공공 정보보호, “우선 멍석부터 깔아 달라”

지침은 강화됐으나 예산 및 인력 지원 태부족

지난해 9월 개인정보보호법이 본격 발효되고 국정원에서도 공공기관 대상 사이버 보안 관리 감독을 강화하는 등 공공기관들은 정보보호 준수 지침을 위한 활동이 많았다.
그러나 한편으로는 정보보호에 앞장 서야 하는 공공기관들이 보수적인 공공환경 특성에 가로막혀 효과적인 정보보호 사업들이 원활히 추진되지 못하는 양상들도 보이고 있다.
인력 부족, 예산 부족, 조직의 부재, 보안 주무부처 간 혼선 등 여러 측면에서 정보보호 담당자들은 고민을 호소하고 있다.

연보라 기자 bora@ciociso.com

예산 및 인력 부족이 최대 애로사항
지난 2012년에는 개인정보보호법과 정보통신망법의 개인정보보호 관련 법령이 새롭게 개정 실시되는 등 정보보호의 원년이라 불릴 만큼 관련법들이 봇물을 이룬 한 해였다.
법이 실시된 만큼 공공기관에서는 이를 준행하기 위한 바쁜 움직임들이 있었다. 기관마다 차이는 있지만 심한 곳은 지난 한 해만 보안 관련한 공문이 무려 230여 건이 내려왔을 정도로 이 분야에 대한 지침이 폭발적으로 증가했다.
금융사들도 금융감독원의 강력한 관리감독을 받고 있기는 하지만, 공공기관 역시 상급기관과 국가정보원, 행정안전부 등 정보보호 관련 부처들의 지침에 따라 정보보호 활동을 수행해 나가고 있다.
그러나 법이 강화됐음에도 불구하고 기관들이 이를 실행할 수 있는 여건은 아직 부족하다는 것이 공공기관 정보보호 담당자들의 공통된 의견이다.
우선 이들의 가장 큰 고민은 예산과 인력 부족인 것으로 나타났다. 특히 인력 부족은 모든 기관들마다 절대적으로 토로하는 애로사항이다.
정보보호 전담 조직이 있는 기관은 그나마 형편이 나은 편이다. 정부에서는 보안 전담조직 구성을 지속적으로 권고하고 있는 상황이나, 실상은 기관의 의지만으로는 실현이 어려운 실정이다.
공공기관의 조직 및 인력은 행정안전부(지방자치단체)와 기획재정부(공기업)가 가장 핵심적인 결정권을 쥐고 있는데 보안전담부서 설치를 요청해도 이들의 승인을 받는 것이 쉽지 않다고 여러 공공기관 정보보호 담당자들은 이야기한다.
한 기관에서는 지난해 봄부터 보안전담부서에 대한 조직개편 요청을 했으나, 당분간은 IT담당조직에서 관장하라는 기재부의 응답을 받았다. 공공기관의 조직개편은 보안부서가 하나 개설되면 다른 하나의 부서가 폐지돼야 하는 ‘제로섬 게임(Zero Sum Game)’이기 때문이다. 전담부서 설치 실패로 진단분석팀, 보안관제팀 등 세분화해 보안을 강화하고자 하려던 이 기관의 계획은 당분간 연기될 수밖에 없었다.
“기관 조직이 작은 경우 전담 정보보호팀 자체가 없는 경우가 많다. 보안담당직원이야 있겠지만 그나마도 IT 업무와 겸직하는 형태가 많으며 실정은 열악한 편이다”고 한 정보보호 담당자는 설명했다.
한국농어촌공사의 경우 정보보호팀 구성에 대한 건의를 지난해에만 4차례에 걸쳐 경영진 및 기재부에 어필했지만 결국 승인을 받지 못했다. 김홍근 한국농어촌공사 정보화추진처장은 “지난해 초 농림수산식품부에서 전결로 정보보호팀 구성에 대한 권고지침이 내려와 이에 따라 조직 개편 및 증원 요청을 올리고 을지훈련, 전략회의, 중간보고, 부서장 간담회 등 여러 자리에서 조직 인력 부분에 대해 설명을 했으나 결국 반영되지 않았다”며 “현재 2명의 보안담당 직원이 전국 농어촌공사 지부의 5000만 명 임직원들의 정보보호를 모두 관장하고 있는 셈이어서 업무 과중문제가 심각하다”고 토로했다.
이어 김 처장은 “행안부, 국정원 등에서 정보보호 관련법을 강화하는 것과는 별개로 기재부에서 이를 수용해 주고 있지 않으니 중간에 있는 기관들만 난처해진다”면서 “부처 간 협력을 통해 법 집행이 일관성 있게 돼야할 것”이라고 지적했다.
보안 전담부서가 있다 하더라도 전체 기관 규모 혹은 관할하는 정보보호 대상 규모에 비해서는 인원이 턱없이 부족한 경우가 대부분이다. 적은 인원으로 각종 정보보호 관련 지침에 대한 대응을 하다 보니 보안 실무자들의 업무 과중 문제가 심각하다.
이는 정보보호에 대한 인식이 부족하기 때문이라고 관계자들은 이야기한다. 아직까지는 보안사고가 터져야만 반응하는 수준이라는 것이다.
이들 보안 담당자에 따르면 공공기관의 경우 가장 약한 조직이 IT, 그 중에서도 보안조직이다. 결정권을 쥐고 있는 것은 기관 행정직인데 이들은 보안은 물론이고 정보화 사업 자체가 ‘돈 먹는 하마’라는 식의 인식이 지배적이라는 것이다. 때문에 ‘사고라도 한 번 터져야 정신을 차릴지 모르겠다’는 자조적인 이야기까지 나오고 있다.

