관련 통계자료 다운로드 2009-2010년 WEF 정보보호평가
행정안전부가 지난해 말 장관 훈령으로 고시한 전자정부 정보보호관리체계(G-ISMS) 인증지침이 글로벌 기준치에 못 미치는 것으로 나타났다.
전자정부의 보안체계를 평가하고 인증하는 잣대가 세계 최고 수준인 우리나라 전자정부를 평가하기에는 턱없이 짧다. 즉 UN 전자정부 평가에서 1위를 차지할 정도로 시스템은 잘 구축했으나 세계경제포럼(WEF) 정보보호평가에선 51위에 머문 우리나라 전자정부 실상을 그대로 반영한 셈이다. 이에 따라 행안부는 G-ISMS 지침을 개정해 상반기 고시할 계획이다.
18일 업계에 따르면 행안부가 G-ISMS 인증지침을 11개 통제 분야에 133개 통제사항으로 구성했지만 17개 통제 분야에 180여개 통제사항으로 지정한 미국에 비해 최소한 갖춰야 할 우리나라 전자 정부의 보안 요구 사항이 턱없이 부족하다는 지적이다.
특히 전자정부의 보안성 강화를 위해선 보다 세밀하게 지침을 만들고 이를 수행해야하지만 현재 G-ISMS 인증지침에는 암호화·개인정보 보호·포렌식·취약점 관리 등의 보안 점검 지침이 아예 없거나 또는 구체적이지 못한 것으로 지적됐다.
전문가들은 “정부가 G-ISMS 지침을 작성할 때 국제표준 정보보호관리체계인 ISO27001을 벤치마킹했는 데 번역 과정에서 무리하게 축약한 부분이 눈에 띄고 특히 오역을 하는 등 초보적인 실수를 저지른 점도 발견됐다”고 꼬집었다. 이 지침대로 인증을 할 경우 제대로 된 점검을 할 수 없다는 것이다.
한근희 행안부 정보보호정책과 전문위원은 “지난해 고시한 인증지침을 토대로 대전과 광주 정부통합전산센터와 서울시청에 시험인증을 실시한 결과 미비한 점을 발견했다”면서 “수정·보완해 관악구청의 시험인증을 거친 후 상반기 내에는 개정 지침을 고시할 계획”이라고 말했다. 실제 행안부는 앞선 시험인증을 마친 후 G-ISMS 인증지침에 암호화와 개인정보보호 항목을 추가했다.
이에 따라 행안부는 올해 26억원의 예산을 투입해 1600개 전자정부 서비스 중 중요도가 높은 G4C 등 전자정부 대민서비스사이트 30곳의 G-ISMS 인증을 진행할 계획이다. 그러나 미국 수준의 정보보호관리체계를 마련하기 위해서는 시일이 걸릴 것으로 보인다. G-ISMS를 도입함으로써 전자정부 보안수준을 높이기 위한 걸음마를 뗀 셈이다.
한 전문의원은 “G-ISMS 도입을 위한 사전 조사를 실시한 결과 해당기관에서는 G-ISMS 인증을 받기 위해 필요한 자산분류 및 위험성 평가 등의 준비나 인력이 턱없이 부족했다”며 “올해는 해당기관에 대한 컨설팅에 집중해 정보보호관리체계가 수립 가능한 바탕을 만들겠다”고 말했다.
<용어설명>G-ISMS=전자정부 정보보호관리체계. 행정기관이 정보보호를 위해 필요한 관리적·기술적·물리적 기준에 적합한 정보보호관리체계를 갖추었는지 심사하여 인증기준에 따라 적절히 운영하면 인증서를 부여하고 지속적으로 사후관리를 수행하는 제도다.
이경원기자 won@etnews.co.kr