보안 인식·인프라 지원은 아쉬워

지난 3월 개인정보보호법이 본격 발효되면서 정보보호의 사각지대에 있던 공공기관들도 정보보호 의무가 크게 강화됐다. 이에 따라 산하기관들은 국정원, 행정안전부 등 정부부처에서 정기, 수시로 내리는 보안지침에 따라 정보보호를 수행하고 있다.
특히 국정원은 올해부터 기관들을 대상으로 정보관리 실태평가를 확대 실시하고 있는데 이는 공공기관들이 매년 받는 경영평가의 항목 중 책임경영과 관련돼 수행되는 것으로 정보보호 운영실태, 사이버 보안 등에 대한 내용이 올해부터 포함됐다. 평가에 반영되는 만큼 기관들이 정보보호에 대한 중요성을 인식하도록 유도하기 위함이다.
그러나 정보보호에 대한 사회적 요구 증대, 이를 위한 정부당국의 노력에도 불구하고 아직 공공에서의 정보보호 인식은 부족한 게 사실이라는 것이 관계자들의 이야기다.
게다가 정보보호에 대한 많은 규제와 의무들은 법제화해 놓았으나 이를 실행할 수 있는 기반이 전혀 갖추어지지 않았다는 보안담당자들의 목소리도 높다. 도입 의무화된 시스템은 많은데 예산은 필요한 만큼 주어지지 않고, 보안 인력을 충원하려 해도, 기재부의 승인이 필요해 쉽지 않다는 것이다.

연보라 기자 bora@ciociso.com

한국농어촌공사는 정보화추진처 내 IT 총괄팀이 보안 업무를 맡고 있으며 내년에는 정보보호팀을 별도로 신설해 5명의 인원을 배치할 예정이다. 공사 측은 견제 역할을 위해 정보보호팀을 정보화추진처가 아닌 다른 부서에 두어 정책과 운영을 분리하는 방안을 고려 중이라고 전했다.
올해 하반기는 한국농어촌공사가 정보보호 거버넌스의 기반을 마련하는 출발점이다. 이에 따라 공사는 개인정보영향평가 수행과 더불어 정보보호관리체계 및 마스터플랜 수립에 1~2개월 내로 돌입할 계획이다. 사업 규모는 2억8천만 원으로 약 5개월에 걸쳐 진행될 예정이며 수행업체로는 IBM이 낙찰됐다.
주요 추진내용은 △정보보안 및 개인정보보호 관리 수준 점검 및 분석 △정보보호정책 수립 및 보안관련 내부 규정 작성 △개인정보영향평가 적용 대상 시스템에 대한 개인정보영향평가 실시 △개인정보보호법 준수를 위한 기술 적용, 행정처리 등 대책 마련 △정보보안 중장기 마스터플랜 수립을 통한 유형별 단계별 추진 과제 도출 △정보보호 아키텍처 수립 △직원 대상 정보보안 교육 실시 등이다.
김홍근 한국농어촌공사 처장은 “올해부터 경영평가에 정보화전략 항목이 추가되는 등 공사 경영전략과 정보화 전략을 체계적으로 연계하기 위한 환경이 대두되고, 일회성이 아닌 중장기 보안마스터플랜을 통한 보안 과제 추진이 필요하다는 판단에 따라 사업을 시작하게 됐다”고 추진배경을 설명했다.

경영진 및 임직원 보안 인식 부족
김홍근 처장은 최근 들어 공공기관 정보보호 강화를 위한 정부당국의 노력이 이어지고는 있으나 아직 공공에서의 정보보호 인식은 부족한 것이 사실이라고 전했다.
“보안문제가 워낙 민감한 금융권의 경우 금감원에서 강력히 강제하고 있어 투자가 활성화돼있지만, 공공기관에서는 타 업무와의 우선순위에서 밀리는 경우가 많다”며 아쉬움을 나타냈다.
김 처장은 경영진의 정보보호 인식과 전 임직원의 인식이 함께 필요하다고 강조했다. 우선 임직원들은 정보보호 활동들을 직접 실천해야 하는 ‘선수’이므로 이들이 움직이지 않으면 아무리 잘 세워진 정보보호 프레임워크라도 무너지기 마련이기 때문이다.
정보보호가 강화될수록 업무 편리성에는 제한을 받을 수밖에 없기 때문에 직원들의 반발 역시 적지 않다.
공공기관들은 국가정보원에서 무료로 나눠준 ‘PC지킴이’라는 프로그램을 주1회 실행하게 돼있는데 이마저도 지키지 않는 직원들이 많아, 김 처장은 “이 수칙만 잘 지켜도 보안사고의 80%는 막을 수 있다. 보안 관련 지침들을 생활화할 수 있도록 지속적인 교육과 홍보가 필요할 것”이라고 밝혔다.
경영진과의 지속적이고 원활한 커뮤니케이션을 통해 정보보호에 대한 인식을 심어주는 것도 중요 요소 중 하나다. 조직, 인력, 예산 등에 대한 의사결정권을 쥐고 있기 때문이다.
김 처장은 “간부회의 중 정보보호 실행결과를 보고하기도 하고 현업부서에 정보보호 일상화를 요청하는 등 적극적으로 알리려 노력하고 있다”며 “국정원 직원이 정보보호 실태조사 차 방문 시 CEO와 국정원 담당자와의 대면을 강력히 추진해 CEO도 정보보호에 대한 인식을 가질 수 있도록 했다”고 설명했다.
김 처장은 “정부에서 여러 가지 정보보호 의무사항을 법제화 했지만, 정작 이를 실행할 수 있는 인프라가 부족한데 비해 예산·인력 등의 지원은 전혀 없는 실정”이라고 지적했다. 개인정보보호법상 DB암호화는 최소 과제로 설정돼 있지만 IT총괄팀이 정보보안 예산으로 요청한 20억 원 중 절반이 삭감돼 올해도 과제 수행은 어려울 것 같다며 아쉬움을 토로했다.

