베트남의 새로운 시대에 데이터 보안을 보장하는 방향은 무엇인가?

9월 25일 Nhan Dan 신문에서 "국가 발전 시대의 데이터 보안 및 네트워크 보안"을 주제로 한 세미나가 개최되었으며, 전문가들은 베트남의 데이터 보호 및 네트워크 보안에 대한 위험과 권장 사항을 지적했습니다.

데이터 보안은 영토 주권을 보호하는 것만큼 중요합니다.

세미나에서 당 중앙위원회 위원이자 중앙정책전략위원회 부위원장인 팜 다이 즈엉(Pham Dai Duong) 씨는 오늘날 디지털 전환이 도처에 존재하며 필연적인 시대적 흐름이 되고 있다고 말했습니다. 디지털 전환은 디지털 정부, 디지털 경제 등 여러 분야와 긴밀히 연관되어 있으며, 특히 데이터는 국가적 자산으로 여겨지는 매우 중요한 요소입니다.

팜 다이 즈엉(Pham Dai Duong) 씨는 데이터 보안이 해상 및 육지에서 영토 주권을 보호하는 것과 동일한 의미를 지닌다고 강조했습니다. 중앙 정부는 사이버 공간에서의 주권 보호를 항상 중요하게 여기며, 이를 국가 안보 확보에 있어 지속적이고 불가분의 과제로 간주하고 있습니다.

데이터는 국가 전략적 자산으로 간주되므로 데이터 보안과 네트워크 보안을 위한 전략이 필요합니다. 네트워크 보안과 데이터 보안을 확보하는 데 있어 당과 국가의 관점은 정책 수립 과정에서 수동적인 방어적 사고에서 벗어나 위험을 조기에 파악하고 선제적으로 대응하는 선제적 조치로 전환하는 것이 필요하다는 것입니다.

두옹 씨는 이것이 데이터 보안을 보호하는 데 매우 중요한 요소이며, 국가 기관뿐만 아니라 데이터를 직접 사용하고 활용하는 주체인 기업과 일반 국민의 책임이라고 말했습니다. "과거에는 법이 예방 수준에 그쳤다면, 오늘날 기술의 급속한 발전에 따라 리더십과 선제적 대응의 역할을 강조할 필요가 있습니다."

국가데이터협회( 공안부 ) 데이터 보안부장 응오 뚜언 아인 씨는 데이터 공유가 시스템에서 가장 중요한 요소라고 말했습니다. 많은 유출 사고는 매우 기본적인 취약점, 특히 구성, 저장소 관련 취약점, 백업 관련 취약점에서 비롯됩니다.

"우선, 구성 문제입니다. 데이터가 '집'에 있다고 가정해 보겠습니다. 하지만 데이터는 안전하게 잠겨 있지 않습니다. 매우 중요한 정보를 담고 있지만 취약한 암호나 기본 설정을 사용하거나 인터넷에 직접 노출되는 시스템들이 있습니다. 서비스가 인터넷에 연결되면 몇 분 후 전 세계적으로 자동 스캐닝 및 악용 도구가 실행됩니다. 그렇기 때문에 작은 허점이라도 있는 많은 시스템에 불법적으로 접근할 수 있습니다."라고 투안 안 씨는 말했습니다.

응오 뚜언 안 씨에 따르면 또 다른 위험은 광범위한 저장 공간입니다. 많은 저장 장치에 너무 많은 양식과 불필요한 데이터가 저장되어 저장 비용이 증가하고 위험 영역이 확대됩니다. 저장 시스템이 손상되면 전체 데이터 블록이 노출될 수 있습니다. 새롭게 완성된 개인정보보호법에 따라 위험 발생 시 저장 장치는 법적 책임을 지게 됩니다.

