사물인터넷 시대 안전망, 융합보안산업
TRANSCRIPT
요 약융합보안산업은 IT융합과 사물인터넷 확산에 따라 미래유망산업으로 대두
● 사이버 공간에 머물던 해킹이 생활에 직접적으로 연관된 기기에 대한 해킹으로
확대됨에 따라 다양한 피해 시나리오가 현실화될 가능성이 있음.
● 융합보안산업은 보안 기술이 IT융합산업에 적용되어 창출되는 제품 및 서비스를 지칭
융합보안산업은 최근 IT산업과 이종 산업의 융·복합화 경향에 따라 다양한 산업
분야에 보안기능이 탑재되면서 시장수요가 급증할 것으로 전망
● 융합보안산업은 산업발전 단계상 초기이고, 신흥국 시장의 수요가 점차 증가하
고 있어 새로운 사업 기회를 제공할 여지가 충분
향후에는 기존 사이버 공간에서의 피해가 물리적인 공간으로 확대되면서 경제
적인 피해규모는 대폭 증가할 것으로 예상
● 국내 융합보안 피해액은 2015년 13조 4,000억원, 2020년 17조 7,000억원,
2030년 26조 7,000억원 정도로 예상되며 국가 신용도 하락, 2차 피해 등을 고려
한다면 더욱 증가할 것으로 예상
● 특정 산업 부문에서 발생한 융합보안 피해는 연관관계를 가진 다양한 산업과 서
비스 부문으로 파급
융합보안산업의 진흥과 산업생태계 조성을 위해서는 총괄적인 거버넌스를 수립
하고 정부의 지속적인 지원 필요
● 국내 IT산업의 인프라를 기반으로 보안산업, IT산업, 기존 주력산업의 연계를 강
화할 수 있는 채널을 마련하고 국제표준제정에 적극적인 참여가 필요
● 융합보안사고 예방 및 사후 대응을 위한 총괄기관 설립 및 관련 법·규정 보완 긴요
제 586 호
( 2 0 1 4 - 1 1 )
2 0 1 4 . 4 . 1 5
사물인터넷 시대 안전망, 융합보안산업
산업경제정보
미 래 산 업
INSIGHT
ndustrynsight
utures
| 02
사물인터넷(Internet of Things) 기술이 확산되면서 보안취약성도
증가
사물이 네트워크에 연결되는 사물인터넷 현상은 다양한 분야에 적용될 것으로 예상
● 시스코(Cisco)는 세계 사물인터넷 기기가 2013년 87억 개에서 2020년 500억 개로
늘어날 것으로 전망
● 자동차, 물류, 의료, 가전, 금융, 전력, 환경 등 다양한 분야에 적용되어 실시간 정보,
원격 제어, 빅데이터 분석 등의 서비스를 제공
다양한 기기들이 인터넷을 통해 연결됨에 따라 보안 취약성에 대한 이슈가 제기
● 사물인터넷의 단말(센서, CCTV 등)은 패스워드 정도의 낮은 보안수준만 적용된 것이
대부분이기 때문에 해킹에 취약
● 보안소프트웨어 기업 시만텍(Symantec)은 2014년 주목해야 할 보안시장 트렌드로
‘사물인터넷의 보안 취약성 대두’를 언급
가상의 사이버 환경이 물리적인 환경으로 확장되면서 다양한 형태의 보안 위협 대두
● 스마트카, u-헬스케어, 스마트홈 등 생활에 직접적으로 연관된 기기에 대한 해킹으로
인해 다양한 피해 시나리오가 현실화될 가능성이 있음.
● 국가의 SCADA(Supervisory Control and Data Acquisition) 시스템을 통해 관리하고 있
는 핵심기반시설인 전력, 가스, 상하수도, 고속전철 등에 대한 해킹 가능성도 제기
● 전산망을 해킹해 취득한 접속 권한으로 개인정보 유출, 악의적 기기 제어, 인프라 시
스템 마비 등의 이차적인 피해 우려
융합보안
산업의
중요성
그림 1 | 융합보안피해 유형
자료 : 산업연구원(KIET).
융합보안 피해
의료정보망해킹
원격의료기기 조작
개인 의료정보 유출
주가 및 잔고 조작
개인 신용정보 유출
금융망해킹
스마트홈 침입
스마트정보가전 해킹
스마트홈해킹
제품의 신뢰성 저하
기업의 생산성 저하
IT융합부문
해킹
고용망 교란
차량 절도
스마트카해킹
대규모 정전
전기요금 조작
스마트그리드해킹
www.kiet.re.kr
03 |
융합보안산업은 IT융합과 사물인터넷 확산에 따라 미래유망산업으로
대두
융합보안산업은 정보보안과 물리보안 간의 융합, 혹은 보안기술이 IT융합산업에 적용되어
창출되는 제품 및 서비스를 지칭
● 2008년 지식경제부는 새로운 트렌드를 수용하여 보안산업의 명칭을 ‘지식정보보안산
업’으로 새롭게 명명하였으며 정보보안, 물리보안, 융합보안으로 분류1)
● 산업별 환경을 고려한 최적화된 융합보안솔루션을 개발하여 제품의 신뢰성을 확보하
고 산업의 생산성을 향상시킬 수 있음.
