국가정책적 ‘보안철학’ 갖고 일관성 있는 정책 펴야

지난 이명박 정부의 IT 정책에 대해 CISO들은 어떻게 평가하고 있을까?
현 정부는 정보통신부를 폐지, IT 기능을 각 부처로 분산시키며 ICT 컨트롤타워 부재라는 비난을 집권 내내 귀가 따갑도록 들어왔으나 정보보호 측면에서는 수확이 아예 없었던 것도 아니다.
개인정보보호법, 정통망법, 전자금융거래법 등 많은 보안관련 정책들을 봇물처럼 쏟아냄에 따라 기업은 물론 일반 국민에 이르기까지 보안에 대한 필요성을 인식하게 하는 큰 계기가 된 것은 사실이다.
그러나 정책 간 불일치, 지나친 규제로 인한 기업의 자율성 침해, 흩어진 보안 통제 기능으로 인한 업계의 혼선 등 효율적이고 일관된 정책 집행 아쉽다는 평도 상존한다.
지난 5년간 IT 정책에 대한 CISO들의 의견과 차기 정부에 바라는 점에 대해 들어봤다.

연보라 기자 bora@ciociso.com

개인정보보호법 제정, CISO 개념 도입 등 보안 기반 조성
우선, 개인정보보호에 대한 일반법인 개인정보보호법을 제정, 공표하고 이에 대한 실행을 위해 다양한 노력을 수행한 점은 높게 평가되고 있다. 기존 공공기관이나 정보통신사업자 등을 대상으로 한 개별법이 규정하고 있던 규율대상이 51만 사업자로 한정됐었던 것에 반해 개인정보보호법의 시행에 따라 350만 사업자로 법률적용대상을 확대됐으며, 온라인뿐 아니라 오프라인에서의 수기 문서에 이르기까지 전반적인 개인정보보호를 위한 정책을 펼칠 수 있는 환경을 조성한 것에 큰 의의를 둘 수 있다.
CISO의 개념을 처음 도입한 점도 CISO들이 현 정부에 대해 긍정적으로 평가하는 근거 중 하나이다.
CISO의 책임과 역할에 대한 중요성에 대해 크게 인식하고 이를 개인정보보호법 및 전자금융거래법 IT모범규준상에 반영한 점이 높게 평가되는 부분이다.

▲ “개인정보보호와 관련해 특정 기관이 규제와 진흥을 동시에 수행하는 것은 동전의 양면과 같은 기능을 하기 보다는 상호 이율배반적인 결과를 낳지 않을까 싶다. 규제측면에 있어서는 세계에서 가장 선도적인 반면에 진흥측면에 있어서는 어떤 효과적인 정책이 있었는지 쉽게 내놓을 수 없다. 지나친 국내 사업자 대상 규제로 국내 기업들의 글로벌한 사업기회를 막아버린 것은 아닌가 하는 반성이 촉구된다” - 이진규 NHN 개인정보보호팀장

그러나 공공기관 혹은 금융기관의 개인정보보호 책임자에 대해서는 그 지정 요건을 매우 구체적이고 명시적으로 정한 반면, 그 외의 경우는 상당히 포괄적인 개념으로 지정해놓고 있다. 즉 사업주/대표자/개인정보처리관련업무를 담당하는 부서의 장/개인정보보호에 관한 소양이 있는 사람을 개인정보 보호책임자로 지정할 수 있도록 해 자칫 대형 개인정보처리 사업자의 개인정보 관리 책임과 수준이 국민 일반의 기대에 미치지 못할 우려도 존재한다.
또한 개인정보 보호책임자 및 개인정보보호조직과 관련된 조직구성, 개인정보 보호를 위한 관리업무의 위탁가능 여부 등을 구체화하지 않은 점도 CISO들에게 다소 아쉬운 점으로 꼽히고 있다.
이렇듯 정보보호 또는 개인정보보호에 관련해 강화된 법률을 통해 정보유출 및 침해사고를 예방하려는 정부의 노력이 있었던 것은 사실이지만, 실제 정보보호를 위한 정부차원의 투자는 거의 없다시피 했다는 것이 업계의 중론이다. 재발방지대책 역시 캠페인성 미봉책에 그쳐 사건, 사고가 끊이지 않았다는 것이다.
한 포털기업의 개인정보보호 담당자는 “실질적인 정보보호를 위한 정보통신환경을 조성함에 있어 근본적인 철학이 부재하다”고 꼬집으면서 “특히 주민등록번호 이용제한 등의 신규제도와 관련해서는 관계부처의 협의를 이끌어내지 못하고 신규제도 적용의 부담을 사업자와 이용자에게만 전가했다”고 신랄하게 비판했다.