정보 보호 의무 성실히 이행한 신뢰성 확보
“공공기관들은 민간 기업들과는 달리 정보보호 거버넌스가 새로운 가치를 창출하는 측면보다 법을 집행하는 기관으로서의 대국민 신뢰성 보장의 측면이 더 크다.”
김홍근 처장은 공공의 정보보호 거버넌스의 비즈니스 접점에 대해 이 같이 정의했다.
“공사는 공익성과 수익성을 함께 추구하는 조직으로, 비용절감을 통해 국민 세금을 아껴야 할 의무도 있지만 대국민 정보를 철저히 보호해야할 의무 또한 갖고 있다”며 “만약 공사를 통해 개인정보가 유출될 시 손해배상 소송으로 이어지거나 과태료를 지급하게 되며 이는 곧 국민혈세의 낭비이고 대국민 신뢰도 하락으로 인한 고객이탈, 매출감소, 주식 가치 하락으로까지 이어질 수 있는 위험요소다”라고 경고했다.

한국도로공사는 1일 380만 명의 하이패스 통행자들을 대상으로 하는 만큼  공공기관들 중에서도 정보보안에 대한 요구가 큰 기관이다.
하이패스 구간을 통과하면 선불카드, 후불카드, 신용카드 등의 금융정보는 물론 통행이력 정보가 자동으로 수집되므로 이를 철저히 관리해야 할 의무가 있기 때문이다.  
조용하 한국도로공사 정보보안팀장은 “공사에 모이는 금융정보는 중규모 은행의 여수신에서 발생하는 데이터량과 맞먹는다”고 설명했다.

개인 통행이력 및 금융정보, 보안 철저
조 팀장에 따르면 상당수 국민들이 ‘고속도로를 통행하면 본인의 정보가 오픈되는 것 아니냐’는 오해를 하는 경우가 있다. 이러한 이유로 더러는 본인의 위치정보를 노출시키고 싶지 않아 일부러 하이패스를 사용하지 않고 현금으로만 통행료를 계산하는 경우도 있지만, 조 팀장은 “본인 외에는 공사 직원은 물론이고 누구도 통행이력을 조회해볼 수 없다”고 강조했다.
국민들이 하이패스 이용에 있어 가장 초미의 관심을 갖고 있는 것은 바로 고속도로 통행이력과 금융정보의 유출 가능성이다. 이에 공사는 지난해 연말부터 개인정보보호 및 보안을 크게 강화했다. 예산도 작년 대비 117% 상승했다.
우선 공사는 기관으로서는 다소 이른, 올해 1월 5명으로 구성된 정보보안팀을 신설했는데, 현재는 조용하 정보계획팀장이 정보보안팀장을 겸직하고 있지만 연말에 별도로 임명될 예정이다.
정보보안팀은 보안정책과와 인프라보안과가 있어 역할을 분담해 정보보호를 수행하고 있다. 보안정책과는 정보보안 정책 총괄, 정보보호 시스템 도입, 개인정보보호 시스템 도입, 정보시스템실 운영 관리 등을 담당하고 있고, 인프라보안과는 보안관제센터 보호시스템 운영, 취약점 진단 및 침해대응, 대외 사이버안전센터 연계 운영, IT 센터 운영 등을 맡고 있다.
정보보안팀은 현재 정보보호로드맵 수립 및 2012추진과제 설정 등 체계적인 정보보호 거버넌스의 첫 발을 내딛었다.
공사가 정한 ‘2012 정보보호 추진 과제’는 정보보안 정책, 정보보안 관리, 정보보안기술, 물리적 보안 4개 영역으로 나눠져 있다. 조 팀장은 “특히 정보보안 관리의 측면이 보안에 있어 상당히 중요한 요소”라면서 “아무리 정책과 기술이 잘 갖추어져 있어도 악의적 시도가 있으면 막을 수 없다”고 강조했다. 한 직원의 보안 인식 수준이 그 기관의 보안 수준을 결정한다는 것이다. 또한 국가정부 산하에 있는 공공기관들이 사이버 위기에 공동 대응하고자 2009년부터 국토해양부와 협약 체결해 국토해양사이버안전센터와 도로공사의 보안관제센터가 함께 공동 관제대응을 하고 있다.

