“보안은 ‘위생’과 같은 것, 평소관리 중요”

한국수자원공사 정보관리처 내에 정보보안팀이 신설됐다.
최근 국가주요기반시설에 대한 보안 강화가 요구되는 가운데, 국가기반시설을 관리하는 기관으로서 보안은 수자원공사에게 더욱 중요한 이슈였기에 보안 전담 부서 설치는 꼭 필요한 과업이었다.
새 보안 팀의 초대 팀장을 맡게 된 박우양 팀장은, 그동안 적절히 대응하지 못했던 보안 정책 및 규정들을 정립하고, 앞으로 공사가 보완해 나가야할 보안의 큰 밑그림을 그리고 있는 중이다. 박우양 팀장을 만나 앞으로의 계획과 포부에 대해 들어봤다.

연보라 기자 bora@ciociso.com

보안팀 신설, 국가기반시설로서 보안 강화

▲ “당장 사고의 위험이 보이지 않는다고 해서, 혹은 ‘이 정도면 괜찮겠지’하는 안이한 마음으로 보안이라는 부분을 소홀히 하게 되면, 사고가 발생할 확률은 높아질 수밖에 없는 것이다” -박우양 한국수자원공사 정보보안팀장

한국수자원공사가 지난 1월 정보보안팀을 신설했다. 새로운 팀의 초대 팀장은 박우양 팀장이 맡게 됐다.
공기업 중에서도 IT의 변화에 빠르게 적응하는 기관에 속하는 수자원공사는 IT 기술이 발전하고 업무 생산성이 증가하는 것과 비례해 보안의 위험성도 함께 증가함에 따라 보안 전담조직을 구성하게 됐다.
특히 최근 국가주요기반시설에 대한 보안 강화가 절실히 필요한 시점이어서, 수자원공사는 댐, 수도, 발전 등 국가기반시설을 관리하는 기관으로서 보안 이슈가 더욱 크게 작용했다고 박 팀장은 전한다. 국정원, 국토해양부, 행정안전부 등 여러 국가기관에서 수시로 점검 및 평가가 나오고 있어 이에 대한 전담인력이 필요했기 때문이다.
아직은 팀 인원이 5명에 불과해 주어진 업무에 비해 인력이 부족하기는 하지만 올해 공사 전체를 통틀어 신규추진사업 분야 외에는 인력이 충원된 부서가 없는 점을 감안한다면, 팀 신설만으로도 조직 면에서 획기적인 부분이라고 박 팀장은 설명한다.

망 분리 취약점 제거 위한 IT시스템 구축

현재 한국수자원공사 정보보안팀은 그동안 관리적인 측면에서 소홀히 했던 보안 관련 정책 및 절차 기준을 실정에 맞게 정립하고, 올해 중점적으로 추진해야할 보안사업에 대한 계획을 세우고 있는 단계다.
박 팀장은 올해 보안과 관련된 각종 제도를 정립하고 정보통신기반시설에 대한 취약점을 분석, 점검을 통해 도출된 보안 개선사항을 실질적으로 개선할 방침이다.
새롭게 출발한 정보보안팀이 올해 추진하는 가장 큰 사업 중 하나는 단 방향 전송시스템을 설치하는 것이다.
수도, 발전, 댐 등 수자원공사가 운영관리하고 있는 설비들을 본사 등에서 원격으로 감시/제어하고 각종 데이터를 수입, 처리, 표출, 저장하는 IT시스템이 있는데 이 시스템은 업무 망과 분리된 별도의 망으로 운영되고 있다.
하지만 불가피하게 이 망과 업무망 사이의 자료연계를 위한 접점이 있는데, 이 접점에서의 보안상 취약점을 제거하기 위해 설치하는 시스템이 단 방향 전송시스템이다. 