보안 컨트롤타워, ‘정보보호국’ 설치 필요
이명박 정부 초기 정보통신부가 해체되면서 많은 실망을 했었다는 것은 대부분의 IT업계가 공감하는 부분일 것이다. 부서의 존폐 여부는 곧 정책의 의지로 비춰지기 때문이다. 현재 여러 부처로 나눠져 있는 IT 기능이 과거 정통부와 같은 하나의 기관에 모여 일관되게 진행돼야 한다는 것이 업계의 중론이다.
국가정보원, 행정안전부, 방송통신위원회, 금융감독원 등 여러 부처로 나뉘어 관리, 감독이 실시되고 있어 통일된 창구를 잃어버린 기업들의 혼선이 가중되고 있다.
특히 금융권의 경우 개인정보보호법이 발효되면서 개인정보보호에 대한 통제가 금감원에서 행안부로 이전됐는데, 금융권의 특성을 고려한 전문성 있는 통제가 아쉽다는 목소리가 높다. 즉 모든 산업군에 걸쳐 개인정보보호에 대한 관리가 행안부로 일괄적으로 통폐합되다보니 전문성은 낮아질 수밖에 없을 거라는 의견이다.
한 금융사 CISO는 “새롭게 제정 또는 개정된 감독규정에 대해 질의나 협의를 하고자 할 때 과거에는 금감원이나 금융위를 통해 비교적 명확한 피드백을 받을 수 있었으나 현재는 창구가 애매하다”면서 “금감원이나 금융위에 문의를 하면 민감한 부분이나 애매한 부분은 행안부 소관이라며 대답을 미루고, 행안부에 문의를 하면 기술적으로는 잘 모르겠다는 답변이 돌아와 답답하다”고 토로했다.
CISO들은 과거 정통부와 같은 역할의 IT 컨트롤타워가 부활해야 하는 것은 물론, 그 안에 정보보호국을 신설해 보안을 전문적으로 통합관리해야 한다는 의견이다. 즉 행안부, 지경부, 방통위, 금융위, 금감원 등 보안관련 부처를 통합함으로써 일관된 정책을 펼쳐야 한다는 것이다.
또 다른 CISO는 “IT가 반드시 컨트롤타워가 존재해야 하는 분야인지에 대해서는 개인적으로 의문이 있지만, 규제와 진흥을 한 기관이 동시에 수행하는 것은 동전의 양면과 같은 기능을 하기보다는 상호 이율배반적인 결과를 보여줄 공산이 크지 않을까 한다”면서 “강력한 개인정보보호법 제정 등 규제 측면에 있어서는 세계에서 가장 선도적인 반면, 진흥 측면에서는 어떤 효과적인 정책이 있었는지 쉽게 내놓을 수 없는 실정”이라고 평가했다.

