BoB 뉴스레터 2025년 3월 호

BoB NewsLetter 61호

Vol. Mar 2025

BoB Newsletter

BoB인들을 위한 뉴스레터를 한 달에 한 번 메일로 받아보세요!

BoB 수료생과 멘토들의 활약 내용, BoB 교육생 및 센터의 소식, 최근 보안 이슈 정리 및
기사 공유, 멘토의 인터뷰 및 기고문 등의 다양한 이야기를 전해드립니다.

BoB 뉴스레터 구독하기

이전 뉴스레터 보러가기

🍎 BoB 뉴스레터 3월호 스토리

📢 3월 BoB 수료생&멘토 소식
🌐사이버보안 국제교류 프로그램 GCC 2025, 성황리에 종료
🧠 스마트 의료기기 시대! 2025년 새 가이드라인으로 안전 강화
📃 SBOM이란 무엇인가? 그리고 KISIA의 SBOM 활성화 전략
🎓 BoB 13기 인증식 성료… 차세대 보안리더 1년 여정의 마무리
🗺 [개인정보보호 특집] 데이터 주권 강화 및 글로벌 현황 (1/3)

(1) 📢 3월 BoB 수료생&멘토 소식

🍧 안광현 멘티 <6기 보안컨설팅 트랙>

2025년 02월 14일에 세종대 일반대학원 컴퓨터공학(정보보호전공) 박사 졸업🎉

🍧 임다빈 멘티 <1기 & 화이트햇스쿨 멘토>

티오리 정명균 연구원님과 결혼식 / 2025년 10월 11일 남산골한옥마을에서 진행합니다.🎉

🍧 최승용 멘티 <13기 보안컨설팅 트랙>

토스 보안팀 입사 후 근무 중🎉

🍧 이훈희 멘티 <13기 보안컨설팅 트랙>

78리서치랩 입사 후 근무 중🎉

🍧 이상준 멘티 <12기 보안컨설팅 트랙>

78리서치랩 입사 후 근무 중🎉

🍧 지한별 멘토 <보안컨설팅 트랙>

2025년 3월 30일 결혼🎉

(2) 🌐사이버보안 국제교류 프로그램 GCC 2025, 성황리에 종료

지난 2월 10일부터 14일까지 대만에서 열린 Global Cybersecurity Camp 2025(GCC 2025)가 성공적으로 마무리되었다.

GCC는 2019년부터 매년 1주일간 진행되는 국제 사이버 보안 교육 프로그램으로, 참가국이 순환 개최하는 방식으로 운영된다. 이 캠프는 전 세계 보안 커뮤니티를 강화하고 미래의 사이버 보안 리더를 양성하는 것을 목표로 한다. 매년 회원국에서 선발된 최우수 학생 50여 명이 한자리에 모여 경험을 공유하고, 업계 최고의 보안 전문가들로부터 배울 기회를 가진다. 참가자들은 글로벌 네트워크를 구축하고 협력을 강화하며, 보안 분야에서 지속적인 발전을 도모한다.

GCC는 비영리 교육 프로그램 및 보안 커뮤니티가 주관하며, KITRI, Bitdefender, MAGNET FORENSICS, SINCON, StealthMole, CREST, CSA Singapore 등 글로벌 IT 및 보안 업계의 주요 기업 및 기관이 후원한다.

올해 GCC는 대만에서 개최되었으며, 한국을 비롯한 일본, 싱가포르, 베트남, 말레이시아, 루마니아, 인도네시아, 인도 등 12개국에서 선발된 보안 인재들이 참여했다. 대한민국 대표단은 BoB(Best of the Best)와 화이트햇스쿨에서 서류전형과 면접을 거쳐 최종 6명이 선발되었다. 참가자는 김경국(BoB 13기 취약점분석 트랙), 김채영(BoB 13기 보안컨설팅) , 안가은(BoB 13기 보안컨설팅), 이지혜(BoB 13기 취약점분석) 김수민(화이트햇스쿨 2기), 명서아(화이트햇스쿨 2기)로 구성되었다.

[ 출처 - GCC 운영팀 제공 ]

9일에는 Ice-Breaking Party가 열려 참가자들이 자유롭게 식사를 하며 자기소개 및 네트워킹을 하는 시간을 가졌으며, 10일부터 시작된 행사 기간 동안 다양한 보안 주제에 대한 강연과 실습이 진행되었다. 주요 프로그램으로는 위협 모델링(Donavan Cheah), Code Sanitizer 개발(Mikihito Matsuura), C++ 악성코드 리버스 엔지니어링 (Hiroshi Suzuki & Naoki Takayama), OT보안 및 공격 분석 (Vic Huang & Sol Yang), 위협 인텔리전스를 활용한 탐지 엔지니어링 (Tomohisa Ishikawa), 최신 커널 익스플로잇 연구 (Cherie-Anne Lee) 등이 있었다. 참가자들이 특히 인상 깊게 여긴 강연은 자동차 보안 및 차량 해킹 실습 (Kamel Ghali)이었다. DEFCON Car Hacking Village의 Director 및 Speaker로, 실제 해킹 실습 내용을 준비하여 Bluetooth와 CAN 해킹을 시연하였다.

