2024.05.14 (화)
공공 보안팀 구성하려면 전략적 사고해야
정보보호기본법 제정으로 전체 통제하는 거시적 관점 필요
최근 각종 침해사고와 해킹 등으로 인해 보안 이슈가 부각되면서 특히 공공기관에 대한 정부의 보안조치는 더욱 강화되고 있다. 그러나 급속도로 증가한 보안업무에 비해 보안인력은 턱없이 부족한 실정이다. 인력이 부족하니 보안전담 조직 구성도 요원한 일일 수밖에 없다.
정부에서 여러 채널을 통해 보안전담 조직 설치를 권장하고 있는 추세와는 정반대의 현실이다. 독립적인 보안전담팀 구성은 지속적인 보안강화의 출발이라는 점에서 분명 시정돼야 할 문제이다. 공공기관의 보안전담팀 구성을 가로막는 걸림돌은 무엇인지, 보안전담팀을 구성하기 위해서는 기관별로 어떤 노력들이 필요할지에 대해 각 기관들의 의견을 들어봤다.
연보라 기자 bora@ciociso.com
정보보안 사고 및 해킹기법이 갈수록 다양화·최신화·대형화되고 있고, 이에 따라 각종 관련 법규가 강화되고 있는 상황에서 사내 적정 보안수준 유지를 위해서는 보안전담팀 구성이 필수적이라는 지적이 높다.
보안전담팀의 구성 유무는 한 기관의 보안수준을 가늠하는 척도가 되기도 한다. 보안전담팀이 구성돼 있지 않다는 것은 팀 단위 조직을 구성할 만큼 보안인력이 충분하지 않다는 의미이며, 전사적인 보안을 수행할 만한 독립적이고 강력한 권한을 갖고 있지 않음을 나타내기 때문이다. 이에 따라 정부에서는 여러 채널을 통해 보안전담팀 구성을 권장하고있다. 「국가정보보안기본지침」제5조에 따르면 ‘효율적이고 체계적인 정보 보안 업무를 수행하기 위해 관련 전담조직을 구성·운영해야 한다’고 명시돼 있다.
또한 국정원에서 매년 각 기관을 대상으로 실시하는 ‘공공기관 정보보안 관리실태 평가’에 보안전담팀 구성에 관한 항목이 포함돼 있다. 이 평가결과는 공공기관 경영평가 시 책임경영부문의 사이버보안시스템 구축 및 운영실적에 관한 평가에 반영된다. 그러나 실제 보안실태 평가결과가 경영평가에 미치는 영향은 극히 미미할 뿐만 아니라, 그 중에서도 보안전담팀 유무로 인한 가점 또는 감점은 거의 무의미하다고 볼 수 있을 정도로 작다는 것이 기관 관계자들의 설명이다. 따라서 보안전담팀 구성을 유도하는 정부의 권장조치는 아직까지 실효성이 크지 않다는 평가이다.
보안업무 넘쳐나는데 인력은 태부족
아직까지 대다수의 기관들에는 보안 전담조직이 구성돼 있지 않은 실정이다. 전담팀 구성은커녕 부족한 보안인력으로 인해 과중한 업무에 시달리고 있다는 게 관계자들의 공통적인 하소연이다.
현재 각 정부부처들은 개인정보보호법, 전자정부법, 국가정보화기본법, 정보통신망법, 정보시스템구축운영지침, 국가정보보안기본지침, 국가정보원법 등 각기 정보보호 관련법을 제정해 감독하고 있지만 이를 모두 시행해야 하는 공공기관의 입장에서는 업무량이 실로 어마어마하다는 것이다. 그에 반해 보안전담인력은 절대적으로 부족하다. 모 공사의 보안담당 과장은“하나의 시스템을 개발하고자 해도 검토해야할 법령이 너무나 많다”며“전사의 정보보호를 관리하는 데 4명의 인원으로는 대처가 곤란하며 전문 인력 충원이 절실한 실정”이라고 토로했다.
