공공 보안팀 구성하려면 전략적 사고해야

정보보호기본법 제정으로 전체 통제하는 거시적 관점 필요

최근 각종 침해사고와 해킹 등으로 인해 보안 이슈가 부각되면서 특히 공공기관에 대한 정부의 보안조치는 더욱 강화되고 있다. 그러나 급속도로 증가한 보안업무에 비해 보안인력은 턱없이 부족한 실정이다. 인력이 부족하니 보안전담 조직 구성도 요원한 일일 수밖에 없다.
정부에서 여러 채널을 통해 보안전담 조직 설치를 권장하고 있는 추세와는 정반대의 현실이다. 독립적인 보안전담팀 구성은 지속적인 보안강화의 출발이라는 점에서 분명 시정돼야 할 문제이다. 공공기관의 보안전담팀 구성을 가로막는 걸림돌은 무엇인지, 보안전담팀을 구성하기 위해서는 기관별로 어떤 노력들이 필요할지에 대해 각 기관들의 의견을 들어봤다.

연보라 기자 bora@ciociso.com

정보보안 사고 및 해킹기법이 갈수록 다양화·최신화·대형화되고 있고, 이에 따라 각종 관련 법규가 강화되고 있는 상황에서 사내 적정 보안수준 유지를 위해서는 보안전담팀 구성이 필수적이라는 지적이 높다.
보안전담팀의 구성 유무는 한 기관의 보안수준을 가늠하는 척도가 되기도 한다. 보안전담팀이 구성돼 있지 않다는 것은 팀 단위 조직을 구성할 만큼 보안인력이 충분하지 않다는 의미이며, 전사적인 보안을 수행할 만한 독립적이고 강력한 권한을 갖고 있지 않음을 나타내기 때문이다. 이에 따라 정부에서는 여러 채널을 통해 보안전담팀 구성을 권장하고있다. 「국가정보보안기본지침」제5조에 따르면 ‘효율적이고 체계적인 정보 보안 업무를 수행하기 위해 관련 전담조직을 구성·운영해야 한다’고 명시돼 있다.
또한 국정원에서 매년 각 기관을 대상으로 실시하는 ‘공공기관 정보보안 관리실태 평가’에 보안전담팀 구성에 관한 항목이 포함돼 있다. 이 평가결과는 공공기관 경영평가 시 책임경영부문의 사이버보안시스템 구축 및 운영실적에 관한 평가에 반영된다. 그러나 실제 보안실태 평가결과가 경영평가에 미치는 영향은 극히 미미할 뿐만 아니라, 그 중에서도 보안전담팀 유무로 인한 가점 또는 감점은 거의 무의미하다고 볼 수 있을 정도로 작다는 것이 기관 관계자들의 설명이다. 따라서 보안전담팀 구성을 유도하는 정부의 권장조치는 아직까지 실효성이 크지 않다는 평가이다.

보안업무 넘쳐나는데 인력은 태부족

아직까지 대다수의 기관들에는 보안 전담조직이 구성돼 있지 않은 실정이다. 전담팀 구성은커녕 부족한 보안인력으로 인해 과중한 업무에 시달리고 있다는 게 관계자들의 공통적인 하소연이다.
현재 각 정부부처들은 개인정보보호법, 전자정부법, 국가정보화기본법, 정보통신망법, 정보시스템구축운영지침, 국가정보보안기본지침, 국가정보원법 등 각기 정보보호 관련법을 제정해 감독하고 있지만 이를 모두 시행해야 하는 공공기관의 입장에서는 업무량이 실로 어마어마하다는 것이다. 그에 반해 보안전담인력은 절대적으로 부족하다. 모 공사의 보안담당 과장은“하나의 시스템을 개발하고자 해도 검토해야할 법령이 너무나 많다”며“전사의 정보보호를 관리하는 데 4명의 인원으로는 대처가 곤란하며 전문 인력 충원이 절실한 실정”이라고 토로했다.