융합보안산업은 최근 IT산업과 이종 산업의 융·복합화 경향에 따라 다양한 산업분야에
보안기능이 탑재되면서 시장수요가 급증할 전망
● 향후 IT융합 현상이 다양한 산업으로 확산됨에 따라 융합보안산업의 응용 범위도 확대
될 것으로 예상
● 국내외 융합보안시장은 빠르게 성장하고 있으며 물리보안시장보다 정보보안 및 융합
보안시장의 성장률이 높을 것으로 전망
* 국내 융합보안시장은 2010년 약 1조 7,000억원으로 정보보안시장 규모인 1조 3,000억원을 넘
었으며 2018년까지 연평균 32% 성장하여 12조 8,000억원에 이를 것으로 예상2)
1) 정보보안 : 컴퓨터 또는 네트워크상의 정보의 훼손, 변조, 유출 등을 방지하기 위한 보안제품 및 서비스.
물리보안 : 주요 시설의 안전한 운영과 재난·재해, 범죄 등의 방지를 위한 보안제품 및 서비스.
융합보안 : 정보보안과 물리보안 간의 융합 또는 보안 기술이 非 IT기술·산업과 융·복합되어 창출되는 보안 제품 및 서비스.
2) 한국인터넷진흥원, 국내외지식정보보안동향, 2012.
그림 2 | 융합보안산업의 범위
자료 : 산업연구원(KIET).
차량블랙박스
차량통신보안
차량통합 보안관리
의료정보 접근 제어
의료통합정보 보안
원격의료 보안
AMI 암호인증
배전 인터페이스 보안
전력망 침입탐지/차단
가전/건설/국방/조선
산업 보안
스마트카 보안
방화벽, 안티바이러스, Forensic 툴 보안관제, CCTV, 바이오인식
U-헬스케어 보안
지식정보보안산업
융합보안
정보보안 물리보안
스마트그리드 보안 기타 주력산업 보안
| 04
융합보안산업은 미래의 새로운 사업 기회를 제공할 여지가 충분
지식정보보안산업의 수요는 기존 선진국 중심의 시장에서 신흥시장으로 확대
● 현재는 미국과 유럽 위주의 시장 판도이나 신흥시장의 성장 잠재력이 매우 높음.
* 한국인터넷진흥원의 조사에 의하면, 2012년 미국과 유럽이 세계 시장의 89%를 점유하고 있고
시만텍, 시스코, 오라클 등의 글로벌 기업이 보안산업을 주도하고 있음.
● 지역별 시장의 비중은 미국 및 유럽 시장이 감소하고 있으며, 아시아 및 남아메리카의
비중이 증가할 것으로 예상
융합보안산업은 아직 기술개발 초기 및 표준화 단계이며 융합산업별로 표준화 논의가
전개되고 있어 다양한 사업 기회가 존재
● 스마트카, 스마트그리드, u-헬스케어 등 IT융합 분야에서 표준화 논의가 진행 중이며
각 산업별로 다양한 표준화 기구 및 기업이 이해관계자로 참여
● 기존 정보보안산업을 주도하던 기업뿐만 아니라 다양한 중소기업이 기술표준화 작업
에 참여
선진국들은 이미 융합보안을 포함한 지식정보보안 관련 규제와 지원을
추진 중
선진국의 경우 지식정보보안 관련 규제와 지원을 위한 통합적인 조직체계를 갖춤.
