◆김영환 국회의원(khy21@khy21.com)
올들어 정부의 정보보호 실태와 관련해 주목할 만한 두 가지 중요한 발표가 있었다.
지난 1월 17일 국가정보원이 발표한 정부·공공기관의 해킹사고 신고접수건에 대한 내용과 1월 30일 행정자치부·국무조정실·국가정보원·정보통신부 등 4개 정부기관이 처음 조사, 발표한 48개 중앙행정기관에 대한 정보보호 추진실태가 그 것이다.
두 내용은 정보보호의 현황과 대책마련이라는 점에서 밀접한 연관을 갖고 있다. 발표내용에 따르면 중앙행정기관은 정보보호 관련 전문인력의 부족으로 정보보호시스템의 운영·관리가 매우 미흡하고 정보화 담당부서 이외에는 무관심해 해킹, 바이러스 유포 등 사이버테러에 대해 제대로 대처를 못하고 있다고 한다. 국정원의 「정보보안119」에 접수된 사고현황에 따르면 98년에 8건, 99년 18건에 이어 2000년에는 102건으로 전년 대비 무려 6배나 증가하였다.
한국정보보호센터에 접수된 지난 3년간 민간영역의 해킹사고는 98년 158건, 99년 572건, 2000년 9월 1475건으로 나타나는 등 연 200∼300%의 증가율을 고려할 때 공공기관이 사이버테러의 주요 대상 중 하나며 방어능력 또한 민간영역에 비해 높지 않다는 사실에 놀라지 않을 수 없다.
이는 중앙행정기관에 대한 정보보호 추진실태 결과에서도 그대로 나타난다. 이번 조사는 공공기관의 해킹, 바이러스 유포 등 전자적 침해행위에 대한 정부의 준비와 대응능력을 공식적으로 확인한 결과라는 점에서 우려와 함께 시급한 대책마련이 요청된다. 조사에 따르면 각 기관은 침입차단시스템과 바이러스 백신프로그램 등 기본적인 보안대책을 수립·시행하고 있다. 그러나 고도화·다양화하는 사이버테러에 대한 대비가 절대 부족하며 정보화 담당부서 이외에는 무관심해 정보보호시스템 도입 등 정보보호 관련예산을 반영하거나 업무를 추진하는 데 소홀하다는 사실이 밝혀졌다. 심지어 정부고속망에 대한 보안책임의 경우 부처간에 책임이 명확하지 않아 서로 떠넘기기에 급급한 모습마저 보였다.
정보보호는 정부와 공공기관의 정보통신기반은 말할 나위 없이 국가안보·행정·국방·치안·금융·통신·운송·에너지 등의 모든 분야에 다양하게 구축돼야 한다. 정보통신기반은 인터넷이라는 개방형 네트워크로 전세계의 정보통신망과 연결, 운용됨에 따라 사이버테러라는 새로운 위협에 노출돼 있다. 이제 사이버테러는 단순한 해킹사고에 머무르지 않고 국민의 생명과 국가안위와 직결된 문제라는 인식의 전환이 절실하다.
이런 점에서 오는 7월에 시행 예정인 정보통신기반보호법은 정보사회의 안전하고 굳건한 토대를 마련하는 계기임을 주목한다. 우선 전기통신기본법과 정보화촉진기본법, 정보통신망 이용촉진 등에 관한 법률과 국가정보원법, 보안업무규정 등에 산재한 제규정을 단일법률로 집중 정리했다는 점에서 높이 평가된다. 또한 물리적 시설보호대책을 사이버 공격으로까지 확장하여 취약점을 분석하고 범국가적인 예방대책을 수립하는 차원으로 확장시키는 중요한 계기가 되었다. 뿐만 아니라 정보보호산업 발전의 획기적인 전기를 마련할 것으로 전망돼 주요 정보통신 기반시설에 대한 보호대책뿐만 아니라 관련 산업육성이라는 시너지효과도 함께 거둘 것으로 보인다.
물론 법·제도적 개선은 정보사회를 촉진하고 역기능을 억제하는 필요조건에 불과하지 충분조건은 아니다. 정부·공공기관의 정보보호 추진실태 조사와 민간 차원의 정보보호 관련업체 종사자를 대상으로 하는 설문조사에서도 공통적으로 밝혀진 사실은 해킹, 바이러스 침해 등에 따른 보안의 중요성에 대한 관심과 실제 보안업무 처리간의 괴리현상이 심각하다는 점이다. 대부분의 보안문제는 바로 시스템을 설계하고 통제하는 사람에 의해 발생하고 있다.
지난해 8월 「세계 톱 해커 인터넷 보안 2000」 행사에 참여한 해커들이 공통적으로 지적한 것은 『해킹 경로의 80%가 한국이 된 이유는 바로 보안의식이 결여됐기 때문』이며 『보안문제를 지적하면 무시하는 경향이 있다』고 하였다. 그냥 지나칠 이야기가 아니다. 정보보호를 위한 결정적인 대책은 사람의 문제며 첫 출발은 「사후 처리」의 개념에 머무르는 「무비유환(無備有患)」의 상황을 「점검과 대비」의 「유비무환(有備無患)」으로 인식을 전환하는 데 있다.
성수대교·삼풍백화점 등의 붕괴사고들은 안전불감증과 부실공사에 원인이 있는 것이지 기술력의 한계에서 온 것이 아니었다. 정보보호시스템도 예외가 아니다. 이제 몸집 불리기에만 열중하지 말고 긴장감을 갖고 전산시스템 보안과 정보유출 방지를 위해 많은 노력과 투자를 해야 할 것이다. 정보사회를 올바르게 세우는 길이 여기에 있지 않을까 싶다.