FCC, 사이버 보안 분야 민간에 맡긴다

가 +
가 -

미국 연방통신위원회(FCC)가 보안 분야를 민간에 맡긴다는 방침을 발표했다.

톰 휠러 FCC 위원장은 사이버 보안 분야를 ‘미국 기업 연구소(AEI)’에 맡길 계획이라고 6월12일 오전(현지시각) 발표했다. AEI는 미국 공화당 쪽이 만든 민간 정책연구기관이다. FCC가 아니라 민간 부문이 보안영역을 이끌어나가도록 하겠다는 얘기다.

FCC는 보안 문제에 직접 개입하지 않고 한발 물러서 보안회사를 관리·감독하는 역할을 맡는다. 민간 분야가 제대로 대응하지 못할 경우에만 손수 문제 해결에 나선다.

톰 휠러 미국 연방통신위원회(FCC) 위원장 ▲톰 휠러 미국 연방통신위원회(FCC) 위원장 (출처:위키미디어 CC-PD)

‘테크크런치’는 FCC의 결정이 미국 보안 시장 지형을 급격히 바꿀 것이라고 내다봤다. 톰 휠러 위원장은 민간 부문이 보안 분야를 이끌면 “전통적인 규제보다 훨씬 역동적으로 변할 것”이라며 “경쟁적인 시장에서 변화와 혁신을 가속해 FCC 정책을 만족하면서 보안 문제에 해결책도 만들어낼 것”라고 말했다.

미국 보안 시장은 이미 민간회사를 중심으로 돌아간다. 정부가 내놓은 보안 기준이 있기는 하지만, 민간 회사가 만든 보안 표준이 더 널리 쓰인다. 예를 들어 신용카드 데이터 보안 기준으로 가장 널리 쓰이는 ‘PCI-DSS’는 대형 신용카드 회사가 손잡고 만든 것이다. 정부가 내놓은 것보다 민간 기준이 한층 엄격하다. 새로 나타난 보안 위협에도 빨리 대비책이 나온다. 만일 새로운 위협에 어떤 보안 기준이 제대로 대응하지 못하면 이를 버리고 다른 기준을 채택하면 된다. 시장에서 경쟁이 일어나기 때문에 보안성이 자연스레 높아지는 구조다.

톰 휠러 위원장은 보안 분야를 민간에 맡긴다고 공표함으로써 이런 상황을 공식적으로 인정하고 민간 보안회사에 힘을 실어준 것이다. 이동산 페이게이트 기술이사(CTO)는 “미국 정부도 정부 주도로는 새로 나타나는 보안 위협을 못 따라간다는 사실을 인정한 것”이라고 풀이했다.

이에 비해 국내 보안 시장은 정부 규제를 중심으로 작동한다. 정부는 어떤 상황에 어떤 보안기술을 사용하라고 구체적인 기준을 제시하고 기업은 이것만 따른다. 이런 구조가 문제가 되는 건 정부 기준 이상으로 더 보안 기술이 발전할 여지를 없애기 때문이다.

기업 입장에서는 정부가 못박아 둔 기준만 충족하면 된다. 정부 기준 이상으로 보안성을 강화할 이유가 없다. 예컨대, 기업이 고객 개인정보를 해킹당해도 정부가 시키는 대로 방화벽을 갖추고 보안 인력을 뒀다면 소송을 당해도 법적 책임을 지지 않는다. 고객을 보호하기보다 기업 스스로를 보호하는 비용이 적게 든다면 어느 기업이 비용을 더 들이면서 보안성을 강화할까. 정부가 마련한 기준만 지키면 ‘면죄부’를 주는 국내 보안 시장 구조는 보안기술이 발전하지 못하게 발목을 잡는다.

이런 문제를 해결하기 위하서는 미국과 마찬가지로 보안 분야를 민간에 맡기고 정부는 큰 틀에서 보안회사를 관리하는 일을 해야 한다. 이동산 이사는 “회계 감사체계처럼 정부는 보안 생태계가 유지되도록 관리하는 역할을 하고 구체적인 내용에는 간섭하지 않는 편이 바람직하다”라고 말했다.