대부분 IT부서가 보조적 보안업무 병행
아직 대다수의 기관들은 IT 부서 내에 보조적인 형태로 정보보호 업무를 수행하고 있는 실정이다. 그러나 업무 효율성을 추구하는 IT 업무와 정보통신의 안정성 및 신뢰성을 추구하는 정보보안 업무는 서로 이해가 상충되는 부분이 있어 IT 부서장이 의사결정을 내리는 데 어려움이 있다는 것이 관계자들의 공통된 이야기이다.
김학진 신용보증기금 IT 전략부장은 “IT 서비스 수준과 정보보안 수준은 ‘시소’와 같은 관계로, 두 기능이 대등하지 못하고 정보보안이 종속 관계에 놓인다면, 본래의 역할을 다하지 못하는 경우가 분명 발생할 것” 이라고 지적하며 “사이버 위협에 제대로 대응하기 위해서는 정보보안 업무를 IT 부서에서 독립시키고 권한과 책임을 강화할 필요성이 있다”고 강조했다.
또 다른 한 CIO는 “IT 부서장 한 사람이 기획, 운영, 개발에 보안까지 총괄하려면 챙겨야할 업무량이 너무 과중해 놓치는 부분이 많을 수밖에 없다. 팀 인원은 9명 이하가 가장 적절한데, 보안업무까지 떠맡기에는 기존 IT 부서의 인원은 물론 업무량이 이미 포화상태”라고 말했다.
기재부 승인‘별따기’, 보안팀은‘버리는 카드’
▲ “업무 효율성을 추구하는 IT 업무와 정보통신의 안정성 및 신뢰성을 추구하는 정보보안 업무는 서로 이해가 상충되는 부분이 있다. 사이버위협에 제대로 대응하기 위해서는 정보보안업무를 IT 부서에서 독립시키고 권한과 책임을 강화할 필요성이 있다” 권오웅 기상청 정보통신기술과장 |
공공기관이 보안팀을 신설하기 위해서는 우선 기획재정부의 승인을 받아 정원을 늘려 팀을 구성하게 된다. 이를 위해 우선 해당기관 내 기획부서에서 기관의 전략 또는 개별부서의 요청에 따라 조직/인원/예산을 계획해 수요를 제기하면, 기재부가 각각 조직과 인원, 예산을 고려해 총 정원을 배정해주게 된다. 이를 바탕으로 기관 각 부서의 업무량 등을 감안해 각 부서별 정원이 정해지고 있다.
그러나 기재부는 효율성 측면에서 한정된 인력 및 예산을 수많은 기관들에게 배분해야 하는 부처인지라 공공기관이 기재부 승인을 받는 것이 쉬운 일은 아니다. 기재부는 우선순위에 따라 인원을 배정하게 되는데, 보안은 아직까지도 ‘시급하지 않은’ 후순위 분야로 여겨지는 경향이 있다. 더군다나 과거에 정부 때부터 지속적으로 추진되고 있는 ‘작은 정부’ 기조로 인해 인력 증원 요청이 반영되기란 하늘의 별따기라고 말한다.
그러나 기재부의 승인을 통해 인원을 증원하지 않더라도 보안팀을 구성하는 것은 가능하다. 바로 기관 내에서 인원을 차출해 보안팀을 구성하는 것이다. 따라서 기재부의 승인이 어려운 것은 어쩔 수 없다고 해도, 내부 경영층에서 의지를 가지고 팀을 만들어준다면 미약하나마 팀 신설이 가능하다.
하지만 이 방법 또한 녹록치 않다고 공공 CIO들은 입을 모은다. CEO나 CFO 등 경영진들의 보안인식이 아직까지 부족한 것이 사실이기 때문이다. 어찌보면 보안팀 설치가 어려운 가장 근본적인 원인은 내부적인 인식 부족이라는 것이 관계자들의 중론이다.