● 미국은 국토안보부법에 의거 설립된 국가안보부에서 민·관·군을 구별하여 기관별로
임무를 분담하지 않고 통합적으로 운영
표 1 | 융합보안산업의 기술 표준화 현황
기술 표준화 현황
스마트카
• (유럽) 독일 자동차 업체 중심의 HIS(Hersteller Initiative Software)에서 솔루션
제조사, 칩 제조사들과 스마트카 보안 기술에 대한 사실상의 표준화를 진행하고
있음
•�(일본) 일본 자동차기술회(JSAE)에서 2010년부터 자동차 보안기술 표준화를 추진
•�(국내) 최근 국내 자동차 업계에서도 보안 표준에 대한 대응방안을 마련하고 있
으나 국제 표준 수립을 위한 국내 기업/연구소/대학들의 활동은 미흡
스마트
그리드
•�(해외) 스마트그리드의 보안기술 국제 표준화는 NIST, IEC, NERC, IEEE, ITU-T
등 국제 및 국가 단위 표준기구와 컨소시엄을 중심으로 진행
•�(국내) ‘스마트그리드 국가 로드맵’에 따라 기술표준원, 한국스마트그리드협회,
국가보안기술연구소가 스마트그리드 보안 시험 및 인증 체계를 단계별로 구축
u-헬스케어
•�(해외) 의료정보에 대한 의료기관들의 상호 운용성 및 접속성을 지원하기 위하여
표준 보안 기술을 비롯하여 의학 용어 통일, 메시징 방식 및 인터페이스의 표준화
가 ISO/TC 215(국제 표준화기구 보건의료정보 기술위원회)를 중심으로 진행 중
•�(국내) 한국정보통신기술협회(TTA)에 u-헬스 프로젝트 그룹을 두고 표준화를 추
진하고 있으며, 한국식품의약품안전처에서는 u-헬스케어 의료기기에 대한 평가
가이드라인을 제정하여 u-헬스케어 의료기기에 대한 요구사항을 제시
자료 : 산업연구원(KIET) 취합.
융합보안
관련
국·내외
산업 및
정책 현황
www.kiet.re.kr
05 |
● EU는 집행위원회의 정보사회 미디어국과 유럽네트워크 정보보안청이 사이버 보안과
관련한 역할을 주도적으로 수행
● 일본은 정보보안 정책의 기본 전략을 결정하는 ‘정보보안 정책 회의’를 정례화하고 그
수행 기관으로 내각관방 정보보안센터(NISC)를 설치하여 정보보안 정책을 총괄
세계 각국은 지식정보보안산업을 육성하기 위해 전략적 투자를 추진하고 있으며 특히
정보보호 인력양성을 위해 체계적인 지원을 하고 있음.
● 미국은 사이버보안진흥법(Cyber Security enhancement Act)을 기반으로 지식정보보
안산업 육성을 위해 전략적 투자를 추진하고 있고 정보보호 인력 양성을 위해 다양한 대
학 교육 지원 프로그램*을 운영
* Information Assurance Scholarship Program(IASP), Centers of Academic Excellence in
Information Assurance Education(CAE/IAE), U.S Cyber Challenge Project 등
● EU는 공동 연구개발정책인 7차 프레임워크 프로그램(7th Framework Programme)에
서 지식정보보안 분야에 약 9,000만 유로의 예산을 투입
● 일본은 2010년 ‘국민을 지키는 정보보안 전략’을 발표하고 ‘정보보안 정책 회의’*를
통해 국가 정보보안 관련 전략 수립
* 2012년 6월 회의에서 정보보안로드맵을 작성하여 4대 전략 분야와 12대 과제3)에 대한 구체적
인 목표와 시기를 명시하였으며 2013년 3월 회의에서 민·관 통일적·상호보완적인 정보보안 정
책 추진을 주 내용으로 하는 아베 정부의 ‘새로운 정보보안 전략’을 수립
우리나라는 지식정보보안 총괄기관이 없고 정부의 지속적인 지원
역시 부족한 실정
국내의 정보보안 분야 관리·감독 체계는 분야별로 분산되어 있어 국가 수준의 복합적
보안사고 발생 시 기관 간의 정책 혼선 우려
● 사이버 보안을 위해 국가·공공 분야는 국가정보원의 국가사이버안전센터, 민간 분야
는 방송통신위원회의 한국인터넷진흥원 인터넷침해사고대응센터, 국방 분야는 국군사이
버사령부에서 각각 분야별 임무를 분담하고 있음.
● 국가적인 중요 사이버사고 발생 시에는 국가정보원, 국방부, 미래부 등 범정부 차원에
서 ‘민·관·군 합동대응팀’을 임시 소집하여 후속 조사를 하고 있으며 그 외의 사고에는
‘민·관 합동조사단’이 활동하는 것을 원칙으로 하나 원활히 운영되고 있지 않음.
3) 1. 정보시스템 전체의 안정성 확보 : ① 오프라인과 온라인 공간이 융합된 차세대 네트워크 정보보안 기반 기술 구현, ② 시
스템의 보안 설정을 상위에서 하위까지 자동 보장, ③ 피해 자동복구가 가능한 컴퓨터 네트워크 구축, ④ 신체 정보를 컴퓨터
에서 관리하는 ID관리와 생태 정보를 통합하는 시스템 설계 기술 구현, 2. 공격자 행위 기반 제로데이 공격 방어 : ⑤ 공격자의
행동 분석에 의한 예방 기술 구현, ⑥ 대규모 네트워크의 광역 관측 기술과 멀웨어(Malware) 분석 기술 통합, 3. 개인정보의 유
연한 관리 : ⑦ 개인 정보의 활용을 촉진하는 자기정보 통제 기술 구현, ⑧ 포렌식 지원을 위한 데이터 관리 및 추적 기술, ⑨
IT 리스크 관련 이론 및 실무의 체계화, 4. 연구개발의 촉진 기반 확립 및 정보보안 이론 체계화: ⑩ 정보보안 연구기반 체계화,
⑪ 보안 부품이 정확하게 설치되었는지 보장하는 제품 평가 인증 기술 연구, ⑫ 정보보안을 위한 암호화 기술 연구.
| 06
지식정보보안과 관련된 산업진흥정책을 마련하고 있으나 지속적인 투자가 이루어지지
못하고 사이버사고 발생 후의 일시적인 수준에 그치고 있음.
