개인정보보호법 시행의 영향으로 금융권과 공공기관이 개인정보보호를 위해 조직을 개편하고 업무 전담 인력을 배치하는 등 발 빠르게 움직이고 있다. 그러나 정보보호팀 또는 개인정보보호팀 설립을 중심으로 한 이 같은 움직임은 아직 뿌리를 내리지 못하고 있는 상태다. 무엇을 어떻게 해야 할 것인지 명확한 방향과 방안을 찾지 못하고 있기 때문이다. 물론 새로운 규제나 제도를 도입하는 초기 시점이기 때문에 이런 혼란과 개선점이 나오는 것은 당연하다고 말할 수 있다. 하지만 행정안전부 등을 비롯한 정부 부처에서도 의견을 계속 수렴해 더 나은 방안을 마련하고 있는 상황이어서 개인정보보호법에 맞춰 자리를 잡기까지는 시간이 더 걸릴 것으로 보인다. 이런 사정을 감안해 정부도 3월말까지 유예기간을 적용하고 있지만 법을 본격적으로 적용한 이후에도 미흡한 점은 쉽게 사라지지 않을 전망이다. 그러나 관계 전문가들의 말을 들어보면 정보보호는 법과 제도를 통해 해결하기 어렵다는 지적이 동어반복을 이어가고 있다. 보안사고의 대부분이 물리적 요인보다 인적 요인에 의해 발생했기 때문이다. 이 때문에 인적 보안과 보안에 대한 문화를 만드는 게 더 중요하다는 주장이 계속 나오고 있다. 이 같은 주장은, 교과서적인 주장이지만, 개인정보보호법이나 정보통신망법 등 보안과 관련이 있는 법과 제도는 규제가 중심이지 보안의식을 키우는 문화를 정착할 수 있는 내용이 부족하다는 이유 때문이다. 정보보호 및 개인정보보호 이슈는 보안사고와 정부의 규제 등에 따라 공공 및 금융권이 정보보호팀을 구성하고 관련 정책과 전략을 마련하면서 본격화되고 있다. 하지만 어느 때보다 CEO의 의지가 강해야 한다는 지적이 계속 나오고 있다. 이와 함께 법과 제도를 많이 만들기보다는 인적 차원의 보안을 강조할 수 있는 ‘보안 문화’가 정착할 수 있는 방안을 동시에 추진해야 한다는 목소리도 높다. Contents PART I. 공공기관 정보보호부서 현황 보안사고·정부 강제 조항·CEO 강력한 의지로 정보보호팀 구축 PART II. 금융권 정보보호부서 현황 ‘법·제도’보다 시급한 것은 ‘문화’ PART I. 공공기관 정보보호 현황 보안사고·정부 강제 조항·CEO 강력한 의지로 정보보호팀 구축 시스템 확장에 따른 내실화 중요 과제 공공기관과 금융권을 중심으로 개인정보 및 정보보호 체계 수립 마련이 적극적으로 확대되고 있다. 지난해 개인정보보호법 발효에 이어 최근 행정안전부에서 중앙행정기관들을 대상으로 한 ‘개인정보보호 시행계획 작성 지침’설명회를 개최하는 등 빠른 대응을 준비하도록 하고 있는 실정이다. 이러한 작성지침의 계획과 방향에 따라 올해와 내년 각 공공기관들은 개인정보보호 시행계획을 작성하는 한편 개인정보보호 기반 구축 및 역량강화 사업에 본격적인 시동을 걸게 된다. 올해는 관련 법령 정비 및 보호시스템과 관련 부서 구축 등 정보보호 기반 틀을 구성하고, 내년에는 관련 전문 인력 확충과 시스템 고도화 등 역량 강화와 시스템·제도의 안정적 운용에 중점을 둘 것이라는 게 업계의 전망이다. 이에 따라 공공기관들 역시 올 초부터 이를 전담하는 정보보호팀 또는 개인정보보호팀을 발족해 보안에 대한 감시와 견제를 진행하려는 움직임을 보이고 있다. 이번호에서는 공공기관의 정보대응 관련 부서와 이를 담당하는 부서장들을 만나 팀 신설에 대한 배경과 보안 대응에 관한 주력 활동 내용, 향후 계획 등에 대해 살펴봤다. 