2024.05.10 (금)
국가정책적 ‘보안철학’ 갖고 일관성 있는 정책 펴야
지난 이명박 정부의 IT 정책에 대해 CISO들은 어떻게 평가하고 있을까?
현 정부는 정보통신부를 폐지, IT 기능을 각 부처로 분산시키며 ICT 컨트롤타워 부재라는 비난을 집권 내내 귀가 따갑도록 들어왔으나 정보보호 측면에서는 수확이 아예 없었던 것도 아니다.
개인정보보호법, 정통망법, 전자금융거래법 등 많은 보안관련 정책들을 봇물처럼 쏟아냄에 따라 기업은 물론 일반 국민에 이르기까지 보안에 대한 필요성을 인식하게 하는 큰 계기가 된 것은 사실이다.
그러나 정책 간 불일치, 지나친 규제로 인한 기업의 자율성 침해, 흩어진 보안 통제 기능으로 인한 업계의 혼선 등 효율적이고 일관된 정책 집행 아쉽다는 평도 상존한다.
지난 5년간 IT 정책에 대한 CISO들의 의견과 차기 정부에 바라는 점에 대해 들어봤다.
연보라 기자 bora@ciociso.com
개인정보보호법 제정, CISO 개념 도입 등 보안 기반 조성
우선, 개인정보보호에 대한 일반법인 개인정보보호법을 제정, 공표하고 이에 대한 실행을 위해 다양한 노력을 수행한 점은 높게 평가되고 있다. 기존 공공기관이나 정보통신사업자 등을 대상으로 한 개별법이 규정하고 있던 규율대상이 51만 사업자로 한정됐었던 것에 반해 개인정보보호법의 시행에 따라 350만 사업자로 법률적용대상을 확대됐으며, 온라인뿐 아니라 오프라인에서의 수기 문서에 이르기까지 전반적인 개인정보보호를 위한 정책을 펼칠 수 있는 환경을 조성한 것에 큰 의의를 둘 수 있다.
CISO의 개념을 처음 도입한 점도 CISO들이 현 정부에 대해 긍정적으로 평가하는 근거 중 하나이다.
CISO의 책임과 역할에 대한 중요성에 대해 크게 인식하고 이를 개인정보보호법 및 전자금융거래법 IT모범규준상에 반영한 점이 높게 평가되는 부분이다.
▲ “개인정보보호와 관련해 특정 기관이 규제와 진흥을 동시에 수행하는 것은 동전의 양면과 같은 기능을 하기 보다는 상호 이율배반적인 결과를 낳지 않을까 싶다. 규제측면에 있어서는 세계에서 가장 선도적인 반면에 진흥측면에 있어서는 어떤 효과적인 정책이 있었는지 쉽게 내놓을 수 없다. 지나친 국내 사업자 대상 규제로 국내 기업들의 글로벌한 사업기회를 막아버린 것은 아닌가 하는 반성이 촉구된다” - 이진규 NHN 개인정보보호팀장 |
보안 컨트롤타워, ‘정보보호국’ 설치 필요
이명박 정부 초기 정보통신부가 해체되면서 많은 실망을 했었다는 것은 대부분의 IT업계가 공감하는 부분일 것이다. 부서의 존폐 여부는 곧 정책의 의지로 비춰지기 때문이다. 현재 여러 부처로 나눠져 있는 IT 기능이 과거 정통부와 같은 하나의 기관에 모여 일관되게 진행돼야 한다는 것이 업계의 중론이다.
국가정보원, 행정안전부, 방송통신위원회, 금융감독원 등 여러 부처로 나뉘어 관리, 감독이 실시되고 있어 통일된 창구를 잃어버린 기업들의 혼선이 가중되고 있다.
특히 금융권의 경우 개인정보보호법이 발효되면서 개인정보보호에 대한 통제가 금감원에서 행안부로 이전됐는데, 금융권의 특성을 고려한 전문성 있는 통제가 아쉽다는 목소리가 높다. 즉 모든 산업군에 걸쳐 개인정보보호에 대한 관리가 행안부로 일괄적으로 통폐합되다보니 전문성은 낮아질 수밖에 없을 거라는 의견이다.
