“뭣이 중헌디?”
국내 공기업·준정부기관 경영실적 평가 기준을 확인하곤 이 말이 절로 나왔다.
'2024년도 공공기관 경영평가편람'을 살펴보면, 사이버 보안에 해당하는 항목은 경영관리 범주에서 '안전 및 책임경영'의 '안전 및 재난관리' 평가지표에 들어있다.
공기업과 준정부기관을 대상으로 개인정보 보호와 사이버 안전 확보를 위한 노력과 성과를 평가한다고 돼 있다. 여기엔 국가정보원이 실시하는 공공기관 정보보안 관리실태평가와 개인정보보호위원회가 주관하는 개인정보 보호 관리수준진단 결과가 반영된다.
기가 막힌 것은 배점이 '0.5점'이라는 점이다. 국정원과 개인정보위가 공기업(공공기관)의 사이버 보안 실태를 평가한 결과가 한해 경영실적 평가에서 차지하는 비중이 작아도 너무 작다. 공기업과 공공기관의 다양한 사회적 역할을 감안해 업무 중요도에 대한 경중을 따지기 어렵다고 해도, 100점 만점에 0.5점은 사이버 보안 중요성을 외치는 목소리가 머쓱해질 정도다. 특히 최근 들어 더 활개치는 북한 등 국가배후 해킹조직과 잇따른 사이버 보안 사고를 보면 더욱 그렇다.
국정원에 따르면 지난해 공공기관을 대상으로 한 국제 해킹조직의 사이버 공격은 하루 평균 162만여건에 달한다. 일례로 북한 해킹조직 '라자루스'가 법원 전산망을 2년 넘게 제집 드나들 듯 침투해 개인정보 등이 포함된 자료를 1000기가바이트 이상 빼낸 사실이 드러나기도 했다. 개인정보위가 2020년 8월 출범 이후 공공기관 개인정보 유출 처분 건수도 494만2841건에 이른다.
경영평가 세부 평가 지표가 공기업에 끼치는 영향이 매우 크다. 경영평가에서 사이버 보안 0.5점이 공기업과 정보보호 담당자에게 어떤 의미로 다가올까. 사이버 위협이 보안을 넘어 안보 문제로 떠오르는 이 때에 정부의 확실한 시그널이 필요하다.
조재학 기자 2jh@etnews.com