보안인력 부족현상 큰 문제

▲ “조직, 인력, 예산 등에 있어 결정권이 있는 행정직에서는 보안뿐 아니라 정보화 부서 자체가 사업부서가 아니라 지원부서일 뿐이라는 인식이 강하다. 사고가 터진 후의 복구비용보다는 사전에 예방을 위한 투자가 더 저렴한 법인데 이를 잘 모르는 것 같아 안타깝다” - 도찬구 서울시 정보보호정책팀장

이러한 현상에는 근본적으로 산업 전반적인 보안인력 부족 현상과도 맞닿아 있다. 특히 최근 금융사의 보안인력을 전체 IT 인력의 5%로 책정하는 5.5.7 규준에 따라 많은 보안인력이 금융권으로 흘러들어가면서 많은 기관들이 보안인력 확보에 애를 먹고 있는 상황이다.
한국농수산식품유통공사에서는 올해 초 전담팀을 조직하고 인원을 추가 채용했으나 얼마 지나지 않아 퇴직해 거쳐간 인력만 3명이다.
김학인 한국농수산식품유통공사 정보보호팀장은 “계약직 혹은 파견직으로 충원해오고 있었던 데다 아무래도 금융권보다는 급여수준이 낮기 때문에 그쪽으로 인력이 몰리는 것은 어쩔 수 없는 노릇”이라며 “공공기관에서는 정규직 확충이나 급여인상 등이 여의치 않기 때문에 상황이 반복되면서도 뚜렷한 해결방안은 없다”고 토로했다. 이에 공사에서는 일반 공채 직원 중 직무 교육을 통해 장기적으로 보안전문가로 양성하는 방안을 인사팀과 협의 중에 있다. 채용 시 보안가점을 한시적으로 운영하는 방법도 검토 중에 있기는 하나 형평성 논란의 소지로 녹록치 않을 것으로 전망된다.
김 팀장은 “대국민 서비스를 하는 공공기관의 경우 정보보호가 더욱 필요하므로 안할 수도 없는 상황이지만 인력수급에 대한 산업적인 여건 및 수행 인력이 부족한 상태에서 정보보안에 대한 제도들이 단기간에 강화가 돼 상황이 악화되고 있다”고 전했다.
현재 많은 기관들이 IT 아웃소싱을 적극적으로 활용하고 있다. 공공기관 및 공기업의 경우 공공 성격의 정보들이 외부로 노출될 위험이 있기 때문에 아웃소싱보다는 자체 인력을 확보하는 것이 바람직하지만 여의치 않다.
그러나 아웃소싱 인력도 사정은 크게 다르지 않다. 최근 보안수요는 폭발적으로 증가하는 데 반해 인력은 태부족이라, 요즘 보안업체들은 ‘고객을 골라서 계약’한다는 말이 나올 정도다. 그나마 사업비 기준이 한정돼 있는 공공기관의 경우 보안업체들 모시기가 하늘의 별따기로 불릴 정도다. 한 기관의 경우 보안컨설팅 사업공고를 냈음에도 신청 기업이 없어 두 차례나 사업이 유찰되는 사례도 있었다.
이 같이 산업 전반적인 보안인력 부족 현상은 보안인력에 대한 처우 개선 없이는 해결이 어려울 것이라는 게 업계의 공통된 의견이다.
업무 특성상 성과나 실적을 나타내기 어려운 요소가 많고 ‘잘해야 본전, 못하면 엄청난 리스크가 따르는’ 직종인 까닭에, 이를 적절히 해소해줄 수 있는 사기 진작 방안 또는 포상제도가 필요하다는 지적이다.