[ 출처 - GCC 운영팀 제공 ]

참가자들은 오전부터 저녁까지는 교육을 듣고, 저녁 이후에는 그룹과 모여서 새벽까지 AI 기반 ICS 이상탐지, Quantam Security, SSO Tracker 보안, ROS 로봇 보안 등을 주제로 그룹 프로젝트를 진행하였다. 14일에는 최종 프로젝트 발표 및 심사가 진행되었으며, 한국 대표단이 참여한 Quantam Security 및 SSO Tracker 보안 프로젝트 팀이 우승을 차지했다.

우승팀에게는 SANS 및 CREST 기관으로부터 상장과 함께 자격증 수강권 및 응시권이 수여되었다. 심사 관계자는 "기술적 완성도뿐만 아니라 실용성, 창의성, 협업 역량 등을 종합적으로 평가했다"고 밝혔다.

GCC의 교육 프로그램은 이론 학습을 넘어 실전 경험을 강조하는 방식으로 운영되었다. 참가자들은 실제 악성코드 분석, 자동차 보안 테스트, 보안 탐지 코드 개발 등의 실습을 수행하며 보안 전문가로 성장할 기회를 가졌다.

또한, 각국의 보안 전문가 및 업계 리더들과 직접 교류할 수 있는 네트워킹 세션이 마련되었으며, 참가자들은 이를 통해 국제 공동 연구 및 CTF 협업 기회를 모색할 수 있었다. 특히, 후원 기업들이 참여한 구인 세션이 열려 GCC 참가자들에게 글로벌 기업 취업에 대한 기회를 제공했다.

2025년 대만 GCC는 참가자들에게 최신 보안 기술 학습, 국제적 협업 능력 강화, 그리고 인적 네트워킹이라는 세 가지 측면에서 의미 있는 성과를 남겼다. 참가자들은 "여러 나라 학생들과 전문적인 보안인으로서의 인사이트와 비전을 공유하면서 시야를 넓힐 수 있었다. 글로벌 필드에서 GCC를 통해 맺은 인연이 지속되길 바란다." 라고 전했다.

다음 GCC는 베트남에서 개최된다고 발표하였으며, 글로벌 보안 인재들의 관심이 집중되고 있다.

[ 출처 - GCC 운영팀 제공 ]

(3) 🧠 스마트 의료기기 시대! 2025년 새 가이드라인으로 안전 강화

정보통신기술의 발전으로 의료기기의 연결성이 높아지면서, 사이버보안의 중요성이 점점 더 부각되고 있다. 이에 식품의약품안전처(MFDS)는 2025년 1월 10일 "의료기기의 사이버보안 허가·실사 가이드라인(민원인 안내서)"(안내서-0995-05)을 개정·발표하며 의료기기 안전 관리 강화를 위한 새로운 기준을 제시했다. 이번 가이드라인은 의료기기의 사이버보안 요구사항을 명확히 하고, 허가 및 실사 과정에서 필요한 제출 자료의 범위를 구체적으로 정의함으로써 제조업체와 민원인이 보다 쉽게 규제 요건을 준수할 수 있도록 지원하는 데 목적이 있다.

[ 출처 - freepik ]

배경: 사이버 위협과 의료기기 안전

최근 유·무선 통신 기술을 활용한 의료기기 개발이 증가하면서, 사이버보안 위협이 중요한 문제로 대두되고 있다. 문서에 따르면, 의료기기의 네트워크 연결성은 원격 모니터링과 같은 혁신적인 의료 서비스를 가능하게 하지만, 동시에 해킹이나 정보 유출과 같은 위협에 노출될 가능성을 높인다. 이러한 위협은 경제적 손실을 넘어 환자의 건강과 생명에 직접적인 위험을 초래할 수 있다. 식약처는 이러한 문제를 해결하고자 2019년 첫 가이드라인(안내서-0995-01)을 제정한 이후 지속적으로 개정을 진행해 왔으며, 이번 5차 개정에서는 특히 "사이버보안 요구사항 시험 시기 명확화"에 중점을 두었다. 이는 제조업체가 개발 단계에서 보안 테스트를 적절한 시점에 수행하도록 유도하여, 제품 출시 전 잠재적 취약점을 최소화하기 위한 조치다.

적용 범위: 어떤 의료기기에 적용되나?