▲ “국내 보안시장이 효과적으로 육성되고 있지 않은 듯하다. 국내 보안업체들이 대부분 영세한 관계로 해당 솔루션을 도입했을 시 장기적이고 지속적인 유지보수 및 시스템 업그레이드가 가능한가에 대해 우려가 생긴다. 최악의 경우 몇 년마다 제품을 걷어내고 새로운 제품을 깔아야할 수도 있는 것이다. 그러다보면 기업 입장에서는 안정적인 외산 브랜드를 고려할 수밖에 없는 상황이다” - 김종대 SC금융지주 IT보안팀 부장

이러한 정부의 지나친 국내 사업자 대상 규제에 대해 업계는 ‘갈라파고스 규제’라는 신조어까지 만들어내기도 했다. 실제 글로벌한 사업기회를 스스로 막고 있다는 반성이 촉구된다.
물론 현 정부도 전자정부 등 ICT 사업에 관심이 많은 것은 사실이지만, 이를 확실히 뒷받침해줄 수 있는 기반 조성에는 상대적으로 관심이 덜한 것 아니냐는 지적을 받고 있다
또한 IT 관련 부처가 분산돼 있는 만큼 정보보호와 관련해 개인정보보호법, 정통망법, 전자금융거래법 등 여러 가지 법령들이 서로 상충되거나 모순되는 부분들이 있어 기업들의 혼선을 가중시키고 있다.
특히 개인정보보호법의 경우 일반적인 법률제정과정과는 달리 특별법이 먼저 제정된 후에, 일반법이 제정된 사정에 따라 개인정보보호법과 개별 법률 간의 중복된 규정이 존재하거나, 혹은 동일한 목적의 조항임에도 불구하고 내용이 상이한 규정 등이 존재하는 것이 사실이다.
모 기업의 CISO는 “보안 관련해 준수해야 할 여러 조항들이 있는데 부처가 행안부, 방통위 등으로 나뉘고 각기 보안 대상이나 방법론에 차이가 있어 보안 관련 내부 지침을 정립하는 데 애를 먹었다”면서 “정보보호 관련 법 전체를 한 데 열거, 비교해 보수적인 조항을 기준으로 우선적으로 적용하고 있다”고 전했다.
CISO들은 다음 정부에서는 법률 내용의 조정 내지 통폐합 작업 등이 반드시 후행돼야 할 것이라고 공통적으로 입을 모으고 있다.
개인정보의 명확한 정의부터 이뤄져야 하며, 국내 사업자에게만 한정된 규제의 문제, 개인정보보호법과 망법의 중복 규제의 문제나 적용법규의 복잡성 등 여러 제기된 문제들에 대해 법률 조항의 조정 내지 통폐합이 반드시 필요하다는 지적이다.

IT 경기침체, “국산 보안솔루션 쓰기 겁난다”
‘잃어버린 5년’으로 불릴 정도로 현 정부의 지난 5년은 IT 업계에는 혹독한 시기였다. 세계적인 경기침체와 더불어 IT 컨트롤타워의 부재, 각종 정부지원의 중단 등 여러 요인들로 인해 IT 시장은 침체 국면에 접어들어 있다.
보안업체들의 사정은 더 열악하다. 국내 보안업체들은 대부분 규모가 크지 않기에 차기 정부의 IT에 대한 강력한 지원이 간절한 상황이다.
이러한 IT 시장의 전반적인 침체는 사용자 기업에게 있어서도 위협요소로 작용할 수밖에 없는데, 보안업체들의 기업 영속성을 확신할 수 없기 때문에 보안 솔루션을 도입할 시 장기적인 유지보수가 이뤄질 수 있냐에 대한 우려가 발생하기 때문이다.
기업이 특정 솔루션을 도입할 시 장기적으로 기능을 개선해 가면서 사용할 수 있어야 하는데, 기업이 영세해 경제상황에 따라 기업 존폐여부가 갈리니 사용자 입장에서는 대형 외산 제품을 고려할 수밖에 없는 것이다. 이는 또다시 국내업체들의 경기악화를 초래해 악순환이 이어진다.
한 CISO는 “국내 솔루션들은 사용자의 요구에 따라 커스터마이징을 해주는 등 장점이 많다. 그러나 장기간 사용했을 때 이를 지속적으로 운용해줄 수 있는 능력이 몇몇 기업 외에는 많지 않은 것 같다”면서 “국내 보안 솔루션을 적용했다 그 업체가 경기악화로 폐업하게 되면 몇 년 만에 제품을 모두 걷어내고 새로운 제품을 깔아야 할지도 모른다는 우려가 있다”고 말했다.

