News/ Event

공공기관 정보보호 책임관 도입이 시급한 이유

[칼럼] | 2020-09-28

한국 사이버 보안에는 수백가지 문제점이 있다.

열악한 시장과 투자환경, 형사처벌제도로 인한 인재부족, 사내 보안 조직 홀대, SW통합 발주 제 값 받기 등 매우 다양하다. 문제가 많은 만큼 해결책도 수십, 수백가지가 될 수 있다.

24년차 한국 보안 생태계에 몸담은 필자는 해결책을 단 한 가지로 압축해보았다. ‘공공기관 정보보호 책임관 제도도입’이다. 여기에는 ‘공공기관’과 ‘책임관’ 두개의 키워드가 들어있다.

먼저 ‘책임관’은 이는 민간기업의 임원을 의미한다. 필자는 국내 한 기업과 20년동안 일하면서 보안조직의 성장을 지켜봤다. 부장급 보안책임자가 있었을 때는 최소 한도의 투자만 진행됐다. 상이 책임자는 보안을 약 2% 정도밖에 생각하지 않았다. 보안 담당자도 ‘보안직군’에 대한 자부심이 없었다. 함께 일하는 업체 또한 고통스러울 수밖에 없었다.

이 회사는 10년 정체기 동안 뼈아픈 보안사고를 수차례 경험한 끝에 보안전담 임원자리를 마련했다. 보안전담 임원이기 때문에 업무가 오직 보안이었고, 성과도 보안으로 평가받게 되었다. 이후 10년동안 투자와 조직이 늘어나고, 직원 사기와 자부심이 높아졌다. 당연히 보안 수준도 높아졌다. 협력업체에도 숨통이 트였다. 이처럼 조직 최상위 의사결정권자가 관심에 따라 전체 생태계가 영향을 받는다.

중앙정부부처에는 정보보호 책임관이 몇 곳 있다. 산업통상자원부, 국토교통부(국토부)를 대표로 들 수 있다. 2015년 산업부에 ‘정보보호과’가 생기고 ‘정보보호책임관’이 부임하니 한국전력공사, 한국수력원자력 등 산하 주요 에너지 공기업에 ‘정보보호처장’이 임명됐다. 이후 5년동안 해당기관의 보안수준은 꾸준히 높아졌다.

두번째 키워드는 ‘공공기관’이다. 민간기관에서는 이미 임원급 정보보호최고책임자(CISO) 전담제가 시행되고 있다. 정보통신망법은 자산 5조원 이상 정보통신서비스 제공자에게 CISO를 임원으로 두도록 규정하고 있다. 금융기관은 2015년부터 자산 10조원 이상, 직원 1000명 이상인 경우 CISO를 임원으로 두고 있다. 기업의 부담감 호소에도 민간에서는 임원급 CISO 제도 운영 정책이 실시되고 있다.

공공기관은 대부분 정보보호책임관이 없다. 공공이 처리하고 있는 개인정보 규모는 민간기업보다 큰 곳이 매우 많다. 보건복지부 의료/복지정보를 고려하면 국내에서 가장 큰 개인정보처리자가 복지부 산하 공공기관임을 짐작할 수 있다. 국세청 납세기록을 정리하면 국민 사회생활 이력을 재현할 수 있고, 교육부정보로는 국민생애 12년 동안의 주요 활동 기록을 알 수 있다.

국민연금, 건강보험, 고용보험, 수도세, 전기세, 가스세, 재산세, 근로소득세 등 정기적으로 고지되는 비용청구기관이 보유한 국민 개인정보 규모는 대부분 민간기업보다 훨씬 광범위하고 세세하다. 민간에 견주면 통신사와 은행이 처리하는 개인정보량과 같다.

공공부문은 민감한 국민정보를 대규모 처리하기 때문에 ‘정보보호 책임관’은 민간이 아니라 공공부터 시작되었어야 한다. 비용부담이 큰 민간은 법으로 강제할 정도로 필요성이 충분히 인정됐지만 반면에 선제로 나서서 모범을 보여야 하는 공공에서는 오히려 시행되지 못했다.

‘정보보호 책임관’ 필요성은 명확하다. 20대 국회는 ‘정보보호 책임관’ 임명을 포함한 전자정부법 개정안이 발의했지만 우선순위에서 밀려 통과시키지 못했다. 21대 국회에서는 통과되기를 기대한다.

https://www.etnews.com/20200928000075

 

목록