기획예산처가 밝힌 올해 중앙부처의 정보화 예산 3조4560억원 중 보안 관련 예산은 1010억원으로 2.9% 정도를 차지한다. 중앙부처의 이런 예산은 5∼8%에 이르는 경제선진국의 정부 보안투자 예산에 비교할 때 턱없이 낮다는 점도 문제지만, 무엇보다 대부분의 부처가 정확한 정보보호 예산 규모를 정확히 파악하지 못하고 있다는 점이 더 심각하다. 본지가 작년 12월 1일부터 20일까지 중앙 부처 및 시도 정보화 담당자를 대상으로 전자정부 예산 및 정보보호 실태를 설문조사한 결과, 정보보호 예산을 별도로 책정한 부처는 11개뿐이며, 보안 예산이 없다고 응답한 1개 부처를 제외한 나머지 27개는 개별 사업에 묶여 있어 정확한 자료가 없는 것으로 나타났다.
지난해 11월 21일 주요 부처의 정보화 관련 예산을 발표한 행사가 개최됐다. 당시 기획예산처는 올 정보화예산 편성의 특징을 설명하면서 정보보호 예산을 10% 이상 증액, 1010억원을 보안 관련 분야에 투자하겠다고 공표했다. 우리 정부부처의 보안 예산이 사상 처음으로 1000억원을 돌파한 것. 그러나 이번 조사에서 드러난 부처의 실상은 기획예산처의 보고와 사뭇 다르게 나타났다.
한 중앙부처 관계자는 “보안 예산을 사업 내에 포함시켰지만, 유지보수 비용 등으로 책정돼 사실상 보안에 사용될지는 명확하게 구분하기 힘들다”고 말했다. 중앙부처의 경우 보안예산은 정보화 예산의 3∼5%로 이조차 장담하기 힘들다는 얘기다. 이승철 기획예산처 과장(산업재정과)도 “보안 항목을 개별적으로 집계한 것이 아니며, 부처가 올린 정보관련 예산을 그 나름대로 분류해서 구분한 것”이라고 설명했다. 정부 발표치가 실제 보안 투자예산과 다를 수 있을 뿐 아니라 정확한 통계가 없음을 인정한 셈이다.
이번 설문에 응답한 39개 중앙부처 중 별도 예산을 계산한 11개 기관의 정보보호 예산 비중은 0.7%에서 5% 미만으로 평균 2% 수준이었다. 이 가운데 투자규모가 1억원이 되지 않는 곳도 3곳이나 있었다.
개별 사업 내에 예산을 모호하게 포함시킨 27개 기관은 대체로 2∼10% 수준이 정보보호 등에 사용될 것으로 추정했다. 그러나 유지보수, 용역 등의 항목에 숨겨져 있어 실제로 이것이 정보보호 등에 사용될지는 미지수다. 한 중앙부처 정보화 담당자는 “그동안 물리적 장치 등의 구매 시에는 명확하게 예산을 계산할 수 있었지만 이제는 관리를 위해 비용을 나누어 써야 하는 셈이라 어디까지가 보안인지 정확하게 뽑기가 어렵다”고 해명했다.
향후 투자되는 부분이 통합 관제 등 실제로 눈에 드러나는 사업이 아니어서 이에 대한 적절성 등을 설득해 예산을 확보하는 것도 어려운 상황이라고 실무자들은 전했다.
올해 집중적으로 투자할 보안 분야가 어디냐는 질문에도 절반 이상이 ‘특별한 계획이 없다’고 밝혔고, 있다고 답한 곳 대부분은 운영 유지 보수라고 말하는 등 소극적인 모습을 보였다.
보안담당관 유무에 대해서도 전임자를 두고 있는 부처는 군 및 보안 관련 정부 조직과 행정자치부, 국세청 등 5∼6개에 불과했으며 대부분이 전담팀 없이 외주 용역 업체를 통해 관리하고 있다고 말했다.
다만, 예산 규모가 큰 부처는 보안 분야에도 상대적으로 비중을 두는 것으로 나타났다. 과학기술부·정보통신부·행정자치부·국세청 및 국방 관련 부처는 보안 전담팀을 운영하고 있으며 교육인적자원부도 유사 팀 신설을 준비하고 있다. 또 외교통상부는 해외 공관의 보안 강화 등으로 예산을 30% 수준까지 끌어올릴 계획이라고 밝혔다.
◆지자체 현황
정보화 예산은 물론이고 지자체장의 인식이 낮은 시·도 상황은 더욱 심각하다.
서울특별시를 비롯해 16개 시도광역시 정보화담당관을 대상으로 실시한 전화 및 e메일 설문조사에 따르면 응답한 12개 시도의 내년도 보안 관련 예산은 정보화담당관 직속의 IT예산 기준 1∼2% 수준에 그쳤다.
정보화 예산이 50억원 미만인 일부 시도는 지난해 관련 장비 업그레이드 등의 투자를 이유로 올 예산은 순수유지보수 비용이나 백신 업그레이드 등에 3000만∼1억원 정도의 비용만 책정한 상태다.
