민간의 최고정보보호책임자(CISO) 제도가 내실화 단계에 접어들었다. 하지만 공공부문은 여전히 공회전 중이다. 미국에서 발생한 송유관 마비 사태처럼 공공부문이 해킹 피해를 입을 시 그 파급력이 크다. 공공부문 역시 해킹 발생시 치명적인 위협을 노출하는 만큼 CISO 의무 도입이 필요하다. 전형적인 탁상공론에 따라 민간만 CISO를 강요했다는 지적이 나온다.
수년간 정부에서 관련 법안 발의 움직임이 없으니 2021년에는 국회에서 불씨를 당긴다. 2월 국회 행정안전위원회 소속 이해식 의원(더불어민주당)이 발의한 전자정부법 일부개정법률안에는 행정기관 및 공공기관에도 CISO에 대한 법적 근거를 둬야한다는 내용을 담고 있다.
5월 열린 행안위 전체회의에서도 해당 법안이 올라갔지만, 아직 법안 소위원회에 상정되진 못했다. 법안을 검토한 수석전문위원은 초·중등교육법 제2조에 따라 학교에서 정보보호책임관을 지정해야 하는데, 정보보호의 이익에 비해 학교의 행정부담이 클 수 있다는 점을 감안해야 한다고 지적했다.
수석전문위원은 학교의 경우 학생의 개인정보를 다루는 정보처리시스템 등을 시․도교육청, 교육지원청에서 일괄적으로 운영·관리하므로 학교의 장은 정보보호책임관의 지정 주체에서 제외할 것을 제안했다.
5월 법안검토 후 아직 해당 법안은 계류 중이다. 법안을 발의한 이해식 의원실은 "다른 주요 법안보다 상대적으로 관심이 떨어지고, 중간에 야당 전당회의 등이 있다 보니 논의가 빨리 진행되지는 못했다"며 "상정할 수 있도록 노력은 하겠지만 여야가 합의를 해야 하기 때문에 확답은 어렵다"고 말했다.
국내 보안업계는 민간보다 공공 CISO 의무화가 보안시장 활성화에 더 도움될 것으로 기대한다. 아직은 민간기업에서는 외산 보안 솔루션을 더 선호하는 경향 남아있기 때문이다.
실제로 법안이 통과하면 CISO를 의무적으로 둬야할 기관은 1만곳이 넘는다. 현행 정보통신기반보호법에 따라 주요정보통신기반시설을 관리하는 중앙행정기관 21개, 관리기관 142개에 정보보호책임관을 두고 있다. 개정안이 입법화하면 추가로 1만3700여개 행정기관등(소속기관 제외)에 정보보호책임관을 지정·운영할 것으로 예상한다.
최근 민간 CISO 제도를 손질하며 과징금 규정까지 만든 정부가 정작 공공부문에서는 동일한 제도를 의무화하지 않는다는 지적도 이어진다.
보안업계 한 관계자는 "국민연금 등 국민의 중요한 개인정보를 가진 기관이 많고, 한국도 미국처럼 해킹사태가 일어나지 않는다는 보장이 없기 때문에, 한수원이나 한전같은 주요 기관의 정보보호가 매우 중요하다"고 말했다.
이어 "CISO가 있어야 기관을 움직일 권한이 있는 사람에게 정보보호의 중요성과 필요성을 말해줄 수 있다"며 "많은 개인정보를 다루는 공공에서부터 CISO를 의무화하는 것이 필요하다"고 강조했다.
류은주 기자 riswell@chosunbiz.com