보안팀은 공공의 적?
조용하 팀장은 보안을 하는 데 있어 가장 힘든 부분은 직원들과 효율이냐 보안이냐를 두고 갈등하는 상황이라고 답했다. 보안을 강화시킬수록 업무효율성은 떨어질 수밖에 없고 사용자들의 불만이 쌓이기 때문이다. 예를 들면 상용메일을 차단하거나, 보안USB 외에는 사용을 차단하는 조치 이후 현업의 반발이 쏟아져 나왔다. 조 팀장은 “최근에는 정보보안팀이 공공의 적이 됐다”고 하소연했다.
그러나 하이패스 이용률을 높여 도로 교통 지체를 완화시켜야 할 의무가 있는 공사로서 정보보안은 필수이다.
국민들이 하이패스나 TCS 등의 자동징수시설을 꺼려하지 않고 이용할 수 있게 하려면 보안을 강화해서 안심을 시켜야 하기 때문이다.
도로공사는 내년 연말 김천으로 본사를 이전하면서 망분리까지 추진한다는 계획이다. 아직 논리적 망분리와 물리적 망분리 중 선택은 미정이지만, 국정원의 보안인증을 받은 적합한 솔루션만 출시된다면 되도록 논리적 망분리로 진행한다는 방침이다.

일반 산업군 정보보호, 더디지만 체계 갖춰

제조, 유통 등 일반 산업군은 금융이나 공공에 비해 정보보호에 대한 움직임이 둔한 편이며 정보보호 조직이 별도로 설치된 경우도 드물다. 그러나 정보보호 의무를 어길 경우 SK컴즈나 옥션, 넥센 등의 사태에서 볼 수 있듯 한 번의 사고로 엄청난 기업 이미지 실추와 피해자 손해배상으로 인한 손실을 떠안을 수 있다. 더군다나 개인정보보호법이 제정됨으로써 그간 금융사나 정보통신사업자 등에게 치중돼 있던 개인정보보호 의무가 전 산업군으로 확대되고 있는 상황이다. 이에 일부 발 빠른 기업들은 정보보호 로드맵을 수립하고 보안 솔루션들을 도입하는 등의 움직임을 보이고 있다.

오비맥주는 올해 하반기 정보보호위원회를 구성할 예정이다. CFO를 의장으로 하고 그 아래 CLO, CSO(CIO가 겸직)를 비롯해 인사, 기획, 감사, 홍보 등 각 팀장들로 구성돼 정보보호에 대한 의사결정을 하게 된다. 또한 오비맥주는 지난해 초 정보보호 3개년 계획을 수립한 바 있다. 
당시 김앤장으로부터 개인정보보호 컨설팅을 받아 개인정보보호 책임자 지정, 취약점 도출 및 대안 마련 등을 실행해왔다. DB암호화, 접근제어, SSO, DLP, NAC 등을 도입해 보안의 홀을 최소화했다.

