컨트롤타워 역할 가능한 조직개편 검토 필요 법·제도 등 이중규제 없애 일관성·명료성 갖춰야 어딜 가나 보안이 이슈다. 지난해 해킹을 통한 개인정보 대량 유출사고가 연이어 발생한데다 디도스, APT 등 위협요소가 점점 심각해지고 있기 때문이다. 이와 관련 지난해 9월 시행된 개인정보보호법은 지난 3월까지 계도기간을 마치고 본격 시행에 들어갔으며 그에 앞서 지난해 2월 17일에는 방송통신망법이 개정·공포돼 인터넷상 개인정보보호가 더욱 강화됐다. 정보보호 관련법이 제·개정됨에 따라 관련 기관 및 사업자들은 법 준수를 위한 준비 작업이 한창이다. 이 때문에 보안 관련 세미나는 참석 비율이 어느 때보다 높다. 이는 보안에 자체에 대한 뜨거운 관심을 반영하는 것이기도 하고 정확한 정보를 얻으려는 관계자들의 상황을 보여주는 것이기도 하다. 현재 보안을 담당하고 있는 정부기관은 물론 협회와 단체도 수와 종류가 많아 일반 기업으로서는 다 파악하기가 쉽지 않다. BizIT는 보안 관련 정부기관들과 산하기관, 그리고 단체·협회 등을 정리했다. 연보라 기자 bora@ciomediagroup.com 보안 관련 기관 및 단체를 살펴보기에 앞서 우선 보안의 영역을 구분해볼 필요가 있다. 각 영역별로 해당 부처 및 기관이 다르고 하나의 부처 내에서도 각 영역을 다루는 부서가 다르기 때문이다. 보안은 일반적으로 관리적 보안, 기술적 보안, 물리적 보안 등 세 영역으로 나누는 경향이 많다. 또 정보시스템과 기술적 이슈 등을 기준으로 할 경우 정보보호, 개인정보보호, 그리고 산업기술보호 등으로 영역을 나눌 수 있다. 이 기준에 따를 경우 개인정보보호와 산업기술보호는 말 그대로 각각 개인정호와 산업기술의 보호를 다루는 영역이며, 정보보호는 디도스나 해킹과 같은 이슈와 관련된 정보시스템 보호의 영역이라 할 수 있다. 세 영역은 차집합과 교집합을 동시에 가지고 있어 정확히 영역을 가르기는 애매한 면이 있다. 을 참고해보면 개인정보보호와 산업기술보호 영역에서 비기술적 이슈, 즉 전산화되지 않은 물리적 보안 이슈를 제외한 나머지 부분은 정보보호 내에 포함돼 있다고 볼 수 있다. 정보보호 영역 각 영역별로 기관 및 단체를 살펴보면, 우선 정보보호에 해당하는 정부부처는 행정안전부, 방송통신위원회, 금융위원회, 지식경제부, 국가정보원이 있다. 금융감독원의 경우 특수법인이긴 하지만 실질적으로 정부기관의 역할을 수행하고 있다. 한국인터넷진흥원(KISA)은 방통위의 산하기관으로 행안부의 정보보호 업무도 함께 지원하고 있다. 금융위원회는 금융보안연구원을 산하기관으로 두고 있다. 정보보호 관련 산하단체로는 행안부에 등록돼 있는 한국CSO협회와 한국정보보호학회, 방통위 산하의 한국침해사고대응팀협의회(CONCERT), 한국해킹보안협회(NAHS)가 있고, 지식경제부 산하단체로는 지식정보보안산업협회(KISIA)가 있다. 국가정보원은 조직 등 관련 내용이 대외비여서 외부에 공개하지 않고 있다. 개인정보보호 영역 개인정보보호 영역에 해당하는 정부부처로는 행정안전부, 방송통신위원회, 금융위원회, 금융감독원, 보건복지부, 개인정보보호위원회가 있다. 행안부의 개인정보보호 관련한 산하기관은 한국정보화진흥원(NIA), 한국지역정보개발원(KLID)이며 산하단체로는 한국개인정보보호협의회, 한국CPO포럼, 개인정보보호법학회를 두고 있다. 한국인터넷진흥원은 방통위의 산하기관으로 등록돼 있으나 행안부의 개인정보보호 업무를 지원하는 역할도 수행하고 있다. 개인정보보호협회(OPA)는 방통위의 산하단체로 등록돼 있다. 산업기술보호 영역 산업기술보호 관련해서는 지식경제부와 국가정보원, 국방부에서 담당하고 있다. 지경부에는 한국산업기술보호협회(KAITS)가, 국방부에는 한국융합보안학회가 산하단체로 등록돼 있다. 관련 부처 많아 업무 중복 혹은 사각지대 발생 우려 에서 확인할 수 있듯이 보안 관련 업무를 담당하는 정부기관과 산하기관은 상당히 많은 편이다. 정부기관만 따져도 행정안전부, 방송통신위원회, 금융위원회, 금융감독원(특수법인), 보건복지부, 개인정보보호위원회, 국가정보원, 지식경제부, 국방부 등 무려 9개에 달한다. 특히 개인정보보호 영역에 있어서는 본래 각 부처가 개별적으로 해당 관련 법령에 의거해 개인정보보호의 역할을 수행하고 있었으나, 민간업체와 같이 관할 법령이 없는 영역을 관리하고자 지난해 9월 개인정보보호법이 기본법으로 재정됐다. 이처럼 최근 새로운 보안관련 법안이 재정되고 보안 관련 부처가 여러 곳으로 분산됨에 따라 많은 사업자들이 혼란을 호소하고 있다. 