게다가 공공기관 경영평가 항목 중에서 본부인력 감축 및 예산절감 등이 평가항목으로 들어가 있어 무작정 보안인력 확충을 요구하기가 어려운 실정이다. 이 점수는 100점 만점 중에서 10점에 해당돼 꽤 큰 비중을 차지하고 있다. 반면에 ‘공공기관 정보보안 관리실태 평가’의 127개 항목 중 보안전담팀 유무에 대한 것이 일부 포함돼 있으며, 이 평가 결과는 경영평가 내 책임경영 부문의 한 항목에 지표로 활용되고 있다. 좀 더 자세히 살펴보면, 경영평가 중 책임경영 범주에‘경영공시, 통합 경영공시, 정보공개 시스템 및 사이버보안시스템 등이 적절하게 구축돼 운영되고 있는가’라는 항목이 있어 여기에 참고지표로 활용되고 있는 것이다.
▲ “과거 정부 때부터 지속적으로 추진되고 있는 작은 정부의 구현과 공공기관의 대외평가에 본부인력 감축 및 예산절감 등이 평가항목으로 들어가 있어서 무작정 보안인력 확충을 요구하기는 어려운 실정이다” 김학진 신용보증기금 IT전략부장 |
경영진 설득 위해 외부 전문가 활용하라
아직까지 보안전담팀을 구성하지 못한 한국농어촌공사는 IT 총괄팀 내 정보보안 파트를 두고 겸직을 하고 있는 상황이다.
지난 2012년 6월 국정원의 관리실태 평가 이후 연말까지 경영진과 기획조정실, 경영 관리실 등 주무부서에 보안팀 신설을 피력해 왔지만 매번 좌절됐다. 팀 증설이나 인원충원이 불가하다는 공사 입장 때문이다.
그러나 아직도 보안팀 구성을 위한 노력은 계속되고 있다. 김홍근 한국농어촌공사 정보화추진처장은 “국정원 직원과 CEO와의 면담을 주선하고, 주무부처인 농림수산부의 담당자로부터 보안팀 구성을 촉구하는 공문 발송을 요청하는 등 여러 가지 시도를 한 끝에 현재 전략기획팀이 상황의 심각성을 인식은 한 상태”라며 “얼마나 추가인원이 필요한지 업무 분석을 해보자는 수준까지 합의가 도달해 있다”고 설명했다.
더불어 김 처장은 향후 농어촌공사의 부사장을 필두로 농림부 사이버안전센터, 한국인터넷진흥원, 국가정보원, 안전행정부, 민간 전문가, 대학교수 등을 합쳐 정보보호거버넌스협의회를 구성, 자문회의를 추진한다는 계획이다. 이 회의의 보고서를 통해 산학연의 의견을 CEO에게 보고해 인식을 심어주기 위함이다.
김 처장은 “경영진을 설득하기가 어려울 때는 내부에서 이야기하는 것보다 외부 전문가의 의견을 정리해 전달하거나, 경영층과 직접 대면하게 하는 것이 유용하다”고 조언했다.
보안전담팀필요성,‘ 성과로증명하라’
▲ “기재부 승인으로 인력 충원 없이 내부적으로 보안 인력을 늘려 팀을 구성하려고 하면 IT 부서에서 인원을 차출하는 것이 가장 편한 방법이다. 그러나 IT도 여건이 열악한 상황에서 IT 인원을 차출해 보안팀을 꾸린다는 것은 둘 다 포기하겠다는 것과 마찬가지이다” 임경택 한국동서발전 ICT총괄센터장 |
경영층 마인드가 보안팀 설치 위한 핵심
▲ “도로공사는 보안팀 설치 이전에는 보안관리실태 평가에서 거의 최하위 점수를 받았지만, 보안팀 구성 이후 1년 만에 2위로 올라서는 혁혁한 성과를 이뤘다. 부족한 인원으로 출발했지만 여러 성과로 인해 보안예산과 인원, 조직도 과거보다는 대폭 확대된 상황이다” 김홍철 한국도로공사 정보보안팀장 |
▲ “회사 전체적인 인적배분에 있어서 임원들이 얼마나 보안에 중요성과 우선권을 두느냐가 관건이다. 재경부 등 상부기관에서는 회사 전체의 정원을 관리하기 때문에 상부기관보다는 정부차원의 정보보호에 대한 인식 및 제도가 뒷받침돼야 한다고 본다” 박우양 한국수자원공사 정보보안팀장 |
공공분야에도‘5.5.7 규준’필요하다
현재 금융권은 전자금융감독규정에 따라‘IT 인력은 총임직원수의 5%, 정보보호인력은 IT인력의 5%, 정보보호 예산은 IT예산의 7% 이상이 되도록 하라’는 이른바 5.5.7 규준에 의해 다른 산업군에 비해 비교적 강화된 보안활동을 수행해오고 있다.