정보보호 3개년 계획 추진 중
박종한 오비맥주 정보전략팀장은 “내년 고도화 단계까지 마치면 왠만한 제조회사 중에서는 정보보안이 가장 잘 돼있는 곳이 돼있지 않을까 싶다”면서 “이미 다른 기업에서의 벤치마킹도 이뤄지고 있다”며 당사 보안에 대해 자부했다.
오비맥주는 전체 IT 예산 중 7분의 1 가량에 달하는 10~15억 원이 정보보호 예산으로 책정돼 있어 일반 산업군 중 높은 수준의 보안 투자가 이뤄지고 있다.
오비맥주가 정보보호에 대한 투자가 활발히 이뤄질 수 있는 바탕은 보안에 대한 경영진들의 앞선 인식 덕택이 크다.
보안에 대한 민감도가 낮은 경영진이라도 정보보안에 대한 시각을 넓혀가도록 유도하기 위해서는 정보보호 책임자의 의도된 노력이 필요하다고 박 팀장은 전했다.
박 팀장은 “무엇보다 임원들과의 커뮤니케이션이 중요하다”며 “IT를 하는 사람들은 논리적, 기술적으로만 이야기하려고 하는데, 임원을 상대로 소통할 때에는 현업의 용어로 쉽게 풀어 설명하려는 노력이 필요하다”고 지적했다.
박 팀장의 경우 현업과 대화할 때 이미지 또는 스토리텔링을 많이 활용한다고 귀띔했다. 보안점검을 음주단속에 비유하거나, 시타델이라는 난공불락의 성 이미지를 활용하는 것은 사소하지만 효과적인 방법이라고 그는 이야기한다.
또한 박 팀장은 직접 사업안을 만들어 올리는 경우도 있지만, 외부 기관의 보고서를 이용하는 것도 한 방법이라고 제안했다. 지난해 김앤장과 컨설팅을 수행할 시 취약점에 대한 보고서를 작성해 경영진들에게 발표하도록 김앤장 측에 요구했다. 그 보고서 덕분에 의도했던 대로 정보보호 예산을 책정 받을 수 있었다.
박 팀장은 “현업 눈높이에 맞게, 진정성을 가지고, 반복적인 대화를 해야 한다”고 강조했다.
박 팀장은 보안을 거울과 크리스탈 볼에 비유했다. 거울은 나 자신과 시스템을 투명하게 보여주는 도구이고, 크리스탈 볼은 미래를 보여주는 도구이다. 즉, 보안은 기업 시스템을 투명하고 건전하게 함으로써 앞으로의 성장전략과 전망을 제시하는 기반이 될 수 있다는 의미라고 박 팀장은 설명했다.
박 팀장은 “단순히 사고를 방지하고 위법자를 처벌한다는 일차적인 측면을 넘어 기업의 정보자산을 보다 투명하게 공유할 수 있는 근간이 되도록 하는 측면에 초점을 맞춰야 한다”는 의견을 제시했다.
 

범한판토스는 물류업계 B2B 기업에 해당되기 때문에 사실상 개인정보보호에 대해 크게 민감할 요인은 없다. 하지만 개인정보보호법 발효 이후 워낙 기업의 보안책임이 강화 됐기 때문에 범한판토스 측 역시 컴플라이언스에 부지런히 대응 해나가고 있다. 김석태 범한판토스 업무혁신담당 상무는 “문서보안, 출력물 보안, DLP 등 개인정보에 대한 대비는 준비 되어있다”고 말했다. 시스템과 관련한 IT 보안은 IT기획팀 내 정보보안파트가 총괄하고 있다. 또한 시설 보안은 총무팀이, 인사관리에 있어서의 보안은 인사팀이 관할하는 등 영역별 역할이 분리돼 있는 상황이다.

‘열 명이 한 도둑 못 막는다’
김석태 상무는 “최근 발생한 해킹 사고들에 자극 받아 보안 솔루션들을 도입해 겹겹이 막기는 했지만, 실질적으로 얼마나 막을 수 있는지 믿을 수 없다”고 토로했다.
열 명이 한 명의 도둑을 못 막듯이 악의를 가진 한 명의 해커는 아무리 보안 툴을 이용해 겹겹이 막는다 해도 사고 발생 여지가 있다는 것이다. 김 상무는 “보안이 잘 돼있다고 해도 티내지 말고 그저 해커들의 타깃이 되지 않도록 잠자코 있는 것이 상책”이라고 말하는 한편 “보안시스템을 계속 도입하는 것은 실제 이 시스템을 통해 사고를 막겠다는 의도보다 법적 가이드라인까지만 만족시켜 놓자는 생각 때문”이라고 털어놓았다. 우선은 선량한 관리자의 의무를 다하고 보겠다는 것이다. 
또 김 상무는 보안에 있어서 가장 중요한 것은 직원들의 의식이라고 말했다. 아무리 시스템적 방비를 한다고 해도 악의를 지닌 내부 직원이 정보유출을 하게 되면 통제권 밖의 일이 되기 때문이다. 내부자에 의한 유출사고는 개인 욕심보다는 많은 경우 무지에서 발생하기 때문에 기업은 직원들에게 보안 교육을 지속적으로 실시해 보안에 대한 인식을 바로 심어주는 것이 필요하다.
한편 김 상무는 정보보호는 회사에서 정책적으로 유도하는 작업과 직원들이 자발적으로 참여하는 상황이 조화를 이뤄야 한다고 조언했다. 그는 “회사가 지향하는 목표에 대해서는 강제적 요소가 있어야 하지만, 운용의 묘를 발휘하는 양면성도 필요하다”며 “정보보호 정책에 대한 당위성을 설득하는 동시에 현업에서 요구하는 것을 적극 받아들이려는 움직임이 필요하다”라고 전했다..