기관간 균형 잡힌 역할분담 필요하다

기관간 균형 잡힌 역할분담 필요하다
관련 통계자료 다운로드 미국 정보보안 관리 체계도

해커의 공격이나 사이버 보안 사고에 대한 대응체계를 갖추는 데 기관별 긴밀한 역할분담 및 정보공유, 공조의 중요성은 새삼 강조할 일이 아니다.

 국내 정보보호 관련 정책은 정부 및 공공기관은 국가사이버안전센터(NCSC)에서, 민간기업은 정통부 산하 기관인 한국정보보호진흥원(KISA) 등 양 기관에서 두 축을 맡고 있다. 이 밖에 업종별로는 금융결제원을 중심으로 한 금융ISAC이 구성돼 있어 은행권 차원의 보안정책을 수립, 공동 대처하고 있다. 기타 통신 및 과학기술 분야의 ISAC 형태의 공조체제도 형성돼 있다. 특히 지난해 말부터 중앙부처의 정보시스템을 한 곳으로 모은 ‘정부통합전산센터’가 출범했으니 이제 센터 역시 국가 사이버보안의 한 축을 맡게 됐다.

 ◇NCSC “위상이 달라졌네”=정부가 조직적인 정보보호 정책을 본격 가동한 것은 KISA가 시발점이라 할 수 있다. 그러나 2004년 NCSC가 등장한 후 NCSC는 공공, 민간 할 것 없이 ‘사이버 보안’의 주도권을 쥐고 간다는 평가를 받고 있다.

 NCSC는 2003년 1·25 대란 이후 국가차원의 사이버테러 대응체계 구축을 위해 대통령 훈령을 근거로 설립됐다. NCSC는 애초 국가 및 공공 기관의 보안 관련 업무가 주이지만, 설립 이후 사실상 민간 부문에도 직간접적으로 관련돼 있다. NCSC가 자체 업종별 보안연구모임을 개최하면서, 사실상 공공은 물론이고 금융·통신 등 각 분야의 보안 관계자들이 NCSC 중심으로 모이는 현상이 대표적인 사례다. 보안 관련 사안이라는 것이 민간과 공공의 구분이 애매하지만 이 정도면 가히 공공 민간을 구분하지 않은 ‘보안 사령탑’ 역할을 수행하고 있는 것으로 비친다.

 최근 들어 NCSC는 IT 인증관련 업무 등이 추가되면서 조직이 계속 확장되고 있다. NCSC 측은 이런 시각에 대해 “(외부에서 보기에는) 조직 및 인원이 비대해진 것으로 보이나 실제로는 그렇지 않다”며 “출범 이후 국가 사이버안전업무 정책 총괄, 조기경보 기능을 수행, 대국민 사이버안전의식 제고 등 활발할 활동 때문에 그렇게 비쳤을 수 있다”고 밝혔다. 지난해 6월 본부내의 IT인증사무국과 보안지도 업무가 NCSC 내로 이동했을 뿐 신설된 것이 아니라라 조직 확대나 인원 증편은 아니라는 설명이다.

 ◇10년 역사 KISA…위상 재정립할 때=NCSC의 성장과 비교한다면 KISA는 위기라 해도 과언이 아니다. 민간 부분의 ‘보안관’ 역할은 물론이고 국내 보안 제품에 대한 인증 사업도 독점적으로 추진해왔다. 국내에서 유일하게 국제적인 공인 서트 조직 모임에도 참여하고 있다. 그만큼 전문가와 노하우를 확보하고 있다는 의미다. 그러나 이제 경쟁 기관과 함께 NCSC로부터 인증을 받아야 하는 신세가 되는 등 사실상 NCSC의 하위 조직화에 대한 우려감마저 일고 있다. 또 각종 보안 업무와 관련해서도 KISA가 단지 민간 부분 집행기관이 되고 있을 뿐 민간 영역의 ‘관제탑’ 기능을 상실한 게 아니냐는 비판도 나온다.

 KISA 창립 맴버이면서 민간기업에 근무중인 보안 관련 전문가는 “KISA 자체가 공무원 조직화되는 느낌을 지울 수 없다”는 일침을 가한다. 역시 창립멤버로 다른 국가기관에서 활동하고 있는 또 다른 전문가는 “KISA 중심으로 민간기업의 보안 관련 전문가들이 자연스럽게 모여 정보보호와 관련된 여러 정보를 공유할 수 있는 중심 역할을 해야 하는데 오히려 그 역할을 NCSC가 하고 있다”고 우려감을 나타냈다.

 ◇통합센터-NCSC, 공조와 견제 수준 고민할 때=최근 들어 NCSC와 정부통합센터와의 균형 잡힌 관계설정이 주목받고 있다. 부처에서는 NCSC가 국가 전반의 사이버안전에 관련된 정책을 수립해야 하는 데 동의하면서도 국가정보원 산하기관이라는 특수성을 고려해 일정 정도의 긴장 관계가 형성돼야 한다는 점을 강조한다. 센터를 두고 정보의 집중화와 이에 따른 정보 유출 가능성을 염두에 둔 ‘빅 브러더’에 대한 우려다.

