한국 사이버 보안에는 수많은 문제가 있다. 열악한 시장 투자 환경, 인재 부족, 사내 보안 조직 홀대, 시스템통합(SW) 발주 제값받기 등 매우 다양하다. 문제가 많은 만큼 해결책도 수십, 수백가지가 될 수 있다.
24년차 한국 보안 생태계에 몸담은 필자는 해결책을 단 한 가지로 압축해 봤다. '공공기관 정보보호 책임관 제도 도입'이다. 여기에는 공공기관과 정보보호 책임관이라는 두 가지 키워드가 있다.
먼저 책임관은 민간 기업에서 임원급을 의미한다. 필자는 국내 한 기업과 20년 동안 일하면서 보안 조직의 성장을 지켜봤다. 부장급 보안 책임자가 있을 때는 최소 한도의 투자만 진행됐다. 이 책임자는 보안을 약 2%밖에 생각하지 않았다. 보안 담당자도 보안 직군에 대한 자부심이 없었다. 함께 일하는 업체 또한 고통스러울 수밖에 없었다.
이 회사는 10년 정체기 동안 뼈아픈 보안 사고를 수차례 경험한 끝에 보안 전담 임원 자리를 마련했다. 보안 전담 임원이기 때문에 업무가 오직 보안이었고, 성과도 보안으로 평가됐다. 이후 10년 동안 투자와 조직이 확대되고, 직원 사기와 자부심이 높아졌다. 당연히 보안 수준도 높아졌다. 협력업체에도 숨통이 틔였다. 이처럼 조직 최상위 의사결정권자의 관심에 따라 전체 생태계가 영향을 받는다.
중앙정부 부처에도 정보보호 책임관이 몇 곳 있다. 산업통상자원부, 국토교통부를 대표로 들 수 있다. 2015년 산업부에 정보보호과가 생기고 정보보호책임관이 부임하니 한국전력공사, 한국수력원자력 등 산하 주요 에너지 공기업에 정보보호 처장이 임명됐다. 이후 5년 동안 해당 기관의 보안 수준은 꾸준히 높아졌다.
두 번째 키워드는 공공기관이다. 민간기관에서는 이미 임원급 정보보호최고책임자(CISO) 전담제가 시행되고 있다. 정보통신망법은 자산 5조원 이상 정보통신서비스 제공자에게 CISO를 임원으로 두도록 규정하고 있다. 금융기관은 2015년부터 자산 10조원 이상, 직원 1000명 이상인 경우 CISO를 임원으로 두고 있다. 기업의 부담감 호소에도 민간에서는 임원급 CISO 제도 운영 정책이 실시되고 있다.
공공기관은 대부분 정보보호책임관이 없다. 공공기관이 처리하는 개인정보 규모는 민간 기업보다 큰 곳이 매우 많다. 보건복지부 의료·복지 정보를 고려하면 국내에서 가장 큰 개인정보처리자가 복지부 산하 공공기관임을 짐작할 수 있다. 국세청 납세 기록을 정리하면 국민 사회생활 이력을 재현할 수 있고, 교육부 정보로는 국민 생애 12년 동안의 주요 활동 기록을 알 수 있다.
국민연금, 건강보험, 고용보험, 수도세, 전기세, 가스세, 재산세, 근로소득세 등 정기로 고지되는 비용 청구 기관이 보유한 국민 개인정보 규모는 대부분 민간 기업보다 훨씬 광범위하고 세세하다. 민간에 견주면 통신사와 은행이 처리하는 개인정보량과 같다.
공공 부문은 민감한 국민 정보를 대규모 처리하기 때문에 정보보호책임관은 민간이 아니라 공공 부문에서 시작됐어야 한다. 비용 부담이 큰 민간은 법으로 강제할 정도로 필요성이 충분히 인정됐지만 반면에 선제로 나서서 모범을 보여야 하는 공공에서 오히려 시행되지 못했다.
정보보호책임관의 필요성은 명확하다. 20대 국회는 정보보호책임관 임명을 포함한 전자정부법 개정안을 발의했지만 우선순위에서 밀려 통과시키지 못했다. 21대 국회에선 통과시키기를 기대한다.
김대환 소만사 대표 kdh@somansa.com