대부분 IT부서가 보조적 보안업무 병행

아직 대다수의 기관들은 IT 부서 내에 보조적인 형태로 정보보호 업무를 수행하고 있는 실정이다. 그러나 업무 효율성을 추구하는 IT 업무와 정보통신의 안정성 및 신뢰성을 추구하는 정보보안 업무는 서로 이해가 상충되는 부분이 있어 IT 부서장이 의사결정을 내리는 데 어려움이 있다는 것이 관계자들의 공통된 이야기이다.
김학진 신용보증기금 IT 전략부장은 “IT 서비스 수준과 정보보안 수준은 ‘시소’와 같은 관계로, 두 기능이 대등하지 못하고 정보보안이 종속 관계에 놓인다면, 본래의 역할을 다하지 못하는 경우가 분명 발생할 것” 이라고 지적하며 “사이버 위협에 제대로 대응하기 위해서는 정보보안 업무를 IT 부서에서 독립시키고 권한과 책임을 강화할 필요성이 있다”고 강조했다.
또 다른 한 CIO는 “IT 부서장 한 사람이 기획, 운영, 개발에 보안까지 총괄하려면 챙겨야할 업무량이 너무 과중해 놓치는 부분이 많을 수밖에 없다. 팀 인원은 9명 이하가 가장 적절한데, 보안업무까지 떠맡기에는 기존 IT 부서의 인원은 물론 업무량이 이미 포화상태”라고 말했다.

기재부 승인‘별따기’, 보안팀은‘버리는 카드’

▲ “업무 효율성을 추구하는 IT 업무와 정보통신의 안정성 및 신뢰성을 추구하는 정보보안 업무는 서로 이해가 상충되는 부분이 있다. 사이버위협에 제대로 대응하기 위해서는 정보보안업무를 IT 부서에서 독립시키고 권한과 책임을 강화할 필요성이 있다” 권오웅 기상청 정보통신기술과장

공공기관이 보안팀을 신설하기 위해서는 우선 기획재정부의 승인을 받아 정원을 늘려 팀을 구성하게 된다. 이를 위해 우선 해당기관 내 기획부서에서 기관의 전략 또는 개별부서의 요청에 따라 조직/인원/예산을 계획해 수요를 제기하면, 기재부가 각각 조직과 인원, 예산을 고려해 총 정원을 배정해주게 된다. 이를 바탕으로 기관 각 부서의 업무량 등을 감안해 각 부서별 정원이 정해지고 있다.
그러나 기재부는 효율성 측면에서 한정된 인력 및 예산을 수많은 기관들에게 배분해야 하는 부처인지라 공공기관이 기재부 승인을 받는 것이 쉬운 일은 아니다. 기재부는 우선순위에 따라 인원을 배정하게 되는데, 보안은 아직까지도 ‘시급하지 않은’ 후순위 분야로 여겨지는 경향이 있다. 더군다나 과거에 정부 때부터 지속적으로 추진되고 있는 ‘작은 정부’ 기조로 인해 인력 증원 요청이 반영되기란 하늘의 별따기라고 말한다.
그러나 기재부의 승인을 통해 인원을 증원하지 않더라도 보안팀을 구성하는 것은 가능하다. 바로 기관 내에서 인원을 차출해 보안팀을 구성하는 것이다. 따라서 기재부의 승인이 어려운 것은 어쩔 수 없다고 해도, 내부 경영층에서 의지를 가지고 팀을 만들어준다면 미약하나마 팀 신설이 가능하다.
하지만 이 방법 또한 녹록치 않다고 공공 CIO들은 입을 모은다. CEO나 CFO 등 경영진들의 보안인식이 아직까지 부족한 것이 사실이기 때문이다. 어찌보면 보안팀 설치가 어려운 가장 근본적인 원인은 내부적인 인식 부족이라는 것이 관계자들의 중론이다.
게다가 공공기관 경영평가 항목 중에서 본부인력 감축 및 예산절감 등이 평가항목으로 들어가 있어 무작정 보안인력 확충을 요구하기가 어려운 실정이다. 이 점수는 100점 만점 중에서 10점에 해당돼 꽤 큰 비중을 차지하고 있다. 반면에 ‘공공기관 정보보안 관리실태 평가’의 127개 항목 중 보안전담팀 유무에 대한 것이 일부 포함돼 있으며, 이 평가 결과는 경영평가 내 책임경영 부문의 한 항목에 지표로 활용되고 있다. 좀 더 자세히 살펴보면, 경영평가 중 책임경영 범주에‘경영공시, 통합 경영공시, 정보공개 시스템 및 사이버보안시스템 등이 적절하게 구축돼 운영되고 있는가’라는 항목이 있어 여기에 참고지표로 활용되고 있는 것이다.