● 지식경제부에서 ‘지식정보보안산업 진흥 종합계획 Securing Knowledge Korea 2013
(2008~2013)’을 추진하였고, 이를 보완하여 미래창조과학부에서 ‘정보보호산업 발전
종합대책(2013~2017)’을 발표하였으며 정보보호산업진흥법(안)4)을 추진 중
● 정보보안분야 예산은 2009년 7.7 DDoS 사이버 공격으로 IT 전체 예산의 8.2%로 상
승하였다가 국민적 관심이 떨어지면서 2011년에는 6.2%로 감소, 이후 사이버사고를 겪
으면서 2012년에 IT 예산의 8.1%까지 다시 상승
피해범위가 물리 공간으로 확대되면서 경제적 피해규모는 대폭 증가할
것으로 예상
융합보안 관련 해킹 가능성에 대한 연구가 보안관련 연구소를 중심으로 이루어지고 있
으며 실제 다양한 피해 사례가 보고되고 있음.
● IT융합 정도가 높고 사물인터넷의 활용도가 높은 스마트카, 스마트그리드, 의료정보망,
스마트홈에 대한 해킹 시연을 하거나 사고 사례가 보고되고 있음.
● 융합보안 사고는 전체 정보보안 사고에서 비중이 낮으나 향후 빈도수가 증가할 뿐만
아니라 사고당 피해 규모가 증가하고 다양한 분야로 확대될 것으로 예상
전산망이 확대되면서 사이버 해킹에 따른 경제적인 피해 규모가 증가하고 있으며 국내
에도 매년 사이버 공격에 따른 피해 사례가 증가하고 있음.
● 사이버범죄 피해 규모는 계속 증가할 것으로 예상되며 피해 양상은 더욱 다양화될 것
으로 예상
* 2013년 노턴 보고서(Norton Cybercrime Report 2013)에 따르면 전세계 사이버 범죄 피해 규모
가 연간 1,130억 달러에 달했으며 매일 100만 명 이상이 사이버 범죄 피해를 입은 것으로 나타남.
4) 한국인터넷진흥원, 정보보호 산업의 진흥에 관한 법률 제정 방향, 2013.
표 2 | 지식정보보안 관련 기관 및 정책
총괄 및 산하기관 산업진흥정책
미국국가안보부 산하 국가사이버안보센터(NCSC), 국가
사이버안보처(NSCD), 국가기반보호센터(NIPC)
사이버보안진흥법(Cyber Security
enhancement Act)
EU정보사회 미디어국(ISMDG), 유럽네트워크 정보보
안청(ENISA)
신뢰와 보안을 위한 IT 프로젝트 (ICT
projects in Trust & Security)
일본
내각관방 정보보안센터(NISC)에서 총괄 조정하며
경찰청, 방위청, 총무성, 경제산업성 등에서 정보
보호 정책 추진
정보보안 연구개발 로드맵
한국
국가정보원의 국가사이버안전센터, 한국인터넷진
흥원의 인터넷침해사고대응센터, 국군사이버사령
부에서 분야별로 담당
정보보호산업 발전 종합대책 (2013~
2017)
정보보호산업진흥법(안) 추진
자료 : 산업연구원(KIET).
융합보안
관련 사고의
경제적
피해규모
www.kiet.re.kr
07 |
● 국내에서는 정부·기업의 홈페이지와 금융 통신망에 대한 공격이 증가하고 있으며 정
보보안의 실제 피해 빈도와 규모가 확대되고 있음.
* 2003년 1·25 인터넷 대란(1,600억원)을 시작으로 2009년 7.7 DDos 공격(363~544억원),
2011년 4월 농협 전산망마비(150억~200억원), 2013년 3·20 전산 대란, 6.25 사이버 공격
(8,823억원) 등 대규모 통신망에 대한 사이버 공격이 증가5)
아직까지는 융합보안 피해 사례가 많지 않기 때문에 경제적인 피해규모 측정에는 어려움
이 있으나 기존의 보안 피해규모보다 증가할 것으로 예상
● 융합보안 사고가 실제 경제적인 피해로 이어진 경우는 많지 않으나 향후 발생 시 기존
의 정보보안 피해보다 광범위한 피해가 발생하고 피해규모 역시 대폭 증가할 것으로 보임.