실제로 투안 안 씨에 따르면 어떤 시스템도 100% 보안을 보장할 수는 없습니다. 조사에 따르면 악의적인 공격자가 공격할 동기가 있는 경우, 시스템에 취약점이 있을 경우 성공률이 매우 높습니다. 따라서 다층적인 방어 조치가 필요하며, 백업은 필수 요소 중 하나로 간주됩니다.

토론에서 Verichains Security Company의 설립자이자 회장인 응우옌 레 탄(Nguyen Le Thanh) 씨는 일반적으로 시스템이 취약점에 의해 공격받는 경우가 많으며, 이는 시스템이 너무 오래되었거나 구성이 부주의하거나 보호 오류가 원인일 수 있다고 설명했습니다. 때로는 이러한 취약점이 잘못된 권한 부여, 사용자 오류 또는 시스템 관리 오류로 인해 발생할 수도 있습니다.

공격자는 데이터베이스 관리 시스템의 이러한 결함과 약점을 먼저 찾아 공격할 것입니다. 시스템 구성 요소가 잘 구축되고 제어된다면, 공격자는 보호하기 어려운 취약점을 계속해서 찾을 것입니다.

이때 사용자와 관리자는 공격자의 표적이 될 것입니다. 각 개인은 자신의 역량과 개인 보안 의식에 따라 자신의 정보를 관리, 보호 및 보안할 수 있는 역량을 갖추고 있습니다.

또 다른 문제는 사기성 개인이나 회사가 파트타임 직원이나 협력자를 모집하는 현상에서 비롯됩니다. 일정 기간 가입 후, 이러한 사기꾼들은 사용자의 정보 시스템에 침투하여 사용자 자신도 모르게 악성코드에 감염됩니다. 탄 씨는 "많은 사람들이 어떤 회사에 입사 지원을 했지만, 일정 기간 근무 후 개인 정보가 공격을 받는 사례가 있었습니다."라고 밝혔습니다.

마지막으로, 탄 씨에 따르면, 데이터 시스템에 침투하는 주체와 조직은 제3자로부터 공격을 받을 수 있습니다. 이들은 시스템과 관련된 제품, 서비스 및 솔루션을 제공하는 파트너입니다. 정보 시스템을 구축하려면 여러 주체가 제공하는 기술을 사용해야 하며, 때로는 모든 기술을 완벽하게 통제하고 제어할 수 없는 경우도 있습니다. 제3자는 부주의할 수 있으며, 이는 앞서 언급한 주체들이 공격할 수 있는 기회입니다.

실제로 이 전문가에 따르면, 제3자 공격은 사용자 공격이나 시스템 취약점에 대한 직접 공격보다 더 많고 효과적입니다.

이는 제3자 의존도를 줄이기 위한 기술적 자율성이 매우 중요하다는 것을 보여줍니다. 하지만 이는 쉬운 일이 아닙니다. 시스템 구축에는 여러 단계가 필요하고 다양한 구성 요소의 참여가 필요하며, 모든 것을 우리 스스로 구축하는 것은 매우 어렵기 때문입니다.

탄 씨는 어떤 시스템도 절대적으로 안전할 수 없다는 것을 명확히 하는 것이 필요하다고 생각합니다. "현재 대부분의 현대 사이버 보안 공격 부대는 매우 체계적으로 조직되고 운영됩니다. 그들은 동기, 목표, 그리고 풍부한 재원을 가지고 있습니다. 따라서 우리는 사고를 달리하여 전체 정보 시스템에서 가장 중요하고 필요한 "자산"이 무엇인지 판단해야 합니다. 또한 사고 발생 시 데이터 손실이 크지 않고, 손실된 정보의 가치가 크지 않으며, 심각한 피해를 입히지 않도록 다른 보호 조치들을 활용해야 합니다."라고 탄 씨는 말했습니다.

데이터 거버넌스 및 사이버 보안을 담당할 일반 엔지니어가 필요합니다.