이지혜 기자 jh_lee@ciomediagroup.com 대다수 공공기관에서 행정안전부 및 관련 정부기관의 강력한 권고와 보안 이슈 대응에 따라 관련 전문팀을 구축해 가고 있다. 보안에 관란 전문 리더십 부재와 이를 총괄 관리할 수 있는 방안에 대해 적극 나선다는 방침아래 보안 시스템 도입 뿐 아니라 고도화·안정화를 취할 수 있는 방향으로 로드맵을 수립 하려는 움직임이 한창이다. 각 팀의 전문 인력은 부서장을 포함해 약 5-7명의 인원으로 구성돼 있으며 이들은 보안 정책 수립과 모니터링/평가/피드백 과정은 물론 타부서 보안 상황에 대해 감시·견제할 수 있는 역할을 수행하게 된다. 또한 향후 계획 중인 보안 솔루션 및 프로젝트에는 큰 차이점은 없었다. 주로 망 분리와 PC암호화, 접근제어, 상시 모니터링, 취약 프로그램 보안 강화 등에 초점이 맞춰져 있으나 망 분리의 경우 비용측면 부담으로 쉽사리 접근하지 못하고 있는 상태다. “시스템 양적 확산은 자제 VS 내실화 강화” 정병호 교육과학기술부 교육정보통계국 정보보호팀장 2008년 정부조직 개편으로 기존 교육인적자원부와 과학기술부가 통합돼 출범된 교육과학기술부는 기존 정보화 파트에서 보안 차원의 관제를 집행해왔다. 과학기술부는 2006년, 교육인적자원부는 2008년도부터 보안 관제를 진행했으나 2009년 정보보호 파트가 따로 구성돼 이를 전담해오고 있다. 현재 교육과학기술부 정보보호팀은 팀장을 포함해 총 7명의 인력으로 배치돼 있으며 관제센터 역시 정보보호팀 산하에 속해 있다. 인증센터에는 자체 인력 5명/용역업체 인력 12명으로 총 17명이 포진돼 있으며, 사이버 안전센터에는 내부직원 10명/외부 용역업체 직원 24명이 내정돼 있다. 하지만 교육과학기술부는 핵심 역량 확보가 보안 대응에서 중요한 부분이니만큼 상당 부분 외주를 주고 있는 현 상황을 점차 개선해 나간다는 계획이다. 정병호 교육과학기술부 교육정보통계국 정보보호팀장은 “정보보호 부분이 중요 이슈화됨과 동시에 공공기관 쪽에서는 타 산업군보다 보수적이기 때문에 많은 관심을 보이고 있다”며 “행정안전부와 국정원의 강력한 권고와 함께 자연스럽게 관련 팀을 내정하는 방향을 모색하게 됐다”고 말했다. 현재 정보보호팀이 운영된 지 약 4년 정도 지난 교육과학기술부는 보안 시스템 구축으로 인한 양적인 확산은 자제시키는 반면 내실화를 강화한다는 방침이다. 정 팀장은 “과학기술부는 한국과학기술연구원(KIST)에서, 교육인적자원부는 한국전략문제연구소(KRIS)에서 담당해오던 체제를 중앙 집중화식으로 통합 관리했지만, 올해는 각 시도 교육청들의 자체 역량을 향상시키고 조직 보안을 관리하기 위해 다운사이징을 하려는 시도가 일고 있다”고 설명했다. 또한 보안 사고가 많이 발생할 수 있는 환경을 지닌 대학에서 자체적으로 보안에 대응 관리할 수 있도록 꾸준히 가이드라인을 제공한다는 방침이다. 교육과학기술부 내에는 보안 관제분야 뿐 아니라 인증센터 역시 보안에서 큰 부분을 차지한다. 이 역시 기본적 관리유지가 돼야 함은 물론이고 장비/프로그램/소프트웨어의 고도화 기능이 강화되면서 집중 투자될 계획이다. 정 팀장은 “교육과학기술부 보안은 크게 관제와 인증센터, 개인정보 세 부분에 중점을 맞출수 있다”며 “특히 보안노출 통계를 살펴보면 교육기관들의 특성상 외부에 개방되는 부분들이 상당하기 때문에 중요정보들이 자유롭게 노출되고 있다”고 말했다. 