▲ “과거 정부 때부터 지속적으로 추진되고 있는 작은 정부의 구현과 공공기관의 대외평가에 본부인력 감축 및 예산절감 등이 평가항목으로 들어가 있어서 무작정 보안인력 확충을 요구하기는 어려운 실정이다” 김학진 신용보증기금 IT전략부장

책임경영이 3점이고, 그 중에서 사이버보안이 일부를 차지하고 있어 실제 보안전담팀 구성여부가 경영평가에 미치는 영향은 1점 미만으로 아주 미미하다. 팀 증설에 따른 평가점수는 10점이고, 보안팀 구성으로 인한 가점은 1점 미만이라면, 기관 입장에서는 당연히 10점의 길을 택할 수밖에 없을 것이다. 보안팀은‘버리는 카드’가 되는 셈인 것이다.
모 공사 보안팀장은 “보안팀 구성에 대해 구체적이고 실효성 있는 규정이 없기 때문에 팀 구성에 대해 사내 기획과에 호소해도 거부당하는 경우가 많다”며 “보안이 업무 시급도 면에 있어서 후순위로 밀릴 수밖에 없다”고 설명했다.
증원 없이 내부 인력 차출로 보안팀을 구성했다 할지라도 문제점은 있다. 보안은 전문분야인 만큼 대개 IT 내부에서 보안인력을 떼어다 주는 것이 보통이다. 그러나 이 경우 IT 부서의 감원경영으로 인해 업무 부실이 생길 소지가 있다. 임경택 한국동서발전 ICT총괄센터장은 “정부기관 또는 주무부처로부터 보안전담팀을 설치하라는 압력이 있지만 기재부의 승인을 받아 인원을 늘리는 것은 어려운 실정이어, 기관장들로서는 IT 부서에서 인원을 차출하도록 지시하는 것이 가장 편한 방법일 것”이라며 “그러나 IT도 여건이 열악한 상황에서 이를 떼어다가 보안팀까지 꾸리라는 것은 IT와 보안 둘 다 포기하겠다는 것과 마찬가지”라고 비판했다.

경영진 설득 위해 외부 전문가 활용하라

아직까지 보안전담팀을 구성하지 못한 한국농어촌공사는 IT 총괄팀 내 정보보안 파트를 두고 겸직을 하고 있는 상황이다.
지난 2012년 6월 국정원의 관리실태 평가 이후 연말까지 경영진과 기획조정실, 경영 관리실 등 주무부서에 보안팀 신설을 피력해 왔지만 매번 좌절됐다. 팀 증설이나 인원충원이 불가하다는 공사 입장 때문이다.
그러나 아직도 보안팀 구성을 위한 노력은 계속되고 있다. 김홍근 한국농어촌공사 정보화추진처장은 “국정원 직원과 CEO와의 면담을 주선하고, 주무부처인 농림수산부의 담당자로부터 보안팀 구성을 촉구하는 공문 발송을 요청하는 등 여러 가지 시도를 한 끝에 현재 전략기획팀이 상황의 심각성을 인식은 한 상태”라며 “얼마나 추가인원이 필요한지 업무 분석을 해보자는 수준까지 합의가 도달해 있다”고 설명했다.
더불어 김 처장은 향후 농어촌공사의 부사장을 필두로 농림부 사이버안전센터, 한국인터넷진흥원, 국가정보원, 안전행정부, 민간 전문가, 대학교수 등을 합쳐 정보보호거버넌스협의회를 구성, 자문회의를 추진한다는 계획이다. 이 회의의 보고서를 통해 산학연의 의견을 CEO에게 보고해 인식을 심어주기 위함이다.
김 처장은 “경영진을 설득하기가 어려울 때는 내부에서 이야기하는 것보다 외부 전문가의 의견을 정리해 전달하거나, 경영층과 직접 대면하게 하는 것이 유용하다”고 조언했다.