특히 개인정보보호법과 개정 망법의 시행령에 대한 공청회에는 수많은 사람이 몰려 법 해석에 대한 질문을 쏟아내고 있다. 금융감독원의 최한묵 IT감독국장은 지난 4월 19일 본지에서 주최한 금융보안 좌담회에서 “방통위나 행안부, 국정원 등 여러 정부부처에서 정보보호를 관할하다 보니 업무가 약간씩 중첩되거나 과다하게 하는 부분들이 있는 것은 사실”이라고 언급한 바 있다. 법률사무소 행복마루의 구태언 변호사는 “방통위는 망법에 따라 예전부터 온라인 쪽을 관리해왔고 행안부는 새로 재정된 개인정보보호법에 따라 전체적인 부분을 관할하는 것으로 망법에 내용이 있으면 망법을 우선 적용하도록 되어있다”고 설명하는 한편 요즘에는 온·오프라인을 구분하는 것이 애매한 경우가 많아 해석의 어려움이 있음을 지적했다. 금융권에서도 전자금융거래법과 개인정보법의 상충으로 인한 혼선을 호소하고 있다. S카드사의 정보보호팀장은 “개인정보보호법이 아직은 시행 초기라 다른 법안들과 조정될 부분들이 많은 듯하다”며 “최소한의 기준은 맞춰놓고 있으나 그 이상은 좀 더 추이를 지켜보고 있는 상황”이라고 전했다. “보안 컨트롤타워 검토 필요” vs. “부처 간 협조 필요할 뿐” 일각에서는 이처럼 여러 곳으로 분산돼 있는 보안 관련 정부부처를, 일관성 있는 정책 추진을 위해 단일화 하는 방향으로 조직을 개편할 필요가 있다는 지적도 있다. 현재 조직은 서로 주관기관이라는 입장이 많아 협조 체제를 강화하기 어려운 체제이기 때문이다. 기관이 많아질수록 법과 제도가 많아지고 중복되거나 사각지대가 발생할 수 있어 혼란을 키울 수 있다는 우려도 나오고 있다. 중복 여부를 파악해 정책, 인력, 법·제도 등 영역을 나눠 관련 기관이 나눠서 관리할 수 있도록 함으로써 정부, 기업, 국민 등이 실질적인 목표를 지향하도록 해야 한다는 것이다. 과거의 정보통신부, 혹은 그에 준하는 기관이 부활해야 한다는 목소리도 들린다. 정태명 한국침해사고대응팀협의회장(성균관 대학교 정보통신학과 교수)은 “전자정부 및 민간, 공공 부분은 행안부가, 산업 관련은 지경부, 국가안보는 국정원, 금융관련은 금융위원회, 의료 분야는 보건복지부가 각기 나눠서 관할하고 있다”고 설명했다. 정 회장은 “관련 부처가 많으면 그만큼 산업체로서는 비위를 맞춰야 하는 부처가 늘어나는 것이다. 때로는 중복되고 때로는 서로 전가하는 산만한 정부 정책으로 산업계 불만이 증폭되고 있다”고 지적했다. 예를 들면 행안부, 방통위, 지경부에서 각기 관할하는 해킹대회가 3개가 있는데 이 3개 대회를 합쳐 보다 글로벌 대회로 키울 수 있을 것이라는 게 정 회장의 주장이다. 또 정 회장은 한국인터넷진흥원은 방통위에는 ‘정보보호지수’를, 행안부에는 ‘정보안전지수’ 점검업무를 지원하는데 두 부처 간 동일한 업무가 중복되는 대표적 사례로 제시했다. 이에 정 회장은 “보안과 관련해 단일화된 컨트롤타워가 필요하다”는 입장이다. 그는 “이제 보안이라는 것은 어느 분야를 나눠서 생각하기 힘들 정도로 전사적인 이슈가 되었다. 온라인과 오프라인의 융합은 물론, 통신과 금융, 쇼핑 등 모든 분야가 IT라는 수단 위에 융합되고 있다”면서 “고로 콘텐츠적인 보안은 각 부처에서 관할하되 이를 컨트롤할 수 있는 한 부처가 있어 표준화하고 기획, 관리하는 역할을 담당해야 한다. 모든 기능은 분산돼 있으면서도 총괄은 한 군데에서 하는, 즉 IT 거버넌스이다”고 주장했다. 그는 또 “대선을 준비하고 있는 각 캠프들에서도 동일한 논의들이 이뤄지고 있는 것으로 알고 있어 아마도 다음 정부에서는 그렇게 조직개편이 되지 않을까 싶다”라는 예견을 조심스레 내놓았다. 그러나 단일화가 무조건 능사는 아니라는 의견들도 있다. 구태언 변호사는 “정부 서비스도 독점은 좋지 않다. 그보다는 각 기관마다 각자의 역할을 잘 해가면서 서로 협업을 해가는 것이 중요하다. 여러 부처에서 보안을 담당하기 때문에 오히려 빈틈이 없어질 수도 있는 것이다. 한 부처에서 관할하다 보면 반드시 어느 부분에서는 구멍이 생길 수 있다. 군대에도 육해공이 나눠져 있지 않은가”라고 반박했다. 보안이 국가적, 사회적 이슈로 부상한지 그리 오래되지 않았기 때문에 아직은 국민적인 논의가 보다 충분히 이뤄져야 할 것으로 보인다. 또한 새롭게 개인정보보호법이 발효되고 망법의 개인정보보호 정책이 강화됨에 따라 법 사이 상충되는 여러 조항들에 대한 조정이 시급하다. 부처 간 협력이 긴밀히 이뤄져 사업자들의 부담을 줄이면서도 국민을 보호할 수 있는 본래 법 취지가 충분히 발현될 수 있도록 하는 방안을 모색하는 게 필요한 시점이다.