5) 한국인터넷진흥원, 현대경제연구소, KAIST, 농협 등의 피해액 산출을 정리
표 3 | 융합보안 해킹 사례
최근 사례
스마트카
스마트
그리드
•�‘블랙햇 보안 컨퍼런스 2009’에서 보안 업체인 아이오액티브는 해커가 스마트그리
드로 연결된 전기 계량기 한곳에 침투해 컴퓨터 바이러스를 심고, 다른 계량기로
전파시켜 건물 전체의 모든 스마트 계량기를 조종하면서 전기 공급을 끊거나 과부
하를 일으켜 도시 전체를 정전시킬 수 있음을 보임.
•�2010년 6월 발견된 웜바이러스인 스턱스넷(Stuxnet)은 주로 지멘스사의 SCADA
시스템 장비를 공격하는 악성 소프트웨어로 이란의 핵발전 시설의 핵 농축 원심분
리기를 정지시켜 파괴했다고 보고됨.
의료정보
•�2009년 해커가 버지니아주 보건국 데이터베이스를 해킹, 800만명 환자 의료정보
에 대한 대가로 1,000만 달러 금품 요구
•�2013년 보안업체 비스캔(BitScan)에 따르면 악성코드에 감염된 의료기관 PC를 통
해 국내 환자들의 의료정보가 해외 서버로 유출
스마트홈
•�정보보안업체 ‘프루프포인트(Proofpoint)’는 2014년 1월 17일 ‘씽봇(Thingbot)’이라
는 해킹툴이 사물인터넷 네트워크인 스마트홈 네트워크에 침입해 원격으로 10만
여개의 스마트 TV, 냉장고 등 가전제품에 설치된 것으로 파악
자료 : 산업연구원(KIET) 취합.
•�2013년 10월 고려대 정
보보호대학원 보안연구
실과 보안업체 에스이웍
스가 스마트폰으로 국내
자동차 3종에 대한 해킹
을 시연하였음.
•�2010년 텍사스주에서
차 내비게이션을 해킹해
100여 대의 엔진과 경적
을 마비시킨 사건, 2013
년 6월 캘리포니아주에
서 스마트키를 해킹해
차문을 열고 물건을 훔
친 사건 발생
• 2013년 8월 해커 콘퍼런스에서 닌텐도의 휴대용 게임기로 2010년형 도요타 프리
우스와 포드 에스케이프가 해킹되는 시범을 보임.
자료 : http://www.caranddriver.com/features/can-your-car-be-hacked-feature, 2014년 4월 방문.
스마트카 해킹 가상 시나리오
TELEMATICS SYSTEM
OBD-II
DOOR LOCKS
MP3 MALWAREUNAUTHORIZED APPS
KEY FOB
| 08
● 국내 융합보안 피해는 GDP 규모 및 인터넷 보급률을 기초로 대략적으로 추정하였을
때 2015년 13조 4,000억원, 2020년 17조 7,000억원, 2030년 26조 7,000억원 정도로
예상되며 국가 신용도 하락, 2차 피해 등을 고려한다면 더욱 증가할 것으로 예상6)
융합보안 피해는 연관관계를 가진 다양한 산업과 서비스 부문으로 파급7)
6) CSIS(Center for Strategic and International Studies)는 McAfee와의 공동연구*에서 일반소비자들의 금융 피해 및 개인정보
도용과 기업의 기밀 유출, 주가 하락, 이미지 손실 등을 종합하여 피해 범위와 피해액을 분석한 결과 피해 규모의 상한선을 국
가 GDP의 0.5~1% 수준으로 추정. Global Insight의 경제 예측 시스템을 통해 추정된 국가 GDP 자료**에 사이버사고 피해 규
모 상한선 비중을 적용한 규모를 우리나라 사이버 사고에 따른 최대 피해액으로 간주
*CSIS-McAfee, The economic impact of cybercrime and cyber espionage, 2013
**IHS Global Insight: World Industry Service, Country & Industry Forecasting DB 자료
7) 경제시스템 내의 다양한 요소 사이의 연관관계를 고려하기 위해 피해추정 모형은 IIM(Inoperability Input-Output Model)*을
사용하였고, 자료는 2010년 한국은행 산업연관표의 국산거래표를 사용함. IIM은 경제 요소의 일부분이 테러, 자연재해 등에 의
해 피해를 입었을 경우, 연관관계가 있는 다른 부분에 미치는 직·간접적인 영향을 분석하기 위한 방법이며 위험관리를 위한
최적 투자량을 산출하기 위해 사용됨.
*서승우 (2008), 보안경제학, 서울대학교 출판문화원.
