지난해 이맘때쯤 인가 모 정부산하기관 정보화 팀장과 대화를 하던 중이었다. 워낙 대규모 개인 정보를 취급하는 곳임에도 정보보호 체계가 갖춰져 있지 않았기에 행여 정보유출 사고가 나면 문제가 클 테니 필요한 구조도 빨리 만들고 기술적 시스템도 도입해야 하지 않겠냐고 물었다. 하기는 해야겠는데 그동안 그런 사고도 없었고 이사장님도 정부에서 내려오신 분이라 정보보호 투자는 잘 모르시고, 비용을 줄여야 산하기관 경영 평가도 잘 나오니, 등등 나름 이유가 많아 좀 황당했지만 대화를 다른 주제로 옮기는 수밖에 없었다. 다음날 그 기관은 해킹으로 정보유출 사태가 벌어졌다. 신문을 보니 씁쓸했다.
이전의 국제적 명성은 많이 소실됐지만 우리나라가 자랑하는 정보화와 디지털 통신의 일상화는 편리성과 속도를 증대해주는 등 유용성을 제고하는 반면 사고로 일시에 시스템이 무력화될 수 있다. 보안 사고로 개인 및 기타 자료가 유출되는 위험에 노출된다. 유용성을 계속 향상시키는 것도 중요하지만 리스크를 줄이는 일도 못지않게 중요하다. 또한 이런 리스크는 일상적으로 발생하는 소소한 것들도 있지만 일시에 터지는 게 일반적이다.
근래 개인정보보호법이 강화돼 기관마다 관련 시스템을 점검하고 새로 도입하느라 분주하다. 법으로 강제하는 수밖에 없을 정도로 정보보호 의식이 일천하다. 정보강국의 현실이다. 사법부도 예외가 아니다. 지난 수년간 주요 포털사이트와 전자상거래 사이트에서 개인정보 유출 사고가 발생했음에도 제대로 된 보상 판결이 난 적이 없다. 그랬다면 그 기업은 결정적으로 휘청이었을 것이고 다른 기업은 정보호호에 혼신의 힘을 다했을 것이다. 그러나 현실은 그렇지 못하다. 이런 사고에 대비해 보험이라도 제대로 든 곳이 기업이나 기관이 몇 곳이나 될지 궁금하다. 그동안 유출된 개인정보를 이용해 중국 등에서 가짜 여권 사업이 성행하고 보이스피싱과 사방에서 걸려오는 영업성 전화에 전 국민이 시달리고 있다.
다행히 개인정보보호 관련법이 개정되고 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 정보보호 관련법이 일부나마 개정되는 등 정보보호를 대하는 정부 판단이 변화를 보이고 있음은 고무적이다. 그러나 개정되는 법령을 좀 더 자세히 살펴보면 정보화 시대를 충분히 따라잡기에는 아쉬움이 많다.
보통 정보보호를 얘기할 때 관리적·기술적·물리적 측면을 포함한다. 내년에 발효할 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정내용 중 정보보호 관련 항목을 보면 관리적 요소가 여러 면에서 부족해 보인다. 정부기관이나 기업의 정보보호는 기술적 요소에 집중돼 있다. 운영과 관리에 능통하다는 미국 정부는 9.11 사태를 맞은 이후 분석과정에서 절실히 느낀 것이 있다. 테러를 막을 수 있는 군대와 기관과 막강한 무기는 넘쳐났지만 관리·운영 체계가 없어 사고를 막을 수 없었다는 것이었다. 당시에는 예측하지 못한 사건을 대응하는 의사결정 체계가 존재하지 않아 사고를 막을 수 없었다고 분석했다. 또 테러처럼 비일상적인 사건은 일상적으로 발생하는 예측 가능한 사고에 비해 피해가 훨씬 크다는 것도 깨달았다. 이후 미국 정부는 홈랜드 시큐리티를 국가 보안의 최고 우선순위로 꼽고 새로운 기관 설립 및 법령 재정비 등 거버넌스를 비롯한 관리 체계를 수년에 걸쳐 완성했다. 정보보호에 관한 사항도 동일한 맥락에서, 즉 홈랜드 시큐리티 확보 차원에서 구성됐다.
정보보호 관리 체계는 국내 법령이 가이드라인을 제시하지 못하는 여러 가지 항목들을 포함한다. 예를 들면 시스템 생명주기 과정 중 시행되는 관리계획 및 실행, 관련 인원 및 사용 인원에 대한 교육훈련, 보안 계획, 성과평가, 리스크 분석, 상황 발생 시 대비 절차 및 방법, 시스템 유지 과정 중의 각종 관리, 이런 과정을 가능하게 하면서 과도하지 않은 타당한 예산 산정 기준 및 절차, 그리고 이런 모든 것들을 실행할 거버넌스 체계와 조직구조 등이 그 일부가 될 것이다. 개정 내용 중에는 최고책임자 지정, 인증, 관리등급 부여 등 지극히 일부에 대해서만 정의하고 있어 사용자 및 피 사용자가 안심을 할 수준과는 거리가 있어 보인다.
둘째는 개정 내용 중 개인정보보호 관련 부분을 제외하면 대부분 의무사항이 아니라 선택사항이다. 여러 기관 및 기업의 정보기술(IT) 또는 정보보호 책임자들은 개정 사항들이 선택임을 파악하고 별반 관심이 없는 상태다. 미국을 비롯한 선진국은 필수요구 사항으로 규정하고 필수 사항을 늘리는 추세인 것을 감안하면 우리도 늦기 전에 전반적인 재정비를 고려해 볼 필요가 있지 않나 싶다.
우리는 정보통신 발전을 지켜보며 그 안에서 산다. 일반인의 정보보호 경시나 부족한 정부·기업의 관심으로 일어난 정보 침해 사고 때도 늘 그래왔던 것처럼 대충 넘어가는 사회의 전반적 느슨함은 큰 사고로 이어진다. 결국 우리 정보화 발전의 발목을 잡거나 몇몇 영화에 나오는 것처럼 특정인이나 기업이 정보를 독점적으로 소유하면서 사회 현상이 발생한다. 보이스피싱과는 비교도 안 되는 상황이 연출될 수 있다. 해킹 등 침입방지 프로그램이나 방화벽·안티바이러스 백신이 정보를 자동으로 보호해 주는 등 기술적인 부분은 일 단계 방어 수단이다. 정부는 종합적인 정보보호 및 시스템 보안 관리체계 확립 및 법률규정화를 수행함으로써 국민의 일상생활을 보호하고 국가 자산을 지켜야 할 것이다.
김병초 한국외국어대학교 경영정보학과 교수 bckim@hufs.ac.kr