“사전 방어시스템보다 사후 대응시스템이 더 문제다.”
지난 2009년 7·7 분산서비스거부(DDoS) 공격 사태 이후 쏟아진 비판이다. 연일 대규모 DDoS 공격이 감행됐지만, 행정안전부·방송통신위원회 등 정부부처는 손발이 맞지 않아 허둥댔다. 안철수연구소 등 민간기업 전문가들의 활약을 지켜만 볼 뿐이었다. 정부 관계자들이 무능하다는 지적이 쏟아졌다.
정보보호 컨트롤타워 필요성은 그때부터 제기됐다. MB정부 들어 정보통신(ICT) 업무가 여러 부처로 분산되면서 나타난 폐해가 보안 분야에서도 그대로 나타났기 때문이다. 현재 정보보호 거버넌스는 IT 전담부처가 컨트롤타워 역할을 해야 한다는 것이 대세다. 하지만 국가안보와 연계한 국가정보원의 `입김`이 적지 않아 이 문제가 해결되지 않으면 IT 전담부처가 정보보호 정책 총괄기능을 가져가도 무의미하다는 지적이 많다.
◇잘 못 끼운 첫 단추 `옥상옥` 거버넌스 불러=정보보호는 현재 공공기관은 행안부, 민간은 방통위가 맡아서 정책을 수립 집행한다. 여기에 보안산업 분야는 광의의 소프트웨어산업으로 분류돼 지식경제부가 관장한다.
7·7 DDoS 공격 사태가 터지자 정부부처가 빠르게 대응하지 못한 것도 업무영역과 기능이 분리돼 있다 보니 책임과 권한이 분명하지 못했기 때문이다. 부처 간 눈치를 보거나 책임을 미루는 사태도 빚어졌다.
7·7 DDoS 공격으로 보안 업무를 부처별로 분리하는 것이 이치에 맞지 않다는 지적도 제기됐다. DDoS 공격이 정부 홈페이지나 시스템을 노려도 방어는 민간기업인 통신사 네트워크에서 1차적으로 이뤄져야 하기 때문이다. 정보보호 대응시스템을 공공과 민간으로 분리한다는 것 자체가 어불성설이라는 것이다.
그런데 7·7 DDoS 사태 이후 해법은 다소 엉뚱한 방향으로 전개됐다. 정보보호 컨트롤타워 부재 논란이 일자 국가정보원이 보안 컨트롤타워를 자처하고 나선 것이다. 당시 DDoS 공격 배후가 북한의 소행이라는 추측성 보도가 잇따르면서 국정원의 역할은 더욱 확대됐다.
특히 공공기관 정보보호 정책을 수립하는 행안부는 국정원 눈치만 보는 상황이 연출됐다.
국정원 중심의 정보보호 거버넌스는 지나친 안보논리가 앞선 결과였다. 전문가들은 국정원은 국가나 산업기밀 보호와 첩보 활동과 같은 음지 활동을 펼칠 수밖에 없는 조직의 한계가 있다고 입을 모은다.
현재 정보보호는 공공뿐만 아니라 통신사·인터넷 등 민간기업과 협력해 정책을 수립하고 집행해야 한다. 전문기업과 전문가 육성 등의 산업 진흥 업무도 중요하게 대두되는 상황이다. 외부 활동을 드러낼 수 없는 국정원 직원이 이런 업무를 총괄하고 수행하는 것은 애초부터 무리라는 것이다.
정부부처 한 관계자는 “민간기업과 협력, 산업 진흥 등 업무는 양지의 업무인데다 새로 법을 제정하는 등 법적 근거를 갖고 수행해야 한다”며 “국정원은 법률을 제정할 권한이 없는 기관이어서 이런 업무를 원천적으로 할 수 없다”고 말했다.
국정원의 이 같은 한계 때문에 행안부나 방통위를 한 단계 건너 정책을 수행하는 기형적인 `옥상옥 거버넌스` 구조가 나타나고 있다.
◇명확한 영역 구분이 관건=정보보호 업무는 공공과 민간 분야가 구분되기도 하고 연결되기도 한다. 전자정부로 대변되는 공공 부문은 현재의 행안부가 맡는 것은 이견의 여지가 없다. 다만 DDoS 공격 사태가 터졌을 때처럼 정보보호 대응이나 예방 정책은 민관 구분 없이 총괄 관리돼야 한다.
이 때문에 그간 행안부, 방통위 등은 실무과장급협의회에서 정책을 조율하는 등 협력을 펼쳐왔지만 긴밀한 정책 공조에는 한계가 많았다는 지적이다.
행안부 관계자는 “정보보호 정책은 공공과 민간 구분 없이 하나의 부처에서 담당해야 연계 및 효과 창출이 수월하다”고 말했다.
결국 정보보호 정책을 총괄하는 기능을 IT 전담부처가 맡고, 분야별로 특화된 정보보호 정책은 각 부처가 수행하는 것이 효과적이라는 결론이다. 행안부는 전자정부 정보보호, 국정원은 사이버 첩보 및 안보 활동, 국방부는 사이버국방 등을 나눠 맡는 식이다.
전문가들은 이를 위해서는 명확한 업무영역 구분이 필요하다는 지적이다. 전문성을 살리되 총괄 기능도 한 부처가 일관되게 관리하면서 전문성과 효율성을 높일 수 있다는 것이다.
최근 급부상한 개인정보보호 분야는 개인정보보호위원회가 정책을 총괄하는 것이 바람직하다는 게 대체적인 시각이다.
그러나 이 모든 거버넌스 논의가 국정원이 기득권을 놓지 않으면 한걸음도 나아갈 수 없다고 정부부처 관계자와 전문가들은 입을 모은다.
한 정보보호 전문가는 “정보기관이 국가 정보보호 정책의 컨트롤타워 역할을 수행하면 정보보호산업 진흥 정책이나 통신사 등 민간기업과 연계한 정책 수립에 뚜렷한 한계를 가질 수밖에 없다”며 “국정원은 정보기관 고유의 업무인 정보수집이나 국가 및 산업기밀 유출 방지 활동 등 전문적인 분야를 더욱 강화할 필요가 있다”고 지적했다.