그림 4 | 제품의 보안사고로 인한 경제적 피해 추정 단위 : 백만원
무선통신 단말기5,334,252(34%)
전기 및 전자기기5,080,667(32%)
부동산 및 사업서비스 2,135,145(13%)
화학제품957,193(6%)
도소매 639,321(4%)
제1차 금속제품572,313(4%)
금융 및 보험212,499(1%)
<스마트폰 보안 피해 총액 : 약 16조원>
<자동차 보안 피해 총액 : 약 24조원>
그외 산업1,003,7096%
자동차13,590,158(56%)
제1차 금속제품2,691,570 (11%)
화학제품2,532,572(10%)
부동산 및 사업서비스1,367,252(6%)
전기 및 전자기기1,528,205(6%)
도소매 694,186(3%)
석유 및 석탄제품 339,819(1%)
그외 산업1,578,7267%
자료 : 산업연구원(KIET).
주 : 보안사고로 국산 휴대폰과 자동차의 최종수요가 각각 10% 감소한 경우를 가정.
www.kiet.re.kr
09 |
제조업에서 보안사고가 발생한다면 제품의 신뢰성을 떨어뜨리고 해당 제품에 대한 수요를
감소시킬 우려가 있음.
● 만일, 스마트폰 또는 스마트카의 보안사고가 발생하여 국산 휴대폰의 국내 최종수요
가 10% 감소한다면 연간 경제적 손실은 약 16조원에 이를 것으로 추정되며, 국산 자동
차의 경우 최종수요가 10% 감소한다면 약 24조원 이상의 손실 발생8)
서비스산업에서 보안사고가 발생한다면 해당 부문을 일정 기간 서비스불가(inoperability)
상태로 만들고 간접적으로 다른 산업 부문에도 영향을 미치게 됨.
● 만일, 금융기관에 대한 보안공격으로 인해 금융산업에서 1%의 지장을 받게 된다면 금융
산업 자체에 1조 7,000억원 이상의 피해가 예상되며, 전산업에 걸쳐 간접적으로 6,000억
원 이상의 경제적 손실이 발생할 것으로 추정9)
통신, 교통 또는 전력망 등의 인프라시설에서 발생한 융합보안 피해는 국가수준의 막대한
경제적 손실로 이어질 수 있음.
● 만일, 보안사고가 발생하여 우리나라의 인터넷망에 1%의 작동불가 상태가 발생한다면
전산업에 걸쳐 약 1조 4,000억원에 육박하는 생산차질이 발생할 것으로 추산10)
● 이것은 반대로 1조 4,000억원 이하의 보안시스템에 대한 투자가 국가 통신망의 안정
성을 1% 높일 수 있다면 그에 대한 충분한 투자가치가 있음을 시사
8) 휴대폰의 경우, 산업연관표의 403 기본부문 중 260번 무선통신단말기를 통해 피해를 추정하였고 자동차의 경우,
274~280번을 통합하여 자동차 항목을 구성한 후 피해를 추정
9) 산업연관표의 403 기본부문 중 348~353번의 금융 및 보험관련 항목을 통합하여 금융산업을 구성한 후 피해를 추정
10) 인터넷의 경우, 산업연관표의 403 기본부문 중 초고속망서비스(343번), 부가통신(344번) 및 정보서비스(345번)을 통합하
여 인터넷 항목을 구성한 후 피해를 추정.
그림 5 | 인터넷 마비로 인한 산업별 생산차질비율(Inoperability)11)
0.2
0.18
0.16
0.14
0.12
0.1
0.08
0.06
0.04
0.02
0
농림수산품
광산품
음식료품
섬유 및 가죽제품
목재 및 종이제품
인쇄 및 복제
석유 및 석탄제품
화학제품
비금속광물제품
제1차 금속제품
금속제품
일반기계
전기 및 전자기기
정밀기기
수송장비
기타제조업제품
전력, 가스 및 수도건설
도소매
음식점 및 숙박
운수 및 보관
통신 및 방송(인터넷 제외)
금융 및 보험
부동산 및 사업서비스
공공행정 및 국방
교육 및 보건
사회 및 기타서비스
기타
생산차질비율(%)
자료 : 산업연구원(KIET).
주 : 1년 중 3.65일(1% inoperability) 동안 인터넷망이 마비된 경우를 가정.
11) 생산차질비율( )은 예정되었던 생산량( )과 피해 발생 후 감소된 생산량( )과의 차이를 의미함.
| 10
● 인터넷이 마비될 경우, 생산차질비율 관점에서 보면, ‘부동산 및 사업서비스’ 부문의
생산차질이 가장 클 것으로 추정
● 손해비용 관점으로 보면, ‘전기 및 전자기기’ 부문에서 약 3,000억원에 이르는 가장
큰 경제적 손실 발생
세계 수준의 국내 IT인프라를 활용하여 융합보안산업을 선도하기 위한
노력 필요
국내 IT산업의 인프라를 기반으로 산업 간 전략적인 협업 필요
● 국내 주요 IT산업은 새로운 IT기술을 흡수하는 속도가 빠르고 세계 수준의 IT인프라를
갖추고 있어 융합보안 기술의 테스트베드(TestBed) 역할을 할 수 있음.