보안전담팀필요성,‘ 성과로증명하라’

▲ “기재부 승인으로 인력 충원 없이 내부적으로 보안 인력을 늘려 팀을 구성하려고 하면 IT 부서에서 인원을 차출하는 것이 가장 편한 방법이다. 그러나 IT도 여건이 열악한 상황에서 IT 인원을 차출해 보안팀을 꾸린다는 것은 둘 다 포기하겠다는 것과 마찬가지이다” 임경택 한국동서발전 ICT총괄센터장

많은 기관들이 보안팀 구성에 애를 먹고 있지만, 몇몇 선도적인 기관들은 보안팀을 구성해 체계적인 보안활동을 펼쳐가고 있다. 그 중에서도 한국도로공사는 공공기관들 사이에서 벤치마킹을 할 만한 우수사례로 꼽히고 있다.
지난 2011년 11월에 재경부 승인을 받아 2012년 1월 정보보안팀을 정식으로 출범한 도로공사는 지난해 정보계획팀장이 정보보안팀장을 겸임해오다 올해 들어 분리 임명하며 본격적인 독립 운영체제를 갖췄다. 보안팀 내 과도 올해 2개 증설돼 총 4개과가 됐다. 김홍철 한국도로공사 정보보안팀장은 “보안팀이 신설된 가장 큰 계기는 농협사건 때문”이었다고 밝히며 “특히 도로공사는 하이패스 사업으로 개인정보를 다량 보유하고 있는 기관인 만큼 유출사고에 대한 위기감이 더욱 컸다고 볼 수 있다”고 설명했다.
사실 도로공사는 보안팀 설치 이전에 국정원의 정보보안 관리실태 평가에서 거의 최하위 점수를 받았던 전력이 있다.
하지만 보안팀이 구성된 후, 보안 정책을 수립하고 보안만을 위한 운영을 따로 해온 결과, 1년 만에 최하위에서 2위로 올라서는 혁혁한 변화가 있었다. 이에 따라 지난해에는 62개 공공기관 모임에서 1위 기관 대신 도로공사가 우수사례를 발표해 많은 기관들의 공감을 얻었다. 또한 지난 4월 공공기관 최초로 모바일워크의 국정원 보안성 심사를 통과하는 성과를 거두기도 했다.
한국수자원공사과 신용보증기금도 올해 1월부터 각각 정보보안팀과 보안통제팀을 신설해 운영해오고 있다. 특히 한국수자원공사는 수자원, 발전, 수도 등 국민생활과 직결된 국가 주요 기반시설을 관리하는 만큼 외부의 사이버 위협으로부터 정보자산을 보호해야 할 이슈가 커 보안팀을 구성하게 됐다.
박우양 한국수자원공사 정보보안팀장은 “아직은 팀원이 5명으로 충분하지 않지만, 올해 공사 전체를 통틀어 신규추진사업 분야 외에 인력이 충원된 부서가 없는 점을 감안한다면, 팀 신설만으로도 조직 면에서 획기적인 부분”이라고 설명했다.