또한 그는 “행정안전부와 한국인터넷진흥원(KISA)에서 가이드라인을 정해주면 우리는 그 부분을 상당 부분 강화시켜 업무를 수행하고 있다”고 전했다. CEO의 보안 마인드가 얼마나 성숙해 있는지도 관련 기관들의 업무 수행에 큰 영향을 미치며 관련 교육 역시 중요한 부분이다. 교육과학기술부는 내부자 교육을 강화하는 추세지만 역으로 관련 산하 학교와 기관들에 보안인식을 심어주고 이를 전파해주는 역할을 맡고 있다. 정 팀장은 “시도 교육청 등의 기관들을 비롯해 대학 보안 담당자들에게 여러 교육과 정보를 전달시키려 노력중이며, 교육과학기술부 역시 수시로 자체 점검을 통해 역량을 강화하고 있다”고 설명했다. 즉 관련 기관들과 끊임없는 소통을 통해 어떠한 입장을 가지고 가야할지 정하는 것도 보안에 있어 중요 정책 중 하나라는 것이다. 정보보호팀장의 미션에 대해 묻는 질문에 대해 정 팀장은 “보안은 사고가 발생하지 않는 이상 공기와 같이 당연한 것으로 인식돼 많은 사람들에게 공로를 인정을 받지 못하는 부분도 있다”며 “하지만 산하 직원들에게 끊임없이 인정해주고 격려해주려 노력 중으로 비록 음지에서 일하는 것 같아도 중요 직책에 있다는 것을 명심해주기를 강조한다”고 말했다. “상시 모니터링 확산과 기존 시스템 개선 작업에 중점” 박제연 국민연금공단 개인정보보호부 부장 2010년에 발족된 국민연금공단 개인정보보호부는 초기 총6명의 인원이 시스템과 제도를 운영해오던 방침에서 올해 1월 정식조직으로 신설됐으며 현재 부장 포함 총 7명으로 구성돼 있다. 박제연 국민연금공단 개인정보보호부 부장은 “개인정보보보안부는 침입방지/차단/탐지 등 의 다양한 시스템을 구축 운영 중이며 웹 메일 외적인 것들은 발송을 제한하는 등 물리적 조치를 강화하고 있다”며 “보조시스템으로 상시 모니터링 시스템을 고도화시킬 계획이며 지난 2000년 출력물 보안관리 시스템 도입을 비롯해 PC암호화를 통한 문제 자동검출, 개인정보가 포함된 이메일은 아예 차단되거나 접속 불가 등 사고에 미리 대응 하고자하는 방안들을 구상중이다”라고 말했다. 국민연금공단 측은 방대한 국민의 정보를 관리하는 곳이니만큼 권한관리에 대한 자동화와 자기업무에만 접근할 수 있는 방안은 기본이라는 입장이다. 특히 보건복지부와 국정원에서 국민연금공단을 항상 모니터링 하고 있는 상황에서 공단 내부 자체 교육도 중요한 과제이다. 국민연금공단은 해마다 진행해 오던 ‘E-learning’을 작년부터는 더욱 강화해 모든 임직원들이 필수로 수강하게 돼 있으며 해당지사에는 개인정보보호부 직원들이 직접 파견 교육을 나가고 있다. 박 부장은 “두 시간 분량의 E-learning은 전 임직원이 필수적으로 수행해야 하는 과정이며 개인정보보호법과 공단의 지침, 사례발표 등을 위주로 수강하는 동시에, 직접 교육은 일산에서 집합 교육을 실시하고 있다”고 덧붙였다. 국민연금공단 측은 시스템 강화와 더불어 보안 대응의 양대 산맥이 될 수 있는 부분인 교육 부문을 향후 더욱 강화해 간다는 방침이다. 한편 보안 시스템에 관해서는 올해 상시 모니터링 부분을 점차 확산시키고 작년에 도입한 주요 시스템들에 대한 개선작업이 주력 목표이며, 개인정보보호법 발효로 해당 지침과 규정 등 법에서 요구 개정에 맞는 작업들이 진행됐다. 