IT 전문인력 양성 위한 정부 지원 절실
현재 IT 업계, 특히 정보보호 업계에서는 극심한 전문인력 부족 현상을 호소하고 있다.
일반 기업들의 경우 내부 인력만으로 운영이 어려워 외부 아웃소싱을 적극 활용하고 있는 상황이다. 인력은 늘 부족하지만 막상 채용을 하려하면 쓸 만한 인재가 없다는 것이 IT 담당자들의 하소연이다. 한 정보보호담당자는 “과거부터 IT가 3D라는 인식이 있다 보니 인력 수급이 쉽지 않은데다, 현업에서는 바로 결과물을 산출해낼 수 있는 인력을 선호하기 때문에 신입직원보다는 경력직을 선호하게 되는 것이 사실”이라며 “전문성 있는 인재를 양성하려면 그만큼 투자가 필요한데 신입직원 교육 등 정부 주도의 전문인력 양성과정들이 최근에는 많이 사라진 듯하다”고 아쉬움을 표했다.
그나마 개인정보보호법과 금감원의 5.5.7규준으로 보안인력에 대한 규정이 세워진 것은 긍정적인 효과를 주고 있다.

▲ “늘 인력 부족에 시달리면서도 막상 새로 인력을 채용하려 하면 쓸만한 인재가 없다는 것이 고민이다. IT 인력이란 것이 어느 정도 기술 누적이 필요한데, 그만큼 인력 양성을 위해 투자할 여력이 기업에게 없는 것 같다. 과거 IT가 인기 직종이었던 시절에는 IT 전문 인력 양성과정에도 인력이 넘쳐나고, 그 인력들이 현장으로 투입되는 순기능 작용을 했으나 현재는 그런 것들이 아쉬운 상황이다” - 이상재 현대로지스틱스 정보기술팀 부장

모 금융사 CISO는 “5.5.7 규준은 나름대로 정보보안에 대한 정부의 의지를 보여주는 좋은 사례로 그로 인해 실질적으로 보안 예산 및 인원을 확보하게 돼 보안 역량이 강화된 측면이 있다”는 한편 “그러나 기업은 이윤 추구를 목적으로 하는 조직인데 예산이나 인력을 법령으로 정해놓는 것이 너무 기업 자율성을 침해하는 것 아닌가 하는 논란이 있을 수 있다”고 지적했다. 또 이 강제조항이 차기 정부에도 지속적으로 이어질 수 있는가에 대한 우려도 있을 수 있다. 조직과 예산을 법에 따라 구성해놓은 후 해당 조항이 폐기될 경우 이 조직과 예산의 존폐도 장담할 수 없기 때문이다.
국내의 보안규제는 상당히 구체적이고도 지엽적이라는 평가가 이뤄지고 있다. 이는 보안 실무자 입장에서는 법령만 지키면 책임이 없으므로 상당히 편할 수 있다. 그러나 이는 반대로 법령에서 열거되지 않은 부분은 안해도 된다는 논리도 성립 가능하다.
한 업계 관계자는 “외국의 경우 보안 관련 정책들이 원론적인 조항만 포함하고 있어 기업들이 보안 투자를 하던지, 하지 않던지 정부에서 아무런 제재를 하지 않지만, 일단 사고가 발생했을 시 해당기업에게 이유를 막론하고 모든 책임을 물도록 하고 있다”면서 “기업은 이런 리스크를 피하기 위해 자연스럽게 보안조치를 할 수밖에 없는 결과주의적 정책노선으로 우리 실정과는 반대”라고 설명했다.
IT 업계는 기술집약적인 사업이기도 하지만 인력집약적인 사업이기도 하다. 또한 파생되는 경제효과가 매우 다양해 고용창출에도 크게 기여하는 점은 다양한 연구를 통해 확인된 바 있다. 게다가 IT 산업군의 특성상 타 산업군에 비해 평균 3~4세가량 젊은 인력이 근무를 하고 있고 이 점은 청년고용에도 IT산업군이 크게 기여하고 있는 것으로 평가되고 있다.
따라서 IT업계가 시장 침체에 직면하게 되면 이러한 고용 및 그에서 파생되는 다양한 경제효과가 약화되는 것은 자명한 논리이다. 가트너의 연구보고서에 따르면 2015년까지 빅데이터 관련 신규 고용이 440만 명에 달한다고 한다.
또한 세계 IT산업의 부화장인 실리콘 밸리의 경우 산-학 연계뿐 아니라 다양하고 풍부한 VC(Venture Capital)의 진입 및 지원으로 인해 새로운 형태의 IT 서비스가 계속 창출되고 있으며 이러한 서비스는 미국 온라인 경제를 타 국가의 것에 비해 우위에 놓이도록 하는 데 크게 기여하고 있다. 이로 인해 전 세계의 인재가 실리콘 밸리로 몰려드는 현상에서 우리 정부도 배울 것이 있을 것이다.