경영층 마인드가 보안팀 설치 위한 핵심

▲ “도로공사는 보안팀 설치 이전에는 보안관리실태 평가에서 거의 최하위 점수를 받았지만, 보안팀 구성 이후 1년 만에 2위로 올라서는 혁혁한 성과를 이뤘다. 부족한 인원으로 출발했지만 여러 성과로 인해 보안예산과 인원, 조직도 과거보다는 대폭 확대된 상황이다” 김홍철 한국도로공사 정보보안팀장

김홍철 한국도로공사 정보보안팀장은 보안전담팀 구성에 있어서 ‘경영층의 의지와 마인드가 가장 큰 핵심’이라고 강조한다. 도로공사의 경우도 기재부의 승인을 이끌어내는 데 있어서 가장 큰 역할을 해준 인물이 바로 CIO인 부사장이었다고 김 팀장은 설명했다. 도로공사의 정보처는 부사장 직속으로 되어있으며 부사장이 직재상 CIO 및 CISO를 맡고 있어 정보처에 힘을 실어주고 있다.
김 팀장은 “부사장을 CIO, CISO로 한 것도 임원진이 직책을 맡아 도로공사가 보안에 관심이 많다는 것을 국정원과 함께 대외적으로 보여주도록 경영층을 설득한 것” 이라며 “부사장이 관련 모임에 참석해 직접 실태에 대해 알게 되면서 보안에 대해 적극적으로 지원해줬다”고 설명했다. 김 팀장은 IT 또는 보안을 하는 사람들이 보다 적극적으로 경영진을 바꾸려는 노력을 기울여야 한다고 피력했다. 저절로 인식이 바뀌기를, 지원해주기를 수동적으로 기다리는 것이 아니라 설득을 위한 적극적인 행동이 요구된다는 것이다.
정보처장을 CIO로 임명하는 편한 방법 대신 부사장이 맡도록 한 것도 그러한 노력의 일환이라고 그는 말한다. 또한 김 팀장은 현실적으로 인력을 넉넉히 배정받기 힘들기 때문에 보안팀이 대개 부족한 상황에서 출발을 할 수밖에 없지만 의기투합해 성과를 내고 실적을 내는 것이 필요하다는 의견이다. 이렇게 되면 조직도, 인원도 확대되고 의사결정하는 사람들이 보안에 대한 마인드를 갖추게 된다는 것이다. 실제 도로공사의 경우 2011년도 보안예산이 4%대 였던 것이 보안팀 구성 이후인 2013년에는 8%로 확대됐다.

▲ “회사 전체적인 인적배분에 있어서 임원들이 얼마나 보안에 중요성과 우선권을 두느냐가 관건이다. 재경부 등 상부기관에서는 회사 전체의 정원을 관리하기 때문에 상부기관보다는 정부차원의 정보보호에 대한 인식 및 제도가 뒷받침돼야 한다고 본다” 박우양 한국수자원공사 정보보안팀장

공공기관에 보안전담팀이 구성되기 위해서는 주무부서 및 정부부처의 역할도 중요하다는 의견이다. 일례로 지난해 전력회사의 해킹사고 이후 지식경제부가 산하 공공기관들 기관장들에게 보안전담팀 설치를 지시해, 많은 기관들의 보안팀이 신설된 것으로 알려져 있다. 또한 당시 국정원에도 기재부에 많은 요구와 설득을 하는 등 큰 역할을 담당했다. 한 공사 CIO는 “지경부 사례처럼 주무부처에서 기관장들을 모아서 보안전담팀을 지시한다면 훨씬 상황은 유리해질 것”이라고 전했다.

공공분야에도‘5.5.7 규준’필요하다

현재 금융권은 전자금융감독규정에 따라‘IT 인력은 총임직원수의 5%, 정보보호인력은 IT인력의 5%, 정보보호 예산은 IT예산의 7% 이상이 되도록 하라’는 이른바 5.5.7 규준에 의해 다른 산업군에 비해 비교적 강화된 보안활동을 수행해오고 있다.
이에 공공기관 보안 담당자들은 “사기업에서도 이러한 가이드라인에 따라 보안이 움직이고 있는데, 하물며 국가 정책을 수행하는 공공기관은 이런 것들이 없는 열악한 실정”이라고 토로하고 있다. 기재부는 예산, 인력의 통제 및 경영평가로 효율성을 기할 수밖에 없는 구조이기 때문에 보안을 위한 별도의 가이드라인이 있다면 훨씬 자율적으로 보안팀을 운영할 수 있을 것이라는 의견이다.
안전행정부에서 IT 인력의 3%를 보안인력으로 두도록 권장하고 있기는 하지만, 권장사항일 뿐이고 전체 임직원에 대한 비중이 정해져있지 않은 상황에서는 의미 없는 규정이라는 말도 있다.