이번 가이드라인은 「의료기기법」, 「체외진단의료기기법」, 「첨단의료제품법」에 따라 허가·신고 대상이 되는 모든 의료기기에 적용된다. 특히, 유·무선 통신 포함하는 의료기기와 소프트웨어 의료기기(SaMD, Software as a Medical Device)에 중점을 둔다. 문서에 따르면, 적용 대상에는 다음과 같은 통신 기술을 사용하는 기기들이 포함된다:

유선 통신: USB, RS-232, LAN 등.
무선 통신: Wi-Fi, 블루투스, RFID, NFC 등.
기타: 클라우드 기반 데이터 전송 및 저장 시스템을 사용하는 기기.

예를 들어, 원격으로 데이터를 전송하는 혈압 측정기, 클라우드 기반으로 작동하는 진단 소프트웨어, 또는 네트워크 연결이 가능한 이식형 의료기기 등이 해당된다. 또한, 소프트웨어 자체가 의료기기로 분류되는 경우(SaMD)도 가이드라인의 적용을 받는다.

주요 내용: 사이버보안 요구사항과 제출 자료

가이드라인은 의료기기 제조업체가 사이버보안 위험을 효과적으로 관리할 수 있도록 세 가지 주요 영역을 중심으로 구성되었다:

사이버보안 기본 원칙
문서에 따르면, 의료기기의 사이버보안은 가용성(Availability), 기밀성(Confidentiality), 무결성(Integrity)을 보장하는 데 중점을 둔다. 이를 위해 다음과 같은 위험 관리 프로세스가 요구된다:
- 위험 식별: 의료기기에 영향을 미칠 수 있는 잠재적 사이버 위협(예: 해킹, 데이터 변조, 서비스 거부 공격 등)을 식별한다.
- 위험 평가 및 제어: 식별된 위협이 환자에게 미칠 수 있는 위해를 평가하고, 이를 줄이기 위한 보안 조치를 마련한다.
- 잔여 위험 관리: 보안 조치 후에도 남아 있는 위험을 평가하여 수용 가능한 수준인지 판단한다. 이러한 과정은 「의료기기 제조 및 품질관리 기준」과 ISO 14971:2019(의료기기 위험 관리 표준)에 따라 수행되어야 한다.
요구사항 구체화와 표준 준수
가이드라인은 국제 표준을 반영하여 구체적인 보안 요구사항을 제시한다. 문서에 명시된 주요 요구사항은 다음과 같다:
- 인증(Authentication): 기기 접근을 제어하기 위해 사용자 인증 절차를 도입해야 한다. 예를 들어, 의료기기 소프트웨어에 접근하려면 비밀번호나 생체 인식과 같은 인증 수단이 필요하다.
- 암호화(Encryption): 데이터 전송 및 저장 시 암호화를 통해 기밀성을 유지해야 한다.
- 최소 권한 원칙(Least Privilege): 사용자 및 시스템 구성 요소가 필요한 최소한의 권한만 가지도록 설계하여 권한 남용을 방지한다.
- 물리적 보호: 기기에 대한 물리적 접근을 제한하기 위한 조치(예: 잠금 장치, 보안된 저장 공간)를 마련한다. 이러한 요구사항은 IMDRF(국제의료기기규제당국포럼)와 IEC 62443-4-2:2019(산업 제어 시스템 보안 표준)를 참조하여 설정되었다. 또한, IEC TR 60601-4-5:2021(의료 전기 장비의 안전 관련 기술 보안 사양)에 따른 기술적 보안 지침도 포함된다.
허가·실사 자료 명확화
가이드라인은 제조업체가 허가 및 실사 과정에서 제출해야 할 자료의 범위와 요건을 구체적으로 정의한다. 문서에 따르면, 제출 자료에는 다음과 같은 항목이 포함될 수 있다:
- 사이버보안 검증 자료: 기기의 보안 기능을 테스트한 결과 보고서.
- 위험 관리 보고서: 사이버보안 위험 분석, 평가, 제어 과정이 문서화된 자료.
- 전자적 위해 보호 조치: 전자적 위협(예: 해킹, 데이터 유출)으로부터 기기를 보호하기 위해 취한 조치에 대한 설명. 이러한 자료는 제조업체가 개발 단계에서부터 사이버보안을 고려했음을 입증하는 데 사용되며, 허가 심사 과정에서 규제 당국이 기기의 안전성을 평가하는 데 중요한 역할을 한다.

기대 효과와 산업적 의의

이번 가이드라인은 의료기기 제조업체가 사이버보안 요구사항을 체계적으로 준비하도록 돕는 데 목적이 있다. 문서에 따르면, 가이드라인은 법적 구속력은 없으나 제조업체가 참고할 수 있는 실질적인 지침을 제공한다. 이를 통해 통신 기능을 포함한 의료기기의 안전성을 확보함으로써 환자와 의료진의 신뢰를 높이는 데 기여할 것으로 기대된다.