 그러나 NCSC측은 오히려 과도함보다는 부족한 상황이라고 말한다. NCSC 한 관계자는 현재 양 기관의 공조 수준에 대해 “실시간 공격탐지, 대응 등 공통된 업무를 수행하지만 무엇인가 서로 협조 되지 않는 상황”이라고 전했다. 이 관계자는 사견임을 전제로 “일반적인 수준의 공격은 통합센터에서 탐지, 대응하고 국가 차원에서 관리해야 할 사이버공격에 대한 탐지기술을 양 기관이 참여, 공동개발·검증·적용하는 통합적인 모니터링 체계를 구축하는 게 바람직하다”고 밝혔다. 특히 현재 센터의 보안측정 문제에도 “현재는 입주기관이 NCSC에 요청하지만, 향후에는 입주기관이 통합센터로, 통합센터가 NCSC에 요청하는 프로세스로 바꾸는 것이 센터 설립 목적에도 적합하다”는 견해를 피력했다.

◆전자정부는 앞섰지만 보안은 뒤졌다…미국·일본·대만 사례

 지난해 7월 5일, 정보통신부는 우리나라가 디지털기회지수(DOI) 평가에서 세계 180개국 중 1위를 차지했다고 발표했다. 2년 연속 1위를 차지한 것으로 한국이 명실상부한 정보통신 강국임이 입증됐다고 널리 알렸다. 지난 11월 말 세계통신연합(ITU)은 아프리카 튀니지에서 열린 ‘제2단계 정보사회정상회의(WSIS)’에서 이를 공식 발표했다.

 겉으로 드러난 성적표만큼 내적인 체력도 과연 강할까? 적어도 정보보호 분야에서만큼은 일등이 아닌 것은 확실하다. 더디게 가더라도 안전하게 가자는 미국·일본 등 전통적인 선진국에 비해서는 차이가 난다는 지적이다.

 미국은 지난 2002년12월 연방정보보안관리법(FISMA)을 통과시켰다. 최고정보화담당관(CIO)과 감사관(IGs)은 매년 해당 기관의 보안 상황을 점검, 그 결과를 보고하도록 했다. 특히 정보통신보안은 대통령 현안관리 보드 중 전자정부 확대 보드에서 필수적으로 만족해야 하는 요소다. 국가보안기술연구소 측은 “보안 기준이 충분하지 않으면 다른 부분의 성취도가 높더라도 좋은 결과를 받을 수 없으며, 이 결과를 홈페이지 등에 공개한다”고 설명했다.

 또, 미국 연방예산관리국에서는 IT보안 예산 계획 및 투자 통제 절차에 포함시켰다. 각 기관의 시스템 설계 때부터 보안이 고려될 수 있도록 환경을 조성하자는 것이다. 특히 모든 IT 투자 요구 시 보안 비용을 철저하게 보고하도록 했다. 각 IT투자 계획 수립 시 적절한 보안 관련 항목과 비용을 문서화시켜, 관리를 하겠다는 취지다.

 일본도 지난 2002년부터 ‘정보보호대책추진회의’를 대통령이 본부장으로 있는 ‘고도정보통신네트워크 사회추진전략본부’ 내에 설치했다. 이후 2004년 일본은 ‘e재팬 전략II 가속화 계획’을 발표하고 안전하고 안심할 수 있는 네트워크 사회 구축을 정책과제로 도출했다. 이 계획에는 IT분야의 국제협력전략, 정보보호정책 강화, 콘텐츠 정책 추진, IT제도 개혁, 평가의 반영, 전자정부 및 전자자치단체 추진 등이 중점 분야를 선정했다.

 대만의 경우 현재 정부기관 전체가 정보보호 관련 국제인증(ISO 27001)을 추진하고 있어 세계적으로 주목받고 있다. 우리 정부에서는 서울시와 특허청이 최근 ISO 27001 국제인증을 받은 정도다. 그러나 두 기관 역시 수시로 교체되는 보안 인력 때문에 인증 획득의 효과가 현실에 적용될지에 대해서는 부정적이다.

 한 부처 보안 담당자는 “우리나라도 최근 보안 지표 등의 작업이 추진되고 있지만, 이것이 보다 실효를 발휘하기 위해서는 매년 이러한 평가 작업을 꾸준하게 진행하고 이를 사이버보안 강화 정책에 반영할 수 있는 제도도 있어야 한다”고 말했다.

 임종인 교수(고려대학교 정보경영공학전문대학원장)는 “지난 2001년 OECD가 발표한 정보보호 관련 주요 항목에서 정보화사업의 진척도를 평가할 때 정보보호 수준을 사후적으로 평가하는 것을 절대 금했으며, 최소 동시에 고려해 추진해야함을 권고하고 있다”고 밝혔다. 우리나라 역시 전자정부 관련 주요 프로젝트는 물론 부처 단일 정보화 사업에서 보안정책을 구체적으로 명시, 추진 초기부터 평가하는 체계를 만들어야한다는 지적이다.

 <탐사기획팀>