당 중앙위원회 위원이자 중앙정책전략위원회 부위원장인 팜 다이 즈엉 씨는 데이터 보호를 위해서는 두 가지 요소를 결합해야 한다고 말했습니다. 첫째는 기술, 인프라, 프로세스, 즉 기술적 솔루션을 통한 보호이고, 둘째는 법적 시스템을 통한 보호입니다. 사이버 보안법, 개인정보보호법 등 이미 많은 법률이 제정되어 있으며, 국회는 앞으로도 관련 법률을 지속적으로 검토하고 보완해 나갈 것입니다.

또한, 결의안 57/NQ-TW는 데이터 보안을 위한 자율성 강화 및 핵심 기술 습득을 위한 전략 기술에 관한 계획 No. 01을 포함한 이행 계획을 제시합니다. 일관된 관점은 소극적인 방어에서 선제적 조기 위험 식별, 선제적 예방 및 대응으로 전환하는 것입니다.

Nhan Dan 신문의 부편집장인 Phan Van Hung 박사에 따르면, 데이터 관리와 네트워크 보안을 담당하는 "일반 엔지니어"가 부족해 조화롭고 동기적인 조합을 이룰 수 없습니다.

무제한 복제가 가능해짐에 따라 데이터는 디지털 경제에서 매우 중요한 핵심 생산 수단으로 자리 잡고 있습니다. 관리 측면에서는 법 집행을 선도하고, 공정성을 확립하며, 취약 계층을 보호하고, 국가 목표에 따라 규제하는 방향으로 동시적인 법률 시스템을 구축하고 제도화하는 것이 필수적입니다.

판 반 훙 박사에 따르면, 법은 개인의 소유권과 국가의 권리를 명시하고, 조건부 데이터 공유를 위한 체계를 구축하며, 공공 데이터와 민간 데이터를 통합해야 합니다. 법으로 규제하기 어려운 분쟁이 발생할 수 있으므로, 검찰과 사법 기관은 법 체계와 거버넌스를 효과적으로 동기화하기 위한 선례를 구축해야 합니다.

사이버 보안 전문가인 응오 투안 안(Ngo Tuan Anh) 씨는 다음과 같이 말했습니다. "실제 사례를 통해 세 가지 솔루션 그룹에 집중해야 합니다. 인터넷 서비스 제공 전 보안 구성 강화, 불필요한 데이터 저장 관리, 분류 및 제한, 사고 발생 시 조기 탐지, 격리, 복구 및 법적 조율을 위한 프로세스 구축입니다. 이는 조직의 가장 중요한 자산인 데이터를 보호하기 위한 필수적인 단계입니다."

투안 안 씨는 또한 국가데이터협회가 데이터 보안 관련 기본 표준을 개발 중이라고 밝혔습니다. 가까운 시일 내에 이 표준이 각 부처 및 지부의 의견을 수렴하여, 회원사를 비롯한 각 부서가 표준을 발표하고 적용하여 규정 준수를 강화할 수 있도록 지원할 것으로 예상됩니다.

또 다른 중요한 내용은 사이버 보안 솔루션의 선제적 개발입니다. 국내 기관 및 기업들은 국가사이버보안협회와 협력하여 국내 사이버 보안 제품 생태계를 구축하고 있습니다. 실제로 외국 기술 제품은 의도적이든 의도치 않든 데이터 추출 및 전송을 허용하는 취약점이 존재할 수 있기 때문에 위험을 초래한다는 증거가 많습니다.

"베트남에 구축된 일부 보안 시스템이 실수로 데이터가 저장되기 전에 해외 인프라를 통과하는 경우가 있습니다. 이는 데이터 유출 위험을 증가시킵니다. 따라서 데이터 보안을 보장하기 위해서는 표준화, 규정 준수 구현, 그리고 베트남이 보유한 보안 및 안전 솔루션 개발 촉진에 집중해야 합니다."라고 국가데이터협회(National Data Association) 관계자는 강조했습니다./.

출처: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp