인터넷과 모바일 서비스 등의 네트워크에 연결된 사람이 많을수록 사이버 범죄와 위협이 증가하고 있습니다. 말레이시아의 IT 산업과 이커머스는 2018년 GDP의 18.5%를 차지했습니다.
미국의 글로벌 리서치 회사인 프로스트 앤드 설리번(Frost & Sullivan)에 의하면 2019년 사이버 보안 사고에 의한 잠재적 손실이 말레이시아 GDP의 4% 이상이라고 합니다. 그런 만큼 말레이시아 정부는 사이버 보안에 신경을 쓰고 있습니다.
목차
1. 글로벌 사이버 보안 지수(Global Cybersecurity Index)
2. 말레이시아의 글로벌 사이버 보안 지수(GCI) - 한국, 싱가포르와 비교
2.1. 2018년 글로벌 사이버 보안 지수(GCI)
2.2. 2020년 글로벌 사이버 보안 지수(GCI)
2.3. 한국의 사이버 보안 현주소
3. 말레이시아 정보의 4차 산업 혁명과 사이버 보안 활동 - 한국과 비교
4. 정보 보안 관리 시스템과 국제 인증 ISO/IEC 27001
글로벌 사이버 보안 지수(Global Cybersecurity Index)
2020년 기준으로 세계에서 사이버 보안이 가장 잘 구축된 나라는 미국입니다. 글로벌 사이버 보안 지수(GCI, Global Cybersecurity Index)는 세계 각국의 사이버 보안을 척도를 보여주는 값입니다.
글로벌 사이버 보안 지수(GCI)는 국제 통신 연합(ITU, International Telecommunication Union)에서 만든 지수입니다. 국제 통신 연합(ITU)은 UN 산하 기관으로 1865년에 설립된 국제기구 중에서 가장 오래된 기구입니다.
국제 통신 연합(ITU)은 세계의 원활한 네트워크 연결을 목표로 하고 있으며, 전화 통화, 위성 통신, 인터넷 접근, 모바일, 정보 통신 분야에서 새로운 기술을 지원합니다.
전 세계에서 커지고 있는 사이버 범죄 같은 위험에 대해서 각국의 사이버 보안의 수준을 알기 위해 국제 통신 연합(ITU)은 2007년 글로벌 사이버 보안 지수(GCI)를 만듭니다.
글로벌 사이버 보안 지수(GCI)는 5개의 축, 혹은 5개의 기둥(5 Pillars)이라는 가장 큰 범위를 설정합니다. 5개의 축에 대해서 82가지의 질문을 가지고 각각의 축을 평가합니다. 2020년의 글로벌 사이버 보안 지수(GCI) 점수 선정 기준은 각 축이 20점이며 5개의 축으로 총 100점 만점입니다.
- 법적 조치: 공공, 민간에서 사이버 보안을 위해 지켜야 할 요구 사항과 유해한 행위를 금지하는 법적 수단
- 기술적 조치: 컴퓨터 비상 대응팀(CERT, Computer Emergency Response Team)의 문제 해결 방식
- 조직적 조치: 정부와 관계자의 예방, 준비, 대응, 사고 복구를 위한 조치 실행
- 역량 개발 조치: 사이버 보안 개발 능력
- 협력 조치: 국가 간의 협력과 공공과 민간의 파트너십에 의한 집단적 사이버 보안 조치 해결
국제 통신 연합(ITU)은 5개의 축과 82개의 질문으로 글로벌 사이버 보안 지수(GCI)를 만들고 각 국가에게 사이버 보안에 대한 다음과 같은 권고를 합니다.
- 의미 있는 지표를 포함한 사이버 보안의 정기적 평가할 것
- 국가 비상 대응팀의 지속적인 개발할 것
- 명확한 사이버 보안의 구현 계획으로 국가의 사이버 보안 전략을 모니터링하고 갱신할 것
- 사이버 보안 인력에 여성, 청소년 등의 다양성을 추구할 것
- 우수 사례를 공유하고 사이버 보안 대비 및 대응 능력을 향상할 것
- 개인, 학교, 사회 및 중소기업의 보안 능력을 향상할 것
말레이시아의 글로벌 사이버 보안 지수(GCI) - 한국, 싱가포르의 비교
2020년 미국의 글로벌 사이버 보안 지수(GCI)는 100점 만점에 100점으로 세계 랭킹에서 1위입니다. 크게 놀랍지 않습니다. 세계 IT 시장을 선도하는 나라이니 만큼 당연한 결과입니다.
그러면 말레이시아는 어떨까요?
2018년, 2020년 말레이시아의 글로벌 사이버 보안 지수(GCI)는 각각 8위와 5위입니다.
2018년 글로벌 사이버 보안 지수(GCI)
2018년 글로벌 사이버 보안 지수(GCI) 1위 국가는 영국입니다. 싱가포르는 6위이며, 한국은 15위입니다. 2018년 보고서에서 한국의 5개 축에 대한 세부 정보는 없습니다. 그래서 영국(노란색), 말레이시아(주황색), 싱가포르(회색)의 글로벌 사이버 보안 지수(GCI)를 비교했습니다.
말레이시아는 기술적 조치, 조직적 조치, 역량 개발 조치에서 높은 점수를 받았습니다. 그리고 말레이시아는 싱가포르에 이어 아시아 태평양 지역에서 2위입니다.
이 지역에서 3위부터 7위는 호주, 일본, 한국, 중국, 태국입니다.
한국의 2018년 글로벌 사이버 보안 지수(GCI)는 0.873(87.3) 점입니다.
2020년 글로벌 사이버 보안 지수(GCI)
한국은 2018년과 불과 2년 지난 2020년에 글로벌 사이버 보안 지수(GCI)에서 4위를 차지합니다. 말레이시아는 5위, 싱가포르도 한국과 같은 4위입니다.
말레이시아의 2020년 기술적 조치는 2018년보다 상대적으로 낮아졌습니다. 대신 법적 조치와 협력 조치에서 각각 20점 만점을 받았습니다.
2018년에 국가별로 전반적으로 낮았던 점수를 기록했던 협력 조치는 불과 2년 사이에 한국, 말레이시아, 싱가포르가 20점 만점을 받을 정도로 성장했습니다. 아무래도 사이버 범죄와 사이버 위협에 대한 범국가 간의 공감대가 형성되었습니다.
한국의 사이버 보안 현주소
한 가지 황당한 사실은 한국의 4차 산업 위원회에서 2021년 5월에 나온 100대 국책과제 추진실적 보고서에 보면, 한국의 사이버 보안인 'K-사이버 방역 추진전략'을 통해 2023년까지 글로벌 사이버 보안 지수(GCI)로 5위가 되겠다는 목표가 있습니다.
또한 2020년에는 한국 정보보호 학회에서 주관한 '글로벌 사이버 보안지수 분석·개선 연구'라는 국책 과제가 있었습니다. 해당 국책 과제의 목적은 한국의 글로벌 사이버 보안 지수의 순위를 2019년 15위에서 향후 5년 이내에 세계 5위권으로 향상하기 위한 방안과 전략을 제시하는 것에 있습니다.
한국은 2020년에 글로벌 사이버 보안 지수(GCI)로 전 세계에서 이미 4위입니다. 목표를 초과 달성했습니다.
어쨌든 100대 국책과제 추진실적 보고서에 의하면 한국은 2023년까지 총 6,700억 원을 사이버 보안에 투자한다고 합니다.
- 디지털 안심 국가기반 구축
- 보안 패러다임 변화 대응 강화
- 정보보호 산업 육성 기반 확충
2020년 글로벌 사이버 보안 지수(GCI)의 상위권에 들어온 나라는 1위 미국, 2위 영국, 3위는 사우디 아라비아입니다. 사우디 아라비아는 기술적 조치를 제외한 모든 항목에서 만점을 받았습니다.
말레이시아 정부의 4차 산업 혁명과 사이버 보안 활동 - 한국과 비교
말레이시아 정부의 4차 산업 혁명의 기술 요소는 인공지능(AI), 빅데이터 분석(BDA), 클라우드 컴퓨팅을 포함한 10가지입니다. 사이버 보안은 10가지 중의 하나의 기술 요소입니다.
말레이시아의 4차 산업 혁명의 사이버 보안은 산업 간의 더 강한 연결 확장에 따른 보안에 대한 고민입니다.
말레이시아의 국가 사이버 보안국(NACSA)은 국가 사이버 보안 정책을 만들면서 다음의 비전 선언문을 발표합니다.
말레이시아의 중요한 국가 정보 인프라는
안전하고 탄력적이며 자립적이어야 합니다.
안전한 문화가 융합되어
안정, 사회 복지 및 부의 창출을 촉진할 것입니다.
말레이시아는 사이버 보안을 위해서 여러 가지 활동을 시작했습니다.
- 국가 사이버 보안국(NACSA, National Cyber Security Agency) 설립
- 인터넷 뱅킹 태스크 포스: 금융 기관, 말레이시아 통신 및 멀티미디어 위원회 (MCMC), 사이버 보안 말레이시아, 경찰로 구성
- 디지털 포렌식 워킹 그룹: 디지털 포렌식은 컴퓨터 범죄와 관련된 디지털 장치의 자료를 복구, 조사
- 중요한 국가 정보 인프라 (CNII, Critical national information infrastructure)에 대한 위험 해결
- 국가 사이버 조정 및 지휘 센터 (NC4, National Cyber Coordination and Command Centre) 설립
- X-마야 (X-Maya): 말레이시아 국가 안보 위원회(NSC, Malaysia National Security Council)가 주관하는 말레이시아의 사이버 훈련
- 스카다(SCADA) 시뮬레이션 연구실: 산업 제어 시스템을 시험
- 정보 보안 관리 시스템 (ISMS, Information Security Management Systems) 인증
말레이시아는 중요한 국가 정보 인프라(CNII)를 10개 부분으로 정했습니다. 국방, 금융, IT, 에너지, 교통, 물, 의료, 정부, 긴급 서비스, 식량/농업이 그 10개 부분입니다.
한편 한국은 중앙부처 사이버 전담인력을 183명(2017년)에서 263명(2020년)으로 증원했습니다.
그리고 한국의 4차 산업 위원회의 성과자료집을 보면, 한국의 사이버 보안에 국방의 위치가 높습니다. 아무래도 한반도가 처한 상황에서 국방의 사이버 보안이 중요합니다.
- 전군 사이버 전문 직위와 군무원 사이버 직렬을 지정하여 전문가 육성
- 전군 차원 사이버 작전 수행체계 일원화하여 사이버 위협에 신속·정확하게 대응
- 사이버 방호체계를 구축하고 취약점을 점검·조치
- 네트워크 상의 악성코드 등의 이상 행위를 식별할 탐지, 차단 체계를 확충
정보 보안 관리 시스템(ISMS)과 국제 인증 ISO/IEC 27001
말레이시아 정부는 중요한 국가 정보 인프라 (CNII)에 대한 정보 보안 관리 시스템(ISMS)을 구현하고, 인증을 받도록 했습니다.
무엇보다 먼저 정보 통신 문화부(MICC)와 말레이시아 통신 멀티미디어 위원회 (MCMC)는 통신 인프라와 관련된 11개 회사를 2010년에 선별하여 3년 안에 인증을 받도록 했습니다.
- 텔레콤 말레이시아(TM, Telekom Malaysia Berhad)
- 셀콤(CelcomAxiataBerhad)
- 맥시스(Maxis Berhad)
- 디지(Digi Telecommunications Berhad)
- 유-모바일( U-Mobile SdnBhd)
- 기타 통신 관련 회사 6개사
TM이라고 불리는 텔레콤 말레이시아, 셀콤, 맥시스, 디지는 말레이시아를 대표하는 통신 사업자입니다. 지금은 말레이시아 산업의 많은 분야 회사들이 정보 보안 관리 시스템(ISMS)의 인증을 받고 있습니다.
국제 인증인 ISO/IEC 27001은 정보 보안 관리 방법에 대한 국제 표준입니다. 해당 표준은 어떤 조직이 가지고 있는 정보 자산을 안전하게 관리하는데 그 목적이 있습니다. 1995에 최초로 만들어진 인증으로 영국 정부의 무역 산업부 (DTI)에서 작성했습니다.
인증에서 말하는 정보 자산은 디지털 정보뿐만 아니라 문서, 메시지, 통신, 대화, 녹음 및 사진을 포함합니다. 그래서 조직이 관리하는 모든 조직의 정보 자산의 보안을 확인하고 그에 대한 위험 관리 프로세스를 갖추도록 합니다.
말레이시아에서 인증과 관련된 가장 유명한 회사는 시림(SIRIM)입니다. 말레이시아에서 전자 제품을 사면 시림(SIRIM) 인증이 붙어 있습니다. 외국에서 수입한 전자 제품도 시림(SIRIM) 인증을 받아야 말레이시아 내수 시장에서 팔 수 있습니다.
시림(SIRIM) 뿐만 아니라 여러 회사(기관)가 정보 보안 관리 시스템(ISMS, Information Security Management Systems)의 인증을 제공하고 있습니다.
회사가 인증을 받기 위해서 아래와 과정을 거칩니다.
- 인증을 받을 회사가 인증 기관에 인증 신청
- 인증 기관은 회사에 인증이 요구하는 조건을 충족하는지 평가를 실시
- 인증 기관은 설정한 절차에 따라 감사를 실시하여 회사의 인증 충족 여부를 판단
- 회사가 인증 충족을 하면 인증 기관은 인증을 발급
- 주기적으로 인증 기관은 감사를 통해 회사의 인증 충족 여부 확인
- 인증 기관은 인증 재발급
국제 인증 ISO/IEC 27001은 2013년 버전인데 유럽에서 2017년 버전이 나왔습니다. 참고로 2013년 버전을 인증받았다고 해서 2017년 버전의 인증을 받을 수 있는 것은 아닙니다.
말레이시아에서 공인하는 인증은 말레이시아 국내 표준과 국제 표준이 있습니다.
- 국내 표준: MS ISO/IEC 27001:2007 - 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항
- 국제 표준: ISO/IEC 27001:2005 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항
- 국제 표준: ISO/IEC 27001:2013 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항
표준의 공식 제목은 '정보 기술-보안 기술-정보 보안 관리 시스템-요구 사항'입니다. ISO/IEC 27001은 정보 보안 관리를 6개의 부분으로 구성되어 있습니다.
- 회사 보안 정책
- 자산 관리
- 물리적 및 환경적 보안
- 액세스 제어
- 사고 관리
- 규정 준수
말레이시아 표준부(Department of Standards Malaysia)에 의하면 2020년 4분기까지 319개 회사가 ISO/IEC 27001 인증을 받았습니다. 그중에서 IT 회사가 118개 회사로 가장 많습니다. 다음으로 공공행정 부분에서 80 건으로 2위입니다.
FIN
말레이시아 정보통신
- 말레이시아 소셜 커머스, 페이스북 라이브챗(Facebook LiveChat)
- GS, CJ, SK의 말레이시아 온라인 마켓 도전과 쇼피(Shopee)의 등장
- 말레이시아 정부의 IT 미래 먹거리를 위한 빅데이타(Big Data) 프로젝트
- 말레이시아 클라우드 컴퓨팅 시장, 아마존, 구글, MS, 알리바바의 각축전
- 스위스 금융사(UBS)가 본 한국과 말레이시아의 4차 산업 혁명(4IR)
- 말레이시아 정부의 4차 산업 혁명(4IR) 정책
'말레이시아 > 말레이시아 산업' 카테고리의 다른 글
| 말레이시아 클라우드 컴퓨팅 시장, 아마존, 구글, MS, 알리바바의 각축전 (0) | 2021.07.06 |
|---|---|
| 시가총액 순위 2021년 말레이시아 10대 기업, 20대 기업과 금융업 (0) | 2021.07.05 |
| 혼다 시티 7세대 모델, 말레이시아 출시와 닛산 알메라의 터보 엔진 (0) | 2021.07.02 |
| 스위스 금융사(UBS)가 본 한국과 말레이시아의 4차 산업 혁명(4IR) (0) | 2021.07.01 |
| 말레이시아 정부의 4차 산업 혁명(4IR) 정책 (0) | 2021.07.01 |