정보화 예산이 200억원 전후로 그나마 정보화살림살이가 된다는 서울시와 경기도 등도 보안 예산은 2∼3%에 해당되는 10억원 안팎에 그친다. 서울시는 올해 시 차원의 ‘침입대응센터’를 만들었지만, 보안 예산은 수년간 7억∼8억원에 묶여있다. 경기도는 지난해 대비 올해 정보화 예산이 다소 증가했으나, 보안 예산은 오히려 절반가량 줄었다.
보안에서 가장 중요한 ‘사람’의 문제는 중앙부처보다 더 심각하다. 전담자(정보보안담당관, CSO)가 있는지 묻자 모든 시도가 정보화담당관(CIO)이 겸직을 하는 체제라고 답했다. 그나마 실제 업무를 책임지는 실무자급에서 독립된 보안팀을 조직으로 운영하고 있는 시도는 한두 개일 뿐, 대부분 한 명이 일반적으로 총무과 소속에서 행하는 물리적인 보안관제를 제외한 시스템·네트워크 등 사이버상의 보안 전체를 전담하고 있다. 이들이 다른 업무를 복수로 맡고 있는 것 역시 일반적인 상황이다.
예산을 이유로 보안사업을 포기한 사례도 다수다. A도는 지난해 예산상의 이유로 백신 정품 구입을 포기했으며, B도는 올해 추진하려던 자료유출방지시스템이나 바이로봇 도입 사업을 예산이 삭감되면서 접었다. 지난해 4억원 가까운 예산을 집행, 통합보안관제시스템 등을 구축한 D도 역시 타도 대비 지난해 보안 투자를 강화했다는 이유로 올해 관련 예산이 3000만원으로 떨어졌다. 이 기관 담당자는 “간신히 유지보수 비용만 따낸 상황”이라며 “서버보안이나 웹서버 개인정보차단시스템 등 기본적인 조치를 취하지 못하고 있어 답답한 노릇”이라고 토로했다.
◆행자부 보안팀·서울시 서트팀 가동…맘은 급한 데 갈 길 먼 상황
“내년도 전자정부의 최고 화두는 보안이다.” 김남석 행정자치부 전자정부본부장의 일성이다. 그만큼 전자정부본부 내에서도 보안 위기의식을 감지하고 있다는 솔직한 표현이다.
현재 추진되고 있는 정부통합전산센터만 해도 전문가들은 센터의 보안 수준에 심각한 우려를 제기한다. 그러나 일부에서는 역설적이게도 센터 설립으로 인해 부처 보안이 오히려 강화되는 측면이 있다는 점을 상기시킨다. 그만큼 부처 단위의, 전자정부 차원의 보안 정책이 사실상 전무했다는 지적이다.
지난해 가을, 행자부 전자문서 위변조 사건이 발생했다. 행자부 전자정부본부는 사건 이후 본부 산하에 보안팀을 처음 만들었다. 내부 인력만 10명, 외부에서 3명의 전문위원을 영입했다. 그러나 보안팀은 여전히 과도한 업무에 허덕이면서 역부족인 상황이다. 10명이 수행하는 일은 보안 정책기획부터 시작해 300여명의 공무원 대상의 공인인증발급 업무, 관제센터 운영, 가상사설망(VPN) 관리, 16개 시도 보안감사 등 굵직한 업무만 10가지 이상 책임지고 있다. 내부 관계자는 “없던 것에 비하면 일보전진이지만 당장 처리해야할 일은 물론이고 중장기 보안 전략 수립을 생각하면 어디부터 해야 할지 모를 상황”이라고 토로한다.
서울시는 지자체 중에서는 보기 드물게 자체 ‘사이버침해사고대응팀(일명 서트)’을 가동하고 있어 중앙부처에서조차 부러움을 사고 있다. 지난 2004년 7월 발생한 홈페이지 해킹 사건 이후 근 2년간 임시 조직을 운영하다 지난해 7월, 7명의 인력을 배정받아 비로소 정조직을 꾸리게 됐다.
지자체는 물론이고 개별 중앙부처에도 없는 서트팀을 운영하는 서울시의 자부심은 높다. 그러나 이들 역시 “스페셜리스트가 없다”는 말로 현재의 어려움을 고백한다. 사고 이후 꾸준한 대비책을 마련해 지난 3년간 40억원 가까운 예산을 들여 기초적인 보안시스템을 구축했지만, 본인들 자신도 침해사고에 전문적으로 대응할 수 있는 분석조직이라고 하기에는 역량이 부족하다는 의미다. 김완집 서트팀장은 “서트팀은 사고 발생 후 신속한 대처를 위한 프로세스와 관제 정도 수준”이라며 “특히 서울시 산하 구청 단위까지 고려하면 아직도 갈 길이 멀다”고 말한다.
지난해 시 차원에서 개인PC단의 유해차단 기능을 강화한 서울시는 올해부터 25개 구청 단위까지 일을 확대하고, 본격적으로 중장기 보안전략을 수립할 계획이다. 연간 보안 예산도 10억원 이상 안정적으로 집행할 수 있도록 내부에서 공감대 형성에 적극 나설 계획이다.
탐사기획팀=신혜선·이병희·김규태·한정훈기자@전자신문, shinhs·sake·star·existen@
관련 통계자료 다운로드 12개 시도 2006~2007년 보안 예산