이에 공공기관 보안 담당자들은 “사기업에서도 이러한 가이드라인에 따라 보안이 움직이고 있는데, 하물며 국가 정책을 수행하는 공공기관은 이런 것들이 없는 열악한 실정”이라고 토로하고 있다. 기재부는 예산, 인력의 통제 및 경영평가로 효율성을 기할 수밖에 없는 구조이기 때문에 보안을 위한 별도의 가이드라인이 있다면 훨씬 자율적으로 보안팀을 운영할 수 있을 것이라는 의견이다.
안전행정부에서 IT 인력의 3%를 보안인력으로 두도록 권장하고 있기는 하지만, 권장사항일 뿐이고 전체 임직원에 대한 비중이 정해져있지 않은 상황에서는 의미 없는 규정이라는 말도 있다.
▲ “부처들끼리 한 테이블에 앉아 협의해야 한다. 각 부처들이 시행기관들의 사정은 보지 못하고 저마다 상충되거나 중복된 규정들로 감독을 하고 있어서 이를 검토하는 업무가 상당히 과중하다. 보안 관련법들을 재정비하고 보안조직과 인력, 예산에 대한 가이드라인이 명확하게 제시돼야 한다” 김홍근 한국농어촌공사 정보화추진처장 |
국가정보화기본법 제정으로 조직, 인원 통제해야
보안팀 유무와 관계없이 대부분의 공공기관들은 보안전담인력의 태부족을 호소하고 있다.
각 부처에서 지시되는 수많은 보안관련 지침에 비해 인력은 부족해 과중한 업무에 시달리고 있다는 것이 관계자들의 공통적인 하소연이다.
공공기관이 준수해야 할 보안 관련법 및 지침을 정리해보면 개인정보보호법, 전자정부법, 국가정보화기본법, 정보통신망법, 정보시스템구축운영지침, 국가정보보안기본지침, 국가정보원법 등 각기 정보보호 관련법, 전자감독규정 등을 합하면 100여 개 항목이 넘는다. 하나의 시스템 개발에도 검토해야할 법령이 너무 많아, 어떤 경우에는 아예 사업을 폐기하는 경우도 있다는 지적이다.
이에 기관들은 부처 간 협의를 통해 중복되고 산재돼있는 보안 관련법들을 일관성 있게 재정비해야 한다고 강력하게 호소하고 있다. 꾸준히 제기되고 있는 ‘국가정보보안 컨트롤타워’와도 일맥상통하는 이야기다. 공공기관을 비롯해 국가 보안체계를 강화하기 위해서는 무엇보다도 ‘정보보호기본법 제정’이 시급하다는 주장이 최근 들어서 강하게 대두되고 있다. 과거에 각종 IT 관련법들이 우후죽순 제정된 후‘국가정보화기본법’을 제정해 교통정리를 한 사례처럼, 정보보안 분야에도 동일한 과정이 필요하다는 지적이다.
한 CIO는 “기재부가 자의에 따라 보안인력 증원을 승인해주기를 바라는 것이 아니라, 정보보호기본법 제정을 통해 보안 예산과 인력, 조직 모든 것들을 통제하는, 거시적인 관점에서의 해결이 필요하다”고 주장했다. 정보보안에 대해서는 명확하고 일관된 기준 제시가 필수적이다. 이러한 기준에 따라 공공기관의 정보보안 담당자 및 현업 사용자가 보안업무를 수행해야만 국가적으로 효과적인 정보보안 수준 향상을 도모할 수 있을 것으로 보인다.