대형 보안사고가 잇달아 발생하면서 IT강국 코리아의 명성에 먹칠을 하고 있다. 지난 2월 1081만건의 개인정보가 유출된 옥션 해킹 사건이 일어났을 때만 해도 더 이상 이 같은 대형 사건이 없을 줄 알았다. 하지만 옥션 해킹의 충격이 가시기도 전에 청와대 홈페이지 정보가 유출되는 일이 발생했고, 또 수백만건의 통신사 고객 정보가 불법으로 남용됐다. 심지어 해킹에 절대적으로 안전해야 할 금융권까지 크고 작은 보안사고로 낭패를 봤다.
급기야 최근에는 1100만명이나 되는 한 정유사 고객정보가 밖으로 유출되는 사상 최대의 보안사고까지 일어났다. 외부로 공개되지 않은 것까지 합치면 크고 작은 보안사고가 얼마나 많을지 짐작이 안 된다. 내로라하는 IT강국인 우리가 보안사고로 홍역을 치르는 것은 무엇보다 보안 인식이 부족하고 투자가 제대로 이루어지지 않기 때문이다. 이미 오래 전부터 외국 해커들이 국내 네트워크를 놀이터 삼는다고 했음에도 여전히 이 같은 상황이 개선되지 않고 있다.
지난해 국가정보원이 92개 공공기관과 1200개 기업을 대상으로 조사해 발표한 ‘2007 국가정보화 백서’를 봐도 우리가 보안에 얼마나 무심한지 잘 알 수 있다. 이 조사에 따르면 공공기관 중 정보보호 전담부서가 없는 기관이 무려 76%나 됐다. 또 정보보호 전담부서를 갖춘 공공기관이라고 해도 전문인력이 거의 없는 경우가 대부분이었다. 기업의 정보보호 투자 역시 지극히 낮았다. 정보보호 전담 조직이 있는 기업이 겨우 10% 선에 불과했고 1200개 기업 중 42%가 정보보호 지출이 전혀 없었다. 정보화 투자에서 정보보호가 차지하는 비중이 1% 미만인 기업도 32%나 됐으며 최고 보안책임자(CSO)가 있는 기업은 5.3%에 그쳤다.
민·관이 이렇게 주먹구구식으로 정보보호 업무를 수행하고 있으니 대형 보안사고가 끊이지 않는 것도 무리가 아니다. 정보화의 암적 존재 같은 보안사고를 줄이기 위해서는 하루빨리 제대로 된 투자를 해야 한다. 예산 증액은 물론이고 특히 보안 전문가 양성에 힘써야 한다. 상황이 이런데 그동안 보안 전문가 양성에 공헌해온 정보보호 부문 대학IT연구센터(ITRC)가 내년에 5개에서 1개로 줄어든다니 심히 우려스럽다. 기업·기관이나 로펌 또는 경찰 같은 수사기관의 보안 책임자를 길러내는 데 기여한 정보보호 부문 ITRC가 4곳이나 없어지면 매년 150여명의 고급 정보보호 인력 배출이 불가능해 진다. 가뜩이나 보안 전문 인력이 부족한 판에 큰 일이 아닐 수 없다.
최근 국내보안기업들이 보안전문가 양성을 위해 정부에 신청한 사업이 다른 분야에 밀려 탈락한 것도 정부가 정보보호 전문가 양성에 얼마나 무관심한지 보여주는 좋은 사례다. 보안 없는 정보화와 IT는 사상누각이다. 보안 전문가 양성에 정부는 보다 적극적으로 나서야 한다.