● 융합보안 분야는 보안산업, IT산업, 기존 주력산업의 연계를 통해 융합보안기술의 빠
른 적용과 제품 상용화가 필요
융합보안산업은 산업 내에서 통용되는 표준기술의 선점이 중요하므로 국제표준을 선도
하기 위한 방안을 마련해야 함.
● 스마트카, 스마트그리드, u-헬스케어 등 IT융합 신산업 분야의 기반이 되는 보안기술
에 대한 국제표준 제정 활동이 활발히 이루어지고 있음.
● 국제기구나 해외 업체들은 다양한 표준 수립 활동을 하고 있으나 국내의 경우 일부
분야에서는 표준이 마련되어 있지 않고 정해진 국제표준을 따라가는 상황
● 국제표준 제정에 적극적으로 참여하여 보안표준에 선제적으로 대응하기 위한 산업계
와 정부의 협력이 필요
● 정보보안 분야에 대한 신흥국의 수요가 증가하고 있으므로 국제적으로 통용되는 표준
기술을 개발하거나 빠르게 제품에 적용하여 적극적으로 해외 진출을 도모
지식정보보안 관련 법·제도 보완과 보안산업 진흥을 위한 지원전략
시급
지식정보보안의 총괄기관 설립을 통해 융합보안을 포함한 지식정보 분야 거버넌스 수립
필요
● 향후 보안피해는 국가 수준에서 전방위적으로 확산될 수 있어 방재·안전시스템과 유
기적으로 결합하여 사고 피해를 종합적으로 관리할 수 있는 기관 설립이 시급
융합보안제품 및 기술발전을 고려한 법안 마련 및 산업진흥법 제정 필요
● 기존의 법안은 주로 정보보안에만 초점을 맞추고 있고, 개인정보보호 역시 금융 분야
와 같은 특정 분야에만 한정되어 있음.
정책적
시사점
www.kiet.re.kr
11 |
● 산업별·제품별 보안인증제도, 보안 사고에 대한 보상 및 보험 관련 규정, 국가 핵심기
반시설에 대한 보안규정 강화 등 융합보안 관련 법률 마련 필요
* 현행 보안적합성 검증(CC 인증), 정보보호 관리체계(ISMS) 인증, 개인정보보호 관리체계(PIMS)
인증 등이 있으나 세부검증 사항에서 융합보안 분야에 대한 보완이 필요
● IT산업 전체의 육성에 초점을 맞춘 법령인 ‘정보통신진흥 및 융합활성화에 대한 특별
법’*과 ‘정보통신산업 진흥법’**이 있으나 정보보안 분야를 강화하는 방향으로 개정이 필
요하며 현재 추진 중인 ‘정보보호산업진흥법(안)’의 제정이 시급
* ‘정보통신 진흥 및 융합 활성화에 관한 특별법’의 기본계획에 ‘6.정보보호와 정보보안에 관한 사
항’이 포함되어 있으나 3년 단위로 계획이 수립되므로 정보보호산업 진흥 체계 확립에는 한계
** ‘정보통신산업 진흥법’의 ‘제3장 지식정보보안산업의 육성’이 정보보안분야 관련 사항이지만
융합보안에 대한 고려가 되어 있지 않고 지식정보보안 컨설팅 사업에 치중되어 있음.
지식정보보안산업에 대한 지속적인 투자를 통해 보안 피해를 사전에 예방해야 함.
● 국내 지식정보보안산업은 선진국에 비해 기술력이 부족하고 규모가 작은 상황이므로
산업 생태계 육성을 위해서 기업에 대한 초기 지원이 필요
* 미국을 기준으로 국내 지식정보보안산업 기술 수준은 2012년 90.4% 수준12)으로 추정
되며 기업 현황을 보면 100인 미만 기업 83.7%, 자본금 50억 미만이 87.9%를 차지13)
12) 한국산업기술평가관리원, IT 기술수준조사 분석보고서, 2010.
13) 한국인터넷진흥원, 국내 지식정보보안산업 실태조사, 2012.