또한, 가이드라인은 국제 표준(IMDRF, IEC)을 반영하여 설정되었기 때문에, 글로벌 규제와의 조화를 이루는 데도 도움이 될 전망이다. 이는 한국 제조업체가 국제 시장에서 요구되는 보안 기준을 충족하는 데 유리한 환경을 조성하며, 수출 경쟁력을 강화하는 데 긍정적인 영향을 미칠 수 있다.

앞으로의 과제와 권고사항

식약처는 가이드라인에서 개인정보 유출과 같이 건강에 직접적 영향을 미치지 않는 사안은 「개인정보보호법」 등 다른 법령을 함께 준수해야 한다고 강조했다. 예를 들어, 의료기기에서 수집된 환자 데이터가 유출될 경우, 이는 건강 위험으로 바로 이어지지 않더라도 개인정보 보호와 관련된 법적 책임이 발생할 수 있다.

또한, 기술의 급격한 발전을 고려할 때 지속적인 업데이트와 협력이 필요하다는 점을 언급했다. 이후 새로운 기술이나 위협이 등장할 경우 추가 개정이 필요할 수 있다. 이를 위해 식약처는 민원인과 산업계의 적극적인 피드백을 당부하며, 지속적인 소통을 통해 가이드라인을 개선해 나갈 계획이다.

문의는 식약처 의료기기심사부 디지털헬스규제지원과(043-719-3948)로 연락하면 된다.

참고문헌

식품의약품안전처, "의료기기의 사이버보안 허가·실사 가이드라인(민원인 안내서)" (안내서-0995-05)

(4) 📃 SBOM이란 무엇인가? 그리고 KISIA의 SBOM 활성화 전략

SBOM(소프트웨어 자재 명세서)은 소프트웨어를 구성하는 모든 요소와 그 출처, 버전, 라이선스 정보를 명확하게 기록한 목록이다. 이는 소프트웨어 공급망 보안을 강화하는 핵심 기술로, 기업이 소프트웨어의 취약점을 빠르게 파악하고 대응할 수 있도록 돕는다. SBOM은 특히 대규모 소프트웨어 개발 환경에서 필수적인 요소로 자리 잡고 있으며, 글로벌 표준화가 진행 중이다.

미국과 유럽은 이미 정부 주도로 SBOM을 보안 필수 요소로 자리 잡게 하였으며, 특히 미국은 행정명령(EO 14028)으로 연방 기관에 SBOM 활용을 의무화했다.

최근 소프트웨어 공급망 공격이 증가하면서 SBOM의 필요성이 더욱 강조되고 있다. SolarWinds, Log4j, 3CX 사태 등 글로벌 사이버 보안 사고는 제3자가 개발한 SW의 취약점이 공급망을 통해 전파될 수 있음을 보여주었다. SBOM은 소프트웨어의 구성 요소와 의존성을 명확히 기록하여 이러한 보안 위협을 사전에 탐지하고 대응할 수 있도록 돕는다. 따라서 SBOM 도입은 단순한 보안 강화가 아니라 공급망 보안의 필수 요소로 자리 잡고 있다.

현재 국내에서는 대기업과 공공기관을 중심으로 SBOM이 도입되고 있으나, 중소기업의 활용은 여전히 저조하다. 주요 원인으로는 표준화된 관리 방식의 부재와 도입 비용 부담이 지적된다. 이에 따라 한국정보보호산업협회(KISIA)는 국내 정보보호기업들과 협력하여 SBOM 자동 생성 및 취약점 탐지 도구의 실증 연구를 진행했다. 이번 연구는 SBOM의 실효성을 검증하고, 국내 소프트웨어 공급망 보안을 강화하기 위한 방안을 도출하는 데 초점을 맞추었다.

[ 출처 - 한국정보보호산업협회 공식 홈페이지 ]

연구에서는 SBOM 자동 생성 도구인 HatBOM과 취약점 탐지 도구 Vuddy(Hmark)를 활용해 국내 기업 3곳의 SW 공급망을 분석했다. 실증 결과, NTIA(미국 국립전기통신정보청)에서 요구하는 SBOM 최소 요소를 충족할 수 있음을 확인했으며, 취약점 탐지 기능이 자동화된 환경에서도 효과적으로 작동하는 것으로 평가되었다.

실증 연구 진행 과정은 다음과 같았다.

[ 출처 - KISIA SBOM 도구 실증 결과보고서 ]

실증 연구는 A사, B사, C사 3개 기업을 대상으로 진행되었으며, 각 기업의 SW 공급망 환경에 맞춰 SBOM 도구의 실효성을 검증했다.

A사: AI 기반 보안 솔루션을 분석한 결과, 48개의 OSS(오픈소스 소프트웨어) 의존성을 확인하였으며, 일부 취약점 탐지가 누락되는 문제점이 발견되었다. 이를 통해 OSS 구성요소 목록화를 통한 보안성 강화를 검토하게 되었다.
B사: 다양한 언어(C++, Python)로 구성된 솔루션을 분석한 결과, 일부 종속성 관계가 명확하게 나타나지 않는 문제점이 확인되었으며, SBOM 명세서의 가독성 향상이 필요한 것으로 분석되었다.
C사: 데이터 통합 및 관리 솔루션을 분석한 결과, 일부 SBOM 생성이 실패하는 사례가 발생하였으며, 지원되지 않는 언어(C# 등)에 대한 추가 지원이 필요함이 확인되었다.

실증 과정에서 기업들은 SBOM을 활용하는 데 여러 가지 문제를 경험한 것으로 확인됐다. 대표적인 문제점은 일부 OSS 의존성 및 바이너리 파일 분석의 어려움, Python 외 다양한 프로그래밍 언어 기반 소프트웨어의 지원 부족, SBOM 관리의 표준화 및 실무 적용을 위한 명확한 가이드라인 부재 등이었다.

KISIA는 SBOM 도입을 확대하기 위해 다양한 개선 방안을 제시했다. 우선, SBOM 및 취약점 탐지 도구가 보다 폭넓은 프로그래밍 언어(C++, Python 외 추가 언어)를 지원할 수 있도록 개선할 계획이다. 또한, 자동 생성된 SBOM의 표준화를 강화하고 신뢰성을 높이기 위한 정책적 지원을 확대한다. 아울러, 기업들이 실무에서 SBOM을 효과적으로 적용할 수 있도록 교육 프로그램을 마련하고 가이드라인을 보완할 예정이다.

이번 실증 연구는 기업들에게 SBOM 활용을 통한 보안 리스크 최소화와 취약점 예방의 중요성을 인식시키는 계기가 되었으며, 실증을 통해 기업들은 OSS 라이브러리 및 구성요소를 목록화하고 업데이트를 수행하는 등의 개선 조치를 마련하는 기회를 얻었다고한다. 이를 통해 SBOM 도구를 활용한 SW 보안 경쟁력 확보 가능성이 확인되었으며, KISIA는 이러한 연구 결과를 바탕으로 SBOM 기술의 지속적인 발전과 보급 확대를 지원할 계획임을 밝혔다.

참고문헌

KISIA SBOM 도구 실증 결과보고서
한국정보보호산업협회 공식 홈페이지
보안뉴스

(5) 🎓 BoB 13기 인증식 성료… 차세대 보안리더 1년 여정의 마무리

[ 출처 - KITRI BoB Youtube ]

국내 대표 정보보안 인재 양성 프로그램인 ‘Best of the Best(이하 BoB)’ 13기 인증식이 지난 3월 26일(수), 서울 강남 아모리스 역삼에서 성황리에 개최됐다.

이번 인증식은 약 1년간 실무 중심의 교육과 프로젝트를 마친 BoB 13기 교육생들의 수료를 축하하고, 우수한 성과를 기념하는 자리로 마련됐다.

행사는 리셉션과 기념촬영을 시작으로, 개회와 내빈 축사, 특강과 오찬이 진행됐으며, 2부에서는 축하공연과 함께 BEST 10·WhiteHat 10·그랑프리 시상, 감사패 수여, 선서, 기념촬영 및 폐회 선언으로 마무리됐다.

프로그램 개요 및 성과

BoB 13기는 취약점 분석, 디지털 포렌식, 보안 컨설팅, 보안제품개발 총 4개 트랙으로 운영됐으며,

약 1년간의 교육과 실전 프로젝트를 통해 196명의 수료생을 배출했다.

특히 이번 13기에서는 트랙별 전문성을 높이기 위해 동일 트랙 교육생들로 팀을 구성해 프로젝트를 수행했다.

수상 내역 및 결과 발표

[ 출처 - 김종현 책임 멘토님 제공 ]

[ 출처 - BoB13기 수료생 제공 ]

BoB 인증식에서는 올해도 어김없이 수료증 수여와 함께, 우수한 성과를 거둔 교육생과 팀을 대상으로 시상이 이뤄졌다. 각 시상 명과 수상자는 다음과 같다.

TOP 10 (BEST 10)

취약점 분석 트랙

곽무경 (울산대학교)
양인규 (세종대학교)
정지현 (한국방송통신대학교)
홍성흔 (아주대학교)

디지털 포렌식 트랙

박지우 (고려대학교)
염승빈 (순천향대학교)

보안 컨설팅 트랙

박현재 (아주대학교)
유승준 (중앙대학교)

보안 제품 개발 트랙

고예준 (한국과학기술원)
이창현 (단국대학교)

WhiteHat 10

김종건 (취약점 분석)
성준우 (취약점 분석)
오서연 (취약점 분석)
정영현 (취약점 분석)
최정민 (취약점 분석)
송현준 (디지털 포렌식)
조소영 (디지털 포렌식)
김수연 (보안 컨설팅)
최승용 (보안 컨설팅)
김현석 (보안 제품 개발)

최우수 프로젝트(그랑프리) 시상 : Argos(아르고스)

주제 : 딥페이크 방어 및 추적 서비스

팀원

조성연 (PM, 서울여자대학교)
고동현 (순천향대학교)
김도현 (전주대학교)
김동은 (광운대학교)
박지우 (고려대학교)
안가은 (서울여자대학교)
유성모 (성공회대학교)
이지수 (가천대학교)

수상자 소감 및 인터뷰

BoB는 각기 다른 배경과 역량을 가진 청년 보안리더들이 함께 모여 치열한 배움과 협업의 시간을 보내는 여정이다. 이 과정에서 수많은 고민과 도전을 거치며 성장한 수료생들의 이야기는 후배들에게 귀중한 인사이트가 될 수 있기 때문에, 흔쾌히 인터뷰에 응해준 이창현 수료생과 인터뷰를 진행했다.

Top10 이창현(보안제품개발)

[ 출처 - BoB 뉴스레터팀 ]

“열심히 노력한 만큼 좋은 결과를 얻을 수 있어서 너무 기쁩니다.”

이창현 교육생은 프로젝트를 함께한 팀원들, 멘토님들, 그리고 KITRI 연구원들께 감사를 전하며, 늘 응원해 준 부모님께도 고마운 마음을 전했다.

그는 “앞으로 더 노력해서 진짜 Best of the Best가 되겠다”고 당찬 포부를 밝혔다.

가장 기억에 남는 순간은?

“정말 소중한 팀원들을 만났고, 팀원들 덕분에 많은 것을 배우고 발전할 수 있었습니다.”

BoB 활동 중 가장 기억에 남는 순간으로 프로젝트 팀빌딩을 꼽았다. 단순한 팀 구성이 아닌, 함께 성장하고 도전한 값진 경험이었다.

가장 어려웠던 점은?

“발표 자료 만들고 발표하는 것이 가장 힘들었던 것 같아요.”

자료 디자인부터 발표까지 익숙지 않아 어려움을 겪었지만, 반복적인 경험을 통해 조금씩 나아졌고, 여전히 성장 중이라고 말했다. 이 과정을 통해 도전 앞에서 두려움을 덜고, 다각도로 문제를 바라보는 힘을 얻게 되었다고 한다.

팀 프로젝트를 통해 배운 점

“BoB에는 정말 뛰어난 교육생들이 많았습니다.”

서로 다른 강점을 가진 개발 트랙 동료들과 협업하며 보안 역량뿐 아니라 개발 및 협업 역량도 크게 성장할 수 있었다고 전했다.

BoB를 통해 성장한 점

“가장 크게 성장한 부분은 다각도로 생각하기인 것 같습니다.”

다양한 기술을 접하며 끊임없이 "왜?"를 묻고, 여러 접근 방식을 시도해 보며 문제 해결에 대한 시야가 넓어졌다고 이야기했다.

앞으로의 목표

“BoB에서의 경험은 클라우드 보안 솔루션 개발이라는 제 꿈을 실현하는 데 큰 도움이 되었습니다.”

멘토들의 인사이트 덕분에 클라우드 보안에 대한 다양한 시각을 얻게 되었고, 팀 프로젝트는 앞으로도 고도화 및 사업화를 목표로 계속 도전할 계획이다.

그는 “비록 그랑프리는 놓쳤지만, 우리 팀은 계속 도전할 예정입니다. 한국 최초의 보안 유니콘이 될 ‘야몽’을 기억해 주세요.”라고 전했다.

후배들에게 전하고 싶은 말

“하고 싶은 것을 꼭 하시길 바랍니다.”

이창현 교육생은 자신의 선택을 믿고 매 순간 최선을 다하는 자세가 중요하다고 강조했다.

“지나간 어제에 미련을 두기보다는, 오늘에 충실해서 더 나은 내일을 준비하는 보안 리더가 되시길 바랍니다.”

🎥 행사 스케치 및 사진

행사 현장 모습과 수상자 인터뷰, 프로젝트 발표 영상 등은 유튜브에서 확인할 수 있다.

BoB 프로그램은 앞으로도 사이버 보안 산업을 이끌어갈 차세대 리더 양성에 힘쓸 예정이다.

(5) 🗺 개인정보보호 특집 기사_데이터 주권 강화 및 글로벌 현황 (1/3)

[ 출처: ChatGPT 생성 ]

데이터가 기존의 자본과 노동 등 생산요소를 능가하는 경쟁 원천으로 부상하고 있으며, 대규모 데이터를 보유하고 잘 활용하는 기업이 시장 혁신을 주도함에 따라 데이터 기반 가치 창출은 국가와 기업의 혁신 성장 수단으로 자리매김하고 있다.

각국은 데이터 중심의 디지털 경제 선도를 위해 범국가 차원에서 데이터의 확보, 데이터 활용의 확대, 데이터 분석 인재 양성, 데이터 산업 기반 정비 등 종합적 대책을 마련해 추진하고 있으며, 이를 통해 데이터를 대량으로 인식, 수집하고 분석하여 가치 창출을 할 수 있다. 이미 데이터 기반의 맞춤형 서비스는 이제 익숙한 서비스가 되었으며, 이를 통해 사회경제 시스템 운영의 효율화와 고도화의 성과가 확산되고 있다. 인공지능의 등장으로 이제 처리할 수 있는 데이터의 양은 기존의 규모와 범위를 벗어났으며, 다시 데이터가 대량으로 생산되는 순환구조를 이루고 있는 상황이라 할 수 있다.

데이터를 중심으로 이루어지는 디지털 경제체제에서 주권이 중요하게 작용하는 이유는 자국민의 정보가 실질적으로는 국내외의 구분 없이 이전, 활용되고 있다는 점에 있다. 무엇보다 데이터 자체가 경쟁력의 수단으로 작용하는 상황에서 국내 데이터의 해외 이전은 주권의 침해 요소로 여겨질 수 있다.

국가는 국민을 대표하고 보호하며 다양한 이해관계를 대변하는 역할을 수행한다는 점에서 데이터에 관한 특정 활동들이 주권 국가의 기능을 저해하거나 국민의 권리를 침해하는 등의 경우가 발생한다면 주권 국가가 그러한 행위를 규제할 수 있다는 점으로도 도출된다.

데이터 주권은 결국 자국 내에 위치한 데이터 및 자국민 정보의 이전과 활용에 관하여 국가가 의사를 결정할 수 있는 권한이라고 이해할 수 있다.

각 국가는 데이터 주권에 대해 독자적인 법체계를 갖고 있으며, 이를 통해 자국의 안전과 경제, 사회문화적 가치를 지키며 디지털 경제의 위험과 효과, 부가가치 생산에도 대처하고 있다는 점을 유의해야 한다.

데이터 주권 확보를 위한 국가별 노력 및 현황

[ EU ]

✔ 기존보다 정보 주체의 권리를 강화하는 법률, GDPR:

제 17조 삭제권(Right of Erasure), 제 20조 이동권(Right to Data Portability), 제 22조 프로파일링에 대한 권리, 제 45·46조 허가받지 않은 자국민 데이터의 국외 반출을 제한하는 조항 등에 대한 내용을 새롭게 포함시킨 GDPR을 발효시켜 글로벌 ICT 기업의 데이터 독점과 데이터 주권 침해에 대한 선제적 대응책 마련

✔ 플랫폼 사업자에 대한 규제 강화 등의 내용을 포함하는 ‘디지털 시장법(Digital Market Act)’과 ‘디지털 서비스법(Digital Service Act)’ 집행

✔ 25년 9월, 공정한 데이터 접근 규율을 위한 데이터법 시행 예정

✔ 25년 2월, 포괄적으로 인공지능을 규제하는 AI Act 단계적 시행 예정(의사결정 저해, 사회적 약자 차별, 소셜 스코어링, 생체정보 불법 수집 등에 해당하는 인공지능 기술의 사용이 전면적으로 금지)

[ 미국 ]

✔ 2018년, 미국 정부가 해외에 저장된 데이터에 접근할 수 있는 권한을 부여하는 법률, ‘CLOUD Act(Clarifying Lawful Overseas Use of Data Act)’ 시행

✔ 2024년, 중국과 러시아를 포함한 적대국이 미국인의 민감한 데이터 판매를 막기 위한 목적으로 PADFA(The Protecting Americans' Data from Foreign Adversaries Act) 추진 및 14117 행정명령 발표

✔ 2025년 1월, ‘틱톡에 대한 외국의 적대적 통제 어플리케이션으로부터 미국인 보호법 적용(트럼프 대통령 틱톡금지법 시행 75일 유예)’ 행정명령 시행

✔ 24년 하반기, 주정부 차원의 AI 규제 논의 활성화(24년 기준, 45개의 주에서 약 700건의 AI 관련 법안 발의)