한 금융사 CISO는 “새롭게 제정 또는 개정된 감독규정에 대해 질의나 협의를 하고자 할 때 과거에는 금감원이나 금융위를 통해 비교적 명확한 피드백을 받을 수 있었으나 현재는 창구가 애매하다”면서 “금감원이나 금융위에 문의를 하면 민감한 부분이나 애매한 부분은 행안부 소관이라며 대답을 미루고, 행안부에 문의를 하면 기술적으로는 잘 모르겠다는 답변이 돌아와 답답하다”고 토로했다.
CISO들은 과거 정통부와 같은 역할의 IT 컨트롤타워가 부활해야 하는 것은 물론, 그 안에 정보보호국을 신설해 보안을 전문적으로 통합관리해야 한다는 의견이다. 즉 행안부, 지경부, 방통위, 금융위, 금감원 등 보안관련 부처를 통합함으로써 일관된 정책을 펼쳐야 한다는 것이다.
또 다른 CISO는 “IT가 반드시 컨트롤타워가 존재해야 하는 분야인지에 대해서는 개인적으로 의문이 있지만, 규제와 진흥을 한 기관이 동시에 수행하는 것은 동전의 양면과 같은 기능을 하기보다는 상호 이율배반적인 결과를 보여줄 공산이 크지 않을까 한다”면서 “강력한 개인정보보호법 제정 등 규제 측면에 있어서는 세계에서 가장 선도적인 반면, 진흥 측면에서는 어떤 효과적인 정책이 있었는지 쉽게 내놓을 수 없는 실정”이라고 평가했다.
▲ “국내 보안시장이 효과적으로 육성되고 있지 않은 듯하다. 국내 보안업체들이 대부분 영세한 관계로 해당 솔루션을 도입했을 시 장기적이고 지속적인 유지보수 및 시스템 업그레이드가 가능한가에 대해 우려가 생긴다. 최악의 경우 몇 년마다 제품을 걷어내고 새로운 제품을 깔아야할 수도 있는 것이다. 그러다보면 기업 입장에서는 안정적인 외산 브랜드를 고려할 수밖에 없는 상황이다” - 김종대 SC금융지주 IT보안팀 부장 |
IT 경기침체, “국산 보안솔루션 쓰기 겁난다”
‘잃어버린 5년’으로 불릴 정도로 현 정부의 지난 5년은 IT 업계에는 혹독한 시기였다. 세계적인 경기침체와 더불어 IT 컨트롤타워의 부재, 각종 정부지원의 중단 등 여러 요인들로 인해 IT 시장은 침체 국면에 접어들어 있다.
보안업체들의 사정은 더 열악하다. 국내 보안업체들은 대부분 규모가 크지 않기에 차기 정부의 IT에 대한 강력한 지원이 간절한 상황이다.
이러한 IT 시장의 전반적인 침체는 사용자 기업에게 있어서도 위협요소로 작용할 수밖에 없는데, 보안업체들의 기업 영속성을 확신할 수 없기 때문에 보안 솔루션을 도입할 시 장기적인 유지보수가 이뤄질 수 있냐에 대한 우려가 발생하기 때문이다.
기업이 특정 솔루션을 도입할 시 장기적으로 기능을 개선해 가면서 사용할 수 있어야 하는데, 기업이 영세해 경제상황에 따라 기업 존폐여부가 갈리니 사용자 입장에서는 대형 외산 제품을 고려할 수밖에 없는 것이다. 이는 또다시 국내업체들의 경기악화를 초래해 악순환이 이어진다.
한 CISO는 “국내 솔루션들은 사용자의 요구에 따라 커스터마이징을 해주는 등 장점이 많다. 그러나 장기간 사용했을 때 이를 지속적으로 운용해줄 수 있는 능력이 몇몇 기업 외에는 많지 않은 것 같다”면서 “국내 보안 솔루션을 적용했다 그 업체가 경기악화로 폐업하게 되면 몇 년 만에 제품을 모두 걷어내고 새로운 제품을 깔아야 할지도 모른다는 우려가 있다”고 말했다.