표 4 | ‘정보보호산업진흥법(안)’ 주요 내용
주요 내용
정보보호산업
정의
정보보호제품을 개발·생산·유통하거나 정보보호 컨설팅 등 관련 서비스를 제
공하는 산업으로 기술의 적용영역, 제품의 특성 등에 따라 정보보안, 물리보
안, 융합보안으로 분류
정보보호산업
진흥계획 수립
정보보호산업의 체계적·종합적 진흥을 위한 정부의 추진계획 수립 근거 마련
진흥계획의 원활한 시행을 위해 필요재원 확보 규정 명시
정보보호산업
활성화 정책
정보보호 제품·서비스의 수요 증대를 위한 공공수요 촉진 규정 마련
민간 기업의 정보보호 책임 강화를 위한 취약점 분석·평가 및 공개제도 도입
융합형 정보보호 기술 및 서비스 개발 촉진을 위한 시책 수립·시행
정보보호산업
진흥 기반 조성
정보보호산업 기술 개발, 투자 촉진 및 표준화 추진 사업 근거 마련
정보보호산업 전문인력 양성을 위한 시책 수립
정보보호제품, 기술 및 서비스 등의 품질인증
국제협력 추진, 국제교류 및 국제공동연구개발 사업 지원
체계적 사업 지원을 위한 전담기관 운영
정보보호기업
지원방안
우수 정보보호제품, 서비스를 지정하여 우선구매 등 지원
우수 정보보호 기업에 대해 자금융자, 국가기관 등과의 사업계약 체결 등 지원
정보보호기업에 대한 자금융자, 수출·세제 지원 근거 마련
정보보호서비스 전문업체 지정·관리제도 도입 및 관련 협회 설립 근거 마련
정보보호기업이 생산한 제품에 대한 영업이익 침해 금지
정보보호 제품·
서비스 이용자
보호
정보보호산업 관련 제품, 서비스 이용자의 기본 권익 보호를 위한 시책 수립
이용자 보호지침의 제정 및 준수 권장
공공기관 등의 정보보호의무 준수를 위한 정보보호 인력·장비 구비 지원
자료 : 한국인터넷진흥원, 정보보호산업의 진흥에 관한 법률 제정 방향, 2013.
| 12
본 자료는 산업연구원 홈페이지 www.kiet.re.kr을 통하여 항상 보실 수 있습니다.
이미 발간된 산업경제정보 및 더욱 상세한 관련 보고서도 보실 수 있습니다.
발행인 김도훈 / 편집인 유진근 / 편집·교정 조계환
130-742 서울특별시 동대문구 회기로 66
Tel : 3299-3114 Fax : 963-8540 www.kiet.re.kr
황 원 식(부연구위원·미래산업연구실)·[email protected] 02-3299-3277
김 승 민(연구원·미래산업연구실)[email protected]
● 현재 IT융합 분야에 치우쳐 있는 정부의 R&D지원을 융합보안 분야로 일부 전환하고
특히 지능형 교통 시스템(ITS)이나 SCADA 시스템과 같은 인프라시설 은 국가적인 투자가
요구됨.
● 지식정보보안산업 진흥 종합계획(2008~2013)의 성과를 평가하여 기업지원 및
R&D지원 시 애로사항을 파악하고 후속 지원정책인 정보보호산업발전 종합대책
(2013~2017)의 정책실행 단계에서 효율적인 지원을 통해 목표 달성을 위한 노력 필요
산업별 융합보안전문가 육성을 통해 국가안보와 고용문제 해결을 위한 노력 필요
● 산업별로 특수한 환경에 대한 지식을 가진 보안 전문가를 육성하여 국가안보 문제와
고용문제를 동시에 해결하기 위한 방안 마련
● 융합보안산업 분야는 IT 인력에 대한 고용효과가 높고 보안 유지·보수 인력까지 고려
한다면 투자 확대 시 관련 인력에 대한 수요가 증가
* 2010년 국산거래표를 활용하여 산업연관분석을 한 결과 융합보안산업의 고용효과는 취업계수 기
준으로 10억원 투자 시 4.6명으로 나타나 제조업 평균인 2.2명에 비해 월등히 높은 것으로 나타남.14)
● 반면, 수요측면을 고려하지 않은 획일적인 인력양성 정책은 오히려 보안인력의 초과
공급을 유발할 우려가 있음.
● 보안의 중요성에 대한 기업의 인식을 환기시키고 기업의 융합보안 관제 시스템 도입
이나 보안전문가 채용을 법제화할 필요가 있음.
* 스위스 국제경영개발연구원(IMD)에서 매년 발표하는 국가경쟁력지수 중 “사이버 보안이 기업에서
다뤄지는 정도(Cyber Security is being adequately addressed by corporations)”는 한국이 2013년
38위로 평가
14) 융합보안산업은 소프트웨어산업백서*의 소프트웨어 내의 산업별 시장규모와 산업연관표**의 총산출 비중을 이용하여 ‘부
동산 및 사업서비스’, ‘전기 및 전자기기’, ‘수송장비’ 부문으로부터 재구성하였음.
*정보통신산업진흥원, 2010소프트웨어산업백서, 2010
**한국은행경제통계시스템, 2010년 산업연관표 국산거래표 기준