박 부장은 평소 “대한민국이 IT강국이라는 말을 듣는 것처럼, 본 공단의 개인정보보호부는 세계 1위가 돼야 한다는 말을 입버릇처럼 되뇌인다”며 “갑자기 보안에 대해 사회 전반적으로 관심이 많아지면서 요구사항이 증가했지만 이러한 부분을 충족하기 위해서는 타기관보다 한 발자국 앞서 나가는 것이 중요하다는데 중점을 두고 있다”고 설명했다. 또한 그는 보안에 대해 책임자의 관심이 가장 중요하다고 강조했다. 시스템이 제 아무리 완벽하더라도 침입은 언제든 발생할 수 있기 때문이다. 박 부장은 “국민연금공단은 한 파트가 모든 시스템에 대해 상시 모니터를 진행 중이며, 보건복지부와 국정원 등을 통합하면 삼중 감시가 이뤄지는 셈이다”이라며 전문성 있는 보안 대응체계를 강조했다. “보안 포탈 구성해 행정절차 간소화” 방근호 건강보험심사평가원 정보통신실 정보기획부 부장 건강보험심사평가원은 정보보호팀과 개인정보보호팀이 따로 내정돼 있으며, 정보보호팀은 정보통신실에 개인정보보호팀은 경영지원실 산하에 속해 있다. 개인정보보호팀을 정보통신실 산하에 두지 않은 이유는 정보보호팀과의 상호 견제 및 감시를 위함이기도 하다. 실제 경영지원실 보안관제부에서는 시설 및 문서에 대한 물리적 보안을 담당하는 한편, 정보통신실에서는 정보시스템에 대한 물리적 보안을 담당하는 등 해당 범위에서 약간의 차이를 보이고 있다. 올해 1월 구성된 정보보호팀은 팀장을 포함해 총 6명으로 구성돼 있으며 응용프로그램 개발 시 뒤따르는 보안 시스템과 보안을 감안한 설계 작업 등을 통해 각 현업의 인력을 보충해 줄 수 있는 방향을 제시하게 된다. 방근호 건강보험심사평가원 정보통신실 정보기획부 부장은 “보안 이슈가 증가하는 가운데 전문 보안담당 팀이 전무해 총괄관리 애로사항으로 리더십 부재 등이 발생하는 등 정보보호팀의 구축 배경이 시급했다”라며 “정부기관의 강력한 요구와 더불어 보안을 관리범위가 점차 넓어짐에 따라 정책을 만들어내고 모니터링/평가/피드백 역할을 주로 담당하고 있다”고 말했다. 건강보험심사평가원의 정보보호팀이 올해 가장 중점을 두고 있는 부분은 그동안 꾸준히 문제로 지적돼 왔던 행정절차의 간소화 작업이다. 이를 위해 각 보안관련 소프트웨어/네트워크/DB 등에 대해 각각의 권한관리가 이뤄졌던 부분들을 통합해 올 하반기까지 보안포탈을 구성하는 작업이 첫 번째 미션이다. 방 부장은 “건강보험심사평가원은 국정원 보안 수준 90점을 상회하는 점수를 얻고 있으며 이를 더 상향시키기 위해 보안관련 지표개발을 위한 성과관리시스템을 올 상반기를 목표로 준비 중이다”라고 덧붙였다. 보안은 목적 자체가 관련 인력의 불편함을 필수적으로 동반하며 자유로움에 제동을 걸게 되기 때문에 사용 직원들에 대한 내재화 작업 또한 필수적이다. 기능적 요건들은 최대한 편하게 만들어 주되 직원들의 보안의식 내재화, 시스템 효율화 등이 혼합돼야 성공적인 보안 대응이 가능하기 때문이다. 방 부장은 “보안의식 내재화를 위해 국정원 또는 외부 보안 전문가를 초빙해 교육을 진행 중이며 매달 열리는 임직원 교육 중 보안은 필수 항목으로 들어간다”라며 “외부 전문가를 통해 우리가 습득하는 정보도 중요하지만 이를 관련 기관들이나 내부에 전달해야 하는 역할 역시 우리의 중요한 소임중 하나이다”라고 전했다. 또한 그는 보안 솔루션을 판매하는 업체에 대해서도 뼈 있는 한마디를 전했다. 