IT 전문인력 양성 위한 정부 지원 절실
현재 IT 업계, 특히 정보보호 업계에서는 극심한 전문인력 부족 현상을 호소하고 있다.
일반 기업들의 경우 내부 인력만으로 운영이 어려워 외부 아웃소싱을 적극 활용하고 있는 상황이다. 인력은 늘 부족하지만 막상 채용을 하려하면 쓸 만한 인재가 없다는 것이 IT 담당자들의 하소연이다. 한 정보보호담당자는 “과거부터 IT가 3D라는 인식이 있다 보니 인력 수급이 쉽지 않은데다, 현업에서는 바로 결과물을 산출해낼 수 있는 인력을 선호하기 때문에 신입직원보다는 경력직을 선호하게 되는 것이 사실”이라며 “전문성 있는 인재를 양성하려면 그만큼 투자가 필요한데 신입직원 교육 등 정부 주도의 전문인력 양성과정들이 최근에는 많이 사라진 듯하다”고 아쉬움을 표했다.
그나마 개인정보보호법과 금감원의 5.5.7규준으로 보안인력에 대한 규정이 세워진 것은 긍정적인 효과를 주고 있다.
▲ “늘 인력 부족에 시달리면서도 막상 새로 인력을 채용하려 하면 쓸만한 인재가 없다는 것이 고민이다. IT 인력이란 것이 어느 정도 기술 누적이 필요한데, 그만큼 인력 양성을 위해 투자할 여력이 기업에게 없는 것 같다. 과거 IT가 인기 직종이었던 시절에는 IT 전문 인력 양성과정에도 인력이 넘쳐나고, 그 인력들이 현장으로 투입되는 순기능 작용을 했으나 현재는 그런 것들이 아쉬운 상황이다” - 이상재 현대로지스틱스 정보기술팀 부장 |
차기 정부, 일관성 있는 보안정책 이어나가길
이명박 정부로부터 나온 여러 보안정책들은 기업은 물론 일반인에 이르기까지 국민 전체에게 보안의 중요성을 인식시키는 계기를 마련해줬다는 점에서는 이견이 없을 것이다.
앞으로는 이런 정책들을 보다 실정에 맞게 다듬어나가 정보보호 측면에서 흐릿했던 정책들이 제대로 동작할 수 있도록 해야 한다고 업계는 입을 모으고 있다.
새 정권이 들어서면 정책도 바뀌는 것이 보통이지만, 보안 관련해서는 최대한 일관된 정책으로 나가야 실질적으로 도움이 된다는 것이다.
특히 보안 인원이나 예산 등 기존의 구체적으로 명시했던 규제들이 차기 정부가 들어선 후 크게 변경되면, 기업체에서도 보안조직을 다시 축소 또는 통폐합시키거나 혹은 보안예산을 다른 용도로 전용해 보안 경쟁력 저하로 이어질 수 있다고 업계는 경고하고 있다.
더불어 규제로 인해 국내 IT사업이 국제적 글로벌 표준과 동떨어지지 않도록 정부의 각별한 관심과 조치가 필요하다고 업계는 요구하고 있다. 국내 한 포털의 정보보호 담당자는 “게임산업 등 국민감정상 규제가 필요하다고 생각되는 IT 분야에 대해 ‘실증적 연구’가 선행돼 반드시 필요한 규제만 적용될 수 있도록 한다”며 “연구결과가 사회적으로 다양한 이해관계자에 의해 그 요체가 인정되기 전까지는 추가적인 규제가 시행되지 않아야 함은 물론 기존의 규제에 대해서는 유예가 필요하다”고 건의했다.
또한 차기 정부는 국가정책적 ‘철학’을 가지고 중, 장기적으로 보안을 비롯한 IT 산업 육성과 규제의 균형을 맞춰야 할 책임이 있다. 사건이 발생할 때마다 법률을 개정하고, 규제를 강화하는 방식으로는 누더기 같은 패치워크(patch work)만 될 뿐이며, 근원적인 산업경쟁력 확보에는 도움을 주지 못할 것이다.
큰 틀에서 산업육성을 이끌어나가되, 규제는 글로벌 표준에 발 맞춰 나가는 차기 정부의 노력이 요구된다.