보안을 ‘비용’으로 보는 인식 여전

▲ “개인정보보호법 발효 이후 금융권 등 민간기업들의 보안인력에 대한 수요가 폭발적으로 증가해 공공에 있던 보안인력들이 그쪽으로 많이 흘러갔다. IT 전체 인력 중 10%를 보안인력으로 상향조정하라는 권고가 매 국무회의 때마다 나오고는 있지만 실질적으로 양질의 보안인력을 확보 유지하는 것은 쉽지 않은 일이다” - 박광우 한국보건복지정보개발원 정보보호본부장

또한 보안 요구수준은 현격히 높아졌는데, 예산 수준은 그에 따라주지 않는 실정이다.
특히 개인정보보호법이 강력하게 시행돼 기관들에게 의무화하는 요건들이 있음에도 이를 실행할 사업비는 전혀 할당 및 지원이 되지 않는 상황이다.
서울시청의 경우 현재 정보보호인력 규모는 전체 IT 인력의 2.4%, 예산은 5.4%에 불과하다. 그나마 올해 예산도 지난해 대비 12억 원이 삭감됐다.
도찬구 서울시청 정보보호정책팀장은 “지난해 보안 관련 사업 발주 시 가격협상 및 최저가 정책에 의해 최종 계약금액이 처음 산출한 예산의 88% 정도가 됐었는데 최종 계약된 금액을 고려해 예산이 삭감, 반영됐다”고 설명하면서 “경제 불황으로 세수도 어렵고 열악한 환경이지만, 보안업체들도 정당한 대가를 받아야 받은 만큼 일하지 않을까”라고 지적했다.
도 팀장은 또 “금융권의 경우 보안사고가 발생할 경우 금전적 손실이 치명적이기 때문에 5.5.7 규준 등 전자금융 감독규준에 의해 인력과 예산 하한선을 지정해주고 있지만 공공은 아직 그런 형편에는 미치지 못하고 있다”고 설명했다.
부처 간 협의 부족의 이유도 있지만 기관 내에서도 보안에 대한 인식 및 전문지식이 부족하기 때문이라는 지적이다.
“기재부 내 IT 담당 직원이 있지만 IT 중에서도 보안은 특수한 영역이기 때문에 이해를 하지 못하는 경우가 더러 있다”면서 “보안은 새로운 위협이 끊임없이 등장하는 것이고 여러 가지 솔루션으로 부분적으로 방어해 전체적인 보안 체계를 구성해가는 것인데, 이를 중복투자라고 보는 경향이 있다”고 한 보안 담당자는 말했다.
또 그는 “DB암호화 의무화에 따라 각 기관들마다 DB암호화를 고려, 추진하고 있으나 대법원과 같이 DB량이 방대한 곳에서는 DB암호화 예산이 100억 원 이상 소요될 텐데 과연 기재부에서 이를 수용해줄 지는 의문”이라며 공공에서는 아직 보안에 대해 소모성 예산으로 보는 경향이 짙다고 전했다.
또한 국가 주요 통신기반시설에 대해서는 정기적으로 취약점 점검을 받도록 돼있는데, 이 주기가 기존 격년1회에서 지난해 5월부터는 연1회로 변경됐다. 컨설팅 용역비가 평균 4천~5천만 원가량 소요되는데 이 예산은 기관에서 직접 확보해야 한다.
한 관계자는 “담당자의 업무량이나 예산 소요 등을 고려해 이에 맞게 예산을 확보해서 지원도 해주고 인력도 확충해줘야 할 텐데 그런 것들은 전혀 없이 강제규정만 만들어놨다”고 불만을 표시했다.
김홍근 한국농어촌공사 정보화추진처장은 “이를 해결할 수 있는 가장 좋은 방법은 법제화, 명문화하는 것”이라고 제안했다. 예를 들면, 건설사업 이전에 도로영향평가를 필수로 하듯 일정 규모 이상의 공공 조직은 정기적으로 정보보안컨설팅을 의무화할 수 있다는 것이다. 이처럼 구체적으로 명기된 가이드라인이 있으면 인력 및 예산 확충이 필수불가결할 것이라고 설명했다.            