방 부장은 “기 구축돼 있는 보안 솔루션 외 하나의 별도 솔루션이 필요하다고 할 때 대부분의 보안솔루션 업체들이 패키지로 판매하는 경향이 강해 소비자 입장에서는 시스템이나 솔루션이 중복되는 과정을 겪을 수밖에 없다”며 “결국 불필요한 부분까지 소비자가 떠안아야 한다는 단점이 있으며 이는 감사 진행 중에도 불합리한 처우를 받을 수 있는 소지가 있다”고 말했다. 건강보험심사평가원은 궁극적으로 망 분리 체계를 계획하고 있지만 현재 비용문제로 인해 내부 상의 중에 있는 단계다. 방 부장은 “현재 인터넷을 별도로 사용할 수 없기 때문에 장기적 관점에서 망 분리 체제를 계획중이지만 공공기관 정부이전을 할 때 쯤 시도될 것으로 예상한다”며 “우선은 보안의 생활·내재화 강화 작업에 주력할 계획이다”라고 밝혔다. “전자투표시스템 등 취약 프로그램에 집중 투자” 임형국 한국예탁결제원 IT전략부 IT보안팀 팀장 한국예탁결제원 역시 올 1월 IT보안팀이 발족됐으며 담당 팀장을 비롯해 총 6명의 인력으로 구성돼 있다. 현재 하루에 보고해야 할 업무들을 리스트 업 하는 과정을 우선 진행 중이며 올해 주력 사업은 보안관제 서비스 지원으로 현재 서비스업체 선정 작업에 있다. 임형국 한국예탁결제원 IT전략부 IT보안팀 팀장은 “이 외에 보안장비 운영과 도출되는 로밍 값들을 분석해 외부 해킹을 방지하는데 역점을 두고 있으며 작년 11월부터 본격적인 준비에 돌입했다”며 “새로 부임한 CEO역시 CIO를 겸직했기 때문에 보안 지원과 관심이 높은 편이다”라고 말했다. 한국예탁결제원은 연 비즈니스 계획을 수립할 시 IT보안이 필수적으로 포함되며 2012년 역시 4가지 경영방침 중 ‘IT시스템 보안 강화’가 분명히 명시돼 있다. 임 팀장은 “IT보안팀의 신설 배경은 사회적으로 대형 보안문제들이 발생함과 동시에 정부기관의 강제적 조항, CEO의 강력한 의지 등 세 박자가 맞춰 이뤄진 결과물이다”라고 소개했다. 현재 한국예탁결제원은 정보보호 컨설팅을 진행 중으로 이달 결과가 도출되면 내부적으로 자체 분석한 내용들과 오버랩해 보다 정확한 로드맵을 수립한다는 전략이다. 특히 보안관제와 망 분리에 대해 검토 중이며 디도스 공격 대비, 기존 장비들에 대한 이중화 작업이 진행될 예정이다. 임 팀장은 “보안관제는 이달 중 마무리되며 망 분리는 사용자 입장에서 불편함이 없고 완벽한 방어가 돼야 한다는 점에서 하반기 정도에 시도할 전망이다”라며 “특히 망 분리는 물리적 PC를 두 대로 나눠쓸지 서버 가상화를 활용할지 상의 중이며, 디도스와 이중화 작업 역시 늦어도 올 상반기에는 구축 완료될 예정이다”라고 전했다. 한편 그는 보안 솔루션을 구축하는 것도 중요하지만 금융기관과 일반 투자자들이 한국예탁결제원의 대다수 고객이기 때문에 취약한 프로그램에 대한 보안 강화에 집중할 필요가 있다고 강조했다. 전자투표시스템도 마찬가지이다. 주주면 누구나 사용할 수 있는 이 시스템은 아직 활성화 돼 있지 않지만 다양한 종류의 서비스를 통해 외부 침투가 가능해 중점적인 보호활동이 접목·강행될 예정이다. 한국예탁결제원은 보안 내재화 교육 역시 한해 두 차례 두 시간에 걸쳐 오프라인 교육으로 진행 중이며, 매년 인사부 연수프로그램 시 모든 임직원들이 의무적으로 정보보호 교육을 수강해야 한다. 임 팀장은 “보안은 시스템 운영관점에서가 아닌 철저한 정보보호 관점에서 이뤄져야 한다”며 “또한 과도한 시스템 확장에만 집중할 것이 아니라 PC장애가 생기지 않는 한에서 적당한 안정화와 고도화 작업이 진행돼야 이뤄져야 한다”고 강조했다.