생산성 vs 보안 딜레마

처음 보안업무를 맡게 된 박우양 팀장은 보안 담당자로서의 딜레마에 대해 토로했다.
어떻게 하면 업무의 효율성과 보안의 균형을 이룰 수 있을까 하는 것이 그의 고민이다.
수자원공사는 공기업으로서 IT 기술을 선도적으로 도입해 업무적으로 많이 활용해야 하는 사명이 있는데, 반면 IT 기술을 업무에 적용할수록 업무 생산성은 높아지지만 이와 동반해서 보안 취약점도 증가하기 마련이기 때문이다.
따라서 첨단 IT기술이 업무에 도입할 경우, 얼마나 취약점이 개선되고 보안상 적합한 시스템을 구축할 수 있는가가 최근의 이슈라고 박 팀장은 설명한다.
특히 모바일은, 언제 어디서나 유연하게 회사의 업무에 접근할 수 있는 스마트 환경을 조성해 업무생산성을 높일 수 있기 때문에 요즘 공사에서 주목하고 있지만 보안상 취약점 때문에 쉽게 도입하지 못하는 형편이다.
모바일뿐 아니라 가상화, 클라우드, 망 분리 등 많은 사업을 계획하고 있지만, 이러한 IT프로젝트를 보안 취약점과 잘 절충해 업무에 도입하기 위한 고민이 깊다.
또한 보안을 강화해야 한다는 인식은 회사 전반적으로 높아져 있지만, 실질적으로 보안 강화활동을 전개하면 직원들과 갈등이 생기는 것도 보안 담당자로서의 애로사항 중 하나라고 박 팀장은 전했다.
“도입의 필요성은 알지만, 그만큼 취약점도 많다는 것을 잘 알기 때문에, 때로는 상급기관의 보안성 검토 때문에 시간이 지체될 때가 있다. 시간이 촉박한 사업부서에서는 보안을 ‘전봇대’와 같은 존재로 인식할 수도 있을 것이다”라고 박 팀장은 말했다.
그러나 국가주요기반시설을 관리하는 공기업으로서 사이버테러 등 사고 발생 시 사회적 혼란은 물론 국민의 안전과 국가경제에 미치는 영향은 매우 심각하므로, 기술적으로 공사에 적합한 보안환경을 구축하는 것이 정보보안팀의 최우선과제라는 게 그의 결론이다.
박 팀장은 “이를 위해 우선적으로 취약점 분석 등을 통해 문제점을 개선하고 외부기관의 사례 등을 연구하는 한편 장기적으로 조직 확충 및 인력 역량강화가 필요하다”고 강조했다.

평소 관리가 보안 수준 결정한다

박우양 팀장은 1990년대 한국수자원공사에 전자통신직종으로 입사해 23년간 근무하면서 주로 댐, 수도, 건설 분야의 전자통신설비 설계업무를 맡아왔다. 발령 전 지난해에는 1년 동안 모 대학교에서 ‘공기업 고급정책과정’이라는 외부 위탁교육을 받기도 했다.
박 팀장은 2009년 북한의 임진강 방류 사건에 대한 사후조치를 책임진 인물이기도 하다. 2년간 댐 설계에서부터 운영관리까지 총괄하며 그가 절실히 느낀 점은 평소 타성에 젖어 소홀히 할 수 있는 사소한 부분이 얼마나 큰 사고로 이어질 수 있는지에 대한 것이었다.
보안도 이와 마찬가지의 개념이라고 박 팀장은 보고 있다. 당장 사고의 위험이 보이지 않는다고 해서, 혹은 ‘이 정도면 괜찮겠지’하는 안이한 마음으로 보안이라는 부분을 소홀히 하게 되면, 사고가 발생할 확률은 높아질 수밖에 없는 것이다.
또 박 팀장은 보안을 ‘위생’에 비유했다. 손을 씻지 않는다고 당장 병에 걸리는 것은 아니지만, 평소에 위생관리를 철저히 한 사람은 그렇지 않은 사람에 비해 더 건강하고 병에 걸릴 확률이 적을 것이라는 설명이다.
정보보안팀이 신설된 뜻 깊은 해에 초대 팀장으로 부임한 만큼 어깨가 무겁다고 말하는 박우양 팀장. 그는 “시작이 반인만큼, 나머지 반도 잘 꾸려가서 정보보안팀의 든든한 기반이 다지는 한해가 되도록 하겠다”는 포부를 밝혔다.

<박우양 한국수자원공사 정보보안팀장>

1990 한국수자원공사 입사
~1996 설계처 근무: 댐, 수도 등 기반시설의 정보통신설비 설계, 공사 감독
                    인공위성에 의한 홍수예경보시스템 도입
1997~2000 댐 관리처 근무: 댐정보통신, 홍수예경보 시스템 총괄 관리
2001~2002 임진강 강우레이더 공사 및 운영
2003~2006 주안댐 관리단 전자통신 차장
2007~2009 물관리센터 근무: 댐정보통신, 홍수예경보 시스템 총괄 관리
2009~2010 임진강건설단 근무: 임진강 홍수해방지 일환으로 공사 중인 군남댐, 한탄강댐의 홍수예경보 시스템 설치공사 감독
2012 고려대학교 공기업 고급정책과정 수료
2013 정보관리처 정보보안팀장