▲ “부처들끼리 한 테이블에 앉아 협의해야 한다. 각 부처들이 시행기관들의 사정은 보지 못하고 저마다 상충되거나 중복된 규정들로 감독을 하고 있어서 이를 검토하는 업무가 상당히 과중하다. 보안 관련법들을 재정비하고 보안조직과 인력, 예산에 대한 가이드라인이 명확하게 제시돼야 한다” 김홍근 한국농어촌공사 정보화추진처장

김홍근 한국농어촌공사 정보화추진처장은 “금융권은 모든 업무가 시스템을 통해 이뤄지고 고객들의 자산이 관련 돼있는 만큼 시스템 보안에 민감해 투자를 할 수밖에 없지만, 공공기관은 전기세나 수도세 징수와 같이 소비자와 직접적으로 연관되는 기관이 아니고서는 크게 보안의 필요성을 인식하고 있지 못하는 것이 사실”이라며 “당장은 문제가 되지 않을지는 몰라도 앞으로 닥칠지 모르는 사이버 위협의 리스크에 대한 적절한 대응체계는 갖추고 있어야 한다”고 강조했다.

국가정보화기본법 제정으로 조직, 인원 통제해야

보안팀 유무와 관계없이 대부분의 공공기관들은 보안전담인력의 태부족을 호소하고 있다.
각 부처에서 지시되는 수많은 보안관련 지침에 비해 인력은 부족해 과중한 업무에 시달리고 있다는 것이 관계자들의 공통적인 하소연이다.
공공기관이 준수해야 할 보안 관련법 및 지침을 정리해보면 개인정보보호법, 전자정부법, 국가정보화기본법, 정보통신망법, 정보시스템구축운영지침, 국가정보보안기본지침, 국가정보원법 등 각기 정보보호 관련법, 전자감독규정 등을 합하면 100여 개 항목이 넘는다. 하나의 시스템 개발에도 검토해야할 법령이 너무 많아, 어떤 경우에는 아예 사업을 폐기하는 경우도 있다는 지적이다.
이에 기관들은 부처 간 협의를 통해 중복되고 산재돼있는 보안 관련법들을 일관성 있게 재정비해야 한다고 강력하게 호소하고 있다. 꾸준히 제기되고 있는 ‘국가정보보안 컨트롤타워’와도 일맥상통하는 이야기다. 공공기관을 비롯해 국가 보안체계를 강화하기 위해서는 무엇보다도 ‘정보보호기본법 제정’이 시급하다는 주장이 최근 들어서 강하게 대두되고 있다. 과거에 각종 IT 관련법들이 우후죽순 제정된 후‘국가정보화기본법’을 제정해 교통정리를 한 사례처럼, 정보보안 분야에도 동일한 과정이 필요하다는 지적이다.
한 CIO는 “기재부가 자의에 따라 보안인력 증원을 승인해주기를 바라는 것이 아니라, 정보보호기본법 제정을 통해 보안 예산과 인력, 조직 모든 것들을 통제하는, 거시적인 관점에서의 해결이 필요하다”고 주장했다. 정보보안에 대해서는 명확하고 일관된 기준 제시가 필수적이다. 이러한 기준에 따라 공공기관의 정보보안 담당자 및 현업 사용자가 보안업무를 수행해야만 국가적으로 효과적인 정보보안 수준 향상을 도모할 수 있을 것으로 보인다.