차기 정부, 일관성 있는 보안정책 이어나가길
이명박 정부로부터 나온 여러 보안정책들은 기업은 물론 일반인에 이르기까지 국민 전체에게 보안의 중요성을 인식시키는 계기를 마련해줬다는 점에서는 이견이 없을 것이다.
앞으로는 이런 정책들을 보다 실정에 맞게 다듬어나가 정보보호 측면에서 흐릿했던 정책들이 제대로 동작할 수 있도록 해야 한다고 업계는 입을 모으고 있다.
새 정권이 들어서면 정책도 바뀌는 것이 보통이지만, 보안 관련해서는 최대한 일관된 정책으로 나가야 실질적으로 도움이 된다는 것이다.
특히 보안 인원이나 예산 등 기존의 구체적으로 명시했던 규제들이 차기 정부가 들어선 후 크게 변경되면, 기업체에서도 보안조직을 다시 축소 또는 통폐합시키거나 혹은 보안예산을 다른 용도로 전용해 보안 경쟁력 저하로 이어질 수 있다고 업계는 경고하고 있다.
더불어 규제로 인해 국내 IT사업이 국제적 글로벌 표준과 동떨어지지 않도록 정부의 각별한 관심과 조치가 필요하다고 업계는 요구하고 있다. 국내 한 포털의 정보보호 담당자는 “게임산업 등 국민감정상 규제가 필요하다고 생각되는 IT 분야에 대해 ‘실증적 연구’가 선행돼 반드시 필요한 규제만 적용될 수 있도록 한다”며 “연구결과가 사회적으로 다양한 이해관계자에 의해 그 요체가 인정되기 전까지는 추가적인 규제가 시행되지 않아야 함은 물론 기존의 규제에 대해서는 유예가 필요하다”고 건의했다.
또한 차기 정부는 국가정책적 ‘철학’을 가지고 중, 장기적으로 보안을 비롯한 IT 산업 육성과 규제의 균형을 맞춰야 할 책임이 있다. 사건이 발생할 때마다 법률을 개정하고, 규제를 강화하는 방식으로는 누더기 같은 패치워크(patch work)만 될 뿐이며, 근원적인 산업경쟁력 확보에는 도움을 주지 못할 것이다.
큰 틀에서 산업육성을 이끌어나가되, 규제는 글로벌 표준에 발 맞춰 나가는 차기 정부의 노력이 요구된다.