경기 침체라는 외부적 압박과 기술 발전, 규제 변화, 경제적 도전 속에서도 조직과 사회의 신뢰를 지키는 핵심 축으로 자리 잡을 수 있는 2025년을 기대한다.

[글. 보안전략연구소 박나룡 소장 / isssi.org]

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★