시도 때도 없는 보안점검, 정작 보안할 시간이 없다       

▲ “공공기관으로 국가에너지 기반시설을 운영하고 있는 만큼 정부의 강력한 관리감독을 받고 있다. 정책에 따라 각종 보안수단들을 도입하고 있는데, 아무래도 직원들의 편의성을 제한하는 측면이 많다보니 이에 대한 변화관리가 부담이 되는 것은 사실이다. 보안인식을 제고할 수 있는 당위성 교육이 더욱 필요한 듯하다” - 박상형 한국수력원자력 사이버보안팀장

 올해부터 매년 공공기관 대상으로 실시하는 경영평가 중 책임경영이라는 항목 내에 ‘사이버 보안’과 관련한 항목들이 포함됐다. 이 중에는 총 127개의 보안 관련 평가 지표들이 포함돼 있는데 이에 따라 국정원에서 매년 정보보안관리실태평가를 실시하고 있다.
이와 비슷한 시기인 10~11월에 걸쳐 행안부에서도 전자정부 대민 서비스 정보보호 수준진단 평가를 실시하고 있다.
더군다나 하반기에는 정기 감사 및 회계감사가 열리는 시기이기도 하다. 기관에 따라서는 상급기관에서 보안점검을 수시로 실시하기도 한다.
이처럼 잦은 점검과 감사로 기관의 보안 담당자들은 이에 대한 증빙자료를 준비하는 부담감을 호소하고 있다.
한 보안 담당자는 “회계감사나 정기 감사는 한 개 기관이 일관성 있게 주기적으로 수행해오던 것이라 미리 업무 분산 및 대비가 가능한데, 보안 점검은 비정기적으로 수시 발생하니 적은 인원으로 이를 대응하기가 버거운 것이 사실”이라며 “게다가 여러 부처의 점검 기간이 인접해 있어 이 시기에는 오히려 고유 업무를 수행하는 데 걸림돌이 된다”고 토로했다.
또 다른 보안 담당자도 “여러 보안활동들은 정상적으로 많이 하고는 있는데, 업무 추진이라기보다 현상 유지에 가깝다. 새로운 사업을 할 수 있는 여건이 아니다”면서 “국정원이나 행안부의 감사, 시의회, 국정감사 등 수시로 열리는 감사 및 실태조사 때마다 관련 자료들을 준비하고 제출하느라 정작 실질적인 보안 사업을 추진할 수 있는 형편이 아니다”라고 설명했다. 또 그는 “수행 부처가 분산돼 있으니 일정 조정도 힘든 것 같다”면서 “하반기에 감사 및 실태조사, 평가가 집중돼 있어 이에 대한 자료 준비 외에는 다른 업무를 하기 힘든 형편이다. 상반기로 조정해주었으면 좋겠다”는 의견을 피력했다.

CC인증 보안 솔루션만 가능, 선택의 폭 좁아
공공기관에 납품되는 보안 솔루션은 국정원의 CC인증을 받은 제품이어야만 한다. 이는 발주기관 담당자로서는 한 단계 기술검증을 거친 제품만을 고려하게 해준다는 이점도 있지만 한편으로는 선택의 폭을 좁게 한다는 지적도 나오고 있다.
한 기관의 정보보호팀장은 “한 품목당 인증 제품이 서넛으로 제한돼 있다 보니 가격협상력이나 커스터마이징 등 기관이 업체에게 요구할 수 있는 부분이 적어질 수밖에 없다”고 설명했다.
특히 외국기업은 CC인증이 필수요건인 공공시장에는 접근하고 있지 않은데, 이는 국정원 CC인증이 개발 소스코드를 제출하는 것을 원칙으로 하고 있기 때문이다. 해외 CC인증을 받은 제품을 도입했다 할지라도 감사나 사고가 발생 시 이에 대한 설명을 요구하기 때문에 보안담당자들로서는 국정원 CC인증 제품만을 선택하게 된다. 따라서 공공시장에서는 CC인증을 획득한 국내기업들만의 경쟁이 될 수밖에 없다. 이는 국내 보안업체의 보호의 효과가 있기는 하지만 울타리를 치는 것만이 능사는 아니라는 것이 일각의 의견이다.

범국가적 차원의 일관된 정보보호 거버넌스 시급
아직까지 우리나라 정보보호는 과도기 단계다. 이제 막 관련법들이 제정 및 강화됐으므로 앞으로 좀 더 개선, 발전시켜 나가야할 부분이다.
다만 이제까지 여러 부처에서 산발적이고 독립적으로 내었던 정보보호 관련 지침들이, 부처 간 협의와 조율을 통해 범국가적 차원의 정보보호 거버넌스 하에서 일관된 정책 방향으로 움직여야 이를 준행할 의무가 있는 각 공공기관 및 공기업에서도 혼선이 없을 것이다.
기업의 정보보호 수준을 견인하고 국가 전체의 보안 경쟁력 강화에 기여할 수 있는 장기적이고 거시적인 관점에서의 공공 정보보호 정책이 시급하다.