민간기업 CISO·ISMS 의무화하며 정부부처의 유사 의무는 폐지·권한축소
행정부, 정보보호 전담부서 조직·정보보호 전문인력 고용 늘려야
[데이터넷] 정부는 일정 규모 이상 민간 기업에 정보보호최고책임자(CISO)를 의무적으로 두게 하고 있으며, 정보보호관리체계(ISMS) 인증을 반드시 받도록 하고 있는데, 정작 정부에는 이러한 의무조항이 없다.
정부의 정보보호관리체계(G-ISMS) 인증 제도마저 폐지하거나, 민간 CISO에 해당하는 정보보호책임관이 있는 중앙 부처가 극히 드물다. 중앙부처가 정보보호 조직·전문인력 확보에 등한시하고 있는데, 지방자치단체와 중앙부처의 산하기관 등은 살펴볼 필요도 없이 정보보호 대책이나 조직이 매우 미흡한 상황이다.
필자는 매년 국가·공공기관 등을 대상으로 실시하는 국가정보원의 정보보안 관리 실태 평가 자문 위원으로 참여하고 있는데, 중앙 부처나 공공 기관 등의 정보보안은 평가를 잘 받기 위한 형식적인 대응에 불과하다.
임시적인 보안 조직이거나 정보보안을 전공으로 하지 않은 비 전공 분야의 공무원들이 일시적으로 지나가는 지원 조직으로 인식되고 있다. 보안 조직을 갖췄다고 평가받는 곳도, 정보보호 직류 전문직 공무원이 있는 부처는 거의 없을 정도로 사이버 보안 전문성을 갖추고 있지 않다.
2~3년 정도의 공무원 순환 업무 제도로는 사이버 보안 업무의 지속적인 전문성 확보가 어려우며, 사이버 보안 예산이나 인력 지원에 대한 기관장들의 관심 또한 부족하여 제대로 된 사이버 보안 정책을 추진하는 데는 많은 애로점이 있을 것으로 추정된다.
첨단화·고도화 되고 있는 최근의 랜섬웨어 공격 등 각종 사이버 공격들을 대응하는, 이러한 형식적이고 임시적인 비 보안 인력들로 이루어진 중앙 부처나 공공 기관에서의 보안 조직이나 인력만으로는 제대로 된 사이버 공격에 대한 대응 정책 실행은 물론이고 민간 기업이나 공공 기관 등에 대한 국가 차원의 사이버 보안 정책 수립이나 지원 등을 제대로 추진하는 데는 많은 한계가 있을 수 밖에 없다.
국가 안보 위해 정부부처 정보보호 역량 제고해야
급변하는 사이버 보안 환경에서 국가 사이버 보안 위협에 대한 대응력 제고는 물론이고 개인정보보호 역량 향상 등을 위한 공직 내 정보보호 전문성을 갖춘 전문 인력을 확보하는 것은, 국가 사이버 보안 수준 제고는 물론이고 국가 보안을 위해서 정말 필요한 일이다.
이러한 취지에 맞춰 이미 정부에서는, 2014년 6월에 전산직 직렬 가운데 정보보호 직류를 신설하는 공무원 임용령을 개정했으며, 2015년에는 국세청 1명, 산업통상자원부 1명, 미래부(우정사업본부) 1명, 행정자치부 1명 등, 정보보호 직류 최초의 전문 인력 채용을 이미 시작한 바 있었다.
그러나 정보보호 직류를 신설하면서까지 공직 내 정보보호 전문성을 갖춘 전문 인력을 확보하고자 했던 이러한 정책들은 지금은 보안 전문가들조차 알지 못하는 정책이 되었으며, 정부 부처 현장에서조차 제대로 활용하지 못하고 지속적으로 발전시키지 못하여, 정부나 공공 기관에 대한 정보보호 담당자들의 전문성은 급격히 떨어지고 있다고 판단된다.
정부의 사이버 보안 대응 능력 강화를 위해서는, 정부 부처의 정보보호책임관을 지정하고, 정보보호 전문성을 갖춘 정보보호 직류 공무원이 각 부처 사이버 보안 정책 담당자가 되어야 한다. 그리고 이들을 중심으로 사이버 보안 조직이 구성되어야 한다.
사이버 보안 전문인력·조직 강화 해야
정보보호 직류 전문직 제도가 제대로 정착되고 발전될 수 있도록 정책을 마련하는 것이 시급하다. 정보보호 직류 공무원 임용으로 채용된 정보보호 전문 공무원이 공무원으로서 비전을 가지고 최선을 다할 수 있도록 5급 이상의 승진 체계도 함께 연계해서 마련되어야 한다.
행정부의 정보보호 전문 공무원 채용이 지속적으로 이뤄지고 부처별 사이버 보안 조직이 최소 규모 이상으로 갖춰저야 민간이나 기업 그리고 사법부, 입법부, 공공 기관 등의 정보보호 관련 조직이나 전문 인력 확보에 대한 정책을 추진할 수 있다. 또한 국가 사이버 보안의 전문적인 대응 역량 강화도 이뤄 질 것으로 생각된다.
행정부처의 모든 부처가 먼저 정보보호 전담 부서를 만들고, 정보보호 직류의 전문 인력이 사이버 보안 정책을 담당할 수 있도록 해야 한다. 그래야만 전문화되고 고도화되는 각종 사이버 공격을 미력하나마 예방할 수 있을 것이며 적절한 각종 첨단 대응도 가능할 것이며 사이버 보안 정책 수립이나 집행도 적절하게 가능할 것으로 생각된다. 지금이야말로 정부가 사이버 보안에 대한 정부의 전문 인력이나 조직 정비에 나서야 할 때다.