[ 중국 ]

✔ 2016년, ‘중국 네트워크 보안법(网络安全法)’은 중국에서 영업하는 모든 IT기업이 데이터를 반드시 중국 내에 보관하고, 중국 정부가 요구하면 데이터 암호 해독 정보를 언제든 제공해야 한다는 조항을 포함하였으며, 중국의 네트워크 보안법은 EU의 GDPR보다 더욱 엄격한 것으로 평가됨

✔ 2021년, ‘사이버안전심사방법(网络安全审查办法)’을 마련하였는데, 핵심 정보 인프라 운영자의 네트워크 제품 및 서비스 구매 활동, 온라인 플랫폼 운영자의 데이터 처리 활동이 국가 안보에 영향을 미치거나 미칠 가능성이 존재하는 경우 해당 방법에 따라 네트워크 안전 심사를 거치도록 하고 있음

✔ 2022년, ‘데이터 역외이전 안전평가 방법(数据出境安全评估办法)’을 제정 및 시행, 이는 데이터처리자가 중국 내에서 수집 및 생성한 ‘중요 데이터’와 ‘개인정보’를 역외 제공할 때 자체적으로 안전 평가를 실시, 그 결과를 국가인터넷정보부서에 송부하도록함

✔ 엔디비아, 구글, 애플 등 미국 빅테크에 대한 반독점법 위반 조사 착수

✔ 중국 딥시크 출현으로 인한 미-중 패권 경쟁과 지정학적 갈등 심화

✔ 25년 1월, 네트워크 데이터 안전 관리 조례 시행

[ 대한민국 ]

✔ 24년 9월, 플랫폼 독점 규제를 위한 공정거래법 개정 추진

✔ 24년 12월, AI의 건전한 발전을 목표로 하는 인공지능기본법 국회 통과(26년 1월, AI 기본법 시행 예정)

✔ 25년 2월, 해외사업자의 국내 대리인 지정 규율을 강화하는 개인정보보호법 개정안 국회 상임위 통과

각 국가는 국가의 경제 및 안보와 디지털 경제의 주도권 경쟁에서 살아남기 위해 데이터가 가장 중요한 요소라는 것을 분명히 인식하고 있다고 보인다. 최근 인공지능을 중심으로 디지털 기술 체계가 급속하게 발전하고, 이러한 기술 변화와 맞물려 글로벌 플랫폼 기업들이 전략적으로 변화를 시도하는 과정에서 데이터 주권의 개념은 디지털 영역에서 개인의 기본권과 데이터 권리 보호도 중요한 이슈가 되고 있지만 데이터에 대한 국가의 배타적인 권리로도 해석할 수 있다.

데이터 주권 강화가 가지는 직관적 의미는 다른 국가의 디지털 기업이 자국 내 지배적 위치와 영향력을 가지는 것을 방지하며, 데이터 관리와 통제가 미래 국가 경쟁력을 좌우한다는 인식하에 데이터 권리를 확보하려는 것이다.

앞으로, 전 세계 국가들은 더욱 데이터 주권을 강화하려는 경향을 보일 것으로 예측된다. 국내에서도 데이터 주권에 대한 보호 측면에서 적극적인 대응 방안의 모색이 필요한 시점이다.

참고문헌

윤수영, “4차 산업 혁명 시대의 소비자 데이터 주권에 대한 고찰: EU GDPR을 중심으로”, 「소비자학연구」 제29권 제5호, 2018, 97면.
한국정보화진흥원, “데이터 주권 시대의 새로운 흐름 –EU GDPR의 의미와 시사점-“, 「NIA Special Report」 2018-7, 2018.4.12., 9면.
조소영, “인터넷 주권과 통제에 관한 연구”, 「공법학연구」 제12권 제4호, 2011, 363-364면.
대외경제정책연구원, “EU 디지털 단일시장 전략의 주요 내용과 시사점”, 2015.
이성엽, “[투데이 窓]디지털 주권 경쟁과 한국의 대응”, 머니투데이, 2024.5.10., https://news.mt.co.kr/mtview.php?no=2024050913315154351, (접속일: 2024.11.20.)
장은정, “중국의 디지털 보호주의, 데이터 주권에 대한 소고”, 「저스티스」 통권 제194-3호, 2023.을 참조
최재원, “틱톡 퇴출 시 여파에 주목하는 미 언론, 틱톡 금지법 반대 의견도 팽팽”, 「신문과 방송」 8월호, 2024.
유승현, “데이터 주권과 디지털 보호주의 개인보다 국가적 권리 강조 국가 간 데이터 이동 제한과 규제로”, 「신문과 방송」 8월호, 한국언론진흥재단, 2024, 9-11면.