국정감사로 본 국내 정보보안 현주소…'보안 불감증' 여전

입력 2016.10.11 14:25

정보보안은 매년 국정감사 시즌에 빠지지 않고 언급되는 주제 중 하나다. 매년 굵직한 사이버 테러 사건이 이어지고, 대규모 개인정보 유출 사고가 터지면서 정보보안의 중요성을 강조하는 목소리가 높아지고 있다.

올해 국정감사에서도 정부기관이나 민간기업 할 것 없이 여전히 정보보안 체계가 부실하다는 지적이 끊이지 않았다. 보안 업계는 매년 국정감사를 계기로 정부와 기업의 보안 의식이 개선될 것을 기대하지만, 실제 투자로 이어지지는 못하는 현실이다. 단순 처방식 대응을 넘어 보다 근본적인 대책 마련이 시급하다는 지적도 제기된다.


정보보안의 중요성은 날로 높아지고 있지만, 여전히 소 잃고 외양간 고치는 식의 대응법에 머물러 있는 기업들이 많다. / RSA 제공
2008년 옥션, 2011년 네이트, 2014년 KT와 카드 3사에 이어 올해 7월에는 인터파크가 해킹으로 1000만명 이상의 회원 개인정보가 유출됐다. 수천만명의 회원을 보유한 정보통신서비스사업자의 연이은 개인정보 유출 사고는 우리 사회에 만연한 보안 불감증을 잘 보여준다.

행정자치부의 '2015 개인정보보호 실태조사'를 보면 모든 공공기관은 개인정보보호 담당 부서를 두고 있는 반면, 조사 대상 민간사업체 중 절반 이상은 해당 업무를 맡은 부서조차 없는 것으로 나타났다. 심지어 사업체 중 개인정보보호 예산을 배정한 곳은 10곳 중 1곳에 불과했다. 공공기관의 2015년 평균 개인정보보호 예산은 11억6800만원이었고, 사업체는 평균 2억3500만원의 예산을 배정하는데 그쳤다.

정보통신서비스사업자가 미래창조과학부에 정보보호최고책임자(CISO)를 신고하도록 하는 제도도 부실하게 운영되고 있는 것으로 나타났다. CISO는 기업에서 정보보안을 위한 기술적 대책과 법률 대응까지 총괄하는 최고 책임자다. 금융위원회의 경우 카드사 해킹 사고 이후 전자금융거래법을 강화해 금융사들이 관련 자격을 갖춘 CISO 지정 의무를 부여하고, 일정 규모 이상의 금융사는 임원급 전임 CISO를 두도록 하고 있다.

반면, 정보통신망법에는 CISO 지정 대상이 되는 정보통신서비스사업자에 대해서만 명시하고 있고, CISO의 자격 요건 등에 대해서는 규정을 두지 않고 있다. 실제로 미래부가 정보통신서비스사업자로부터 받고 있는 CISO 신고서에는 성명, 전화번호, 휴대전화번호, 전자우편 주소만 기재하도록 돼 있다. 해당 CISO의 전문성을 파악할 수 있는 항목은 전혀 찾아볼 수 없다.

국내 데이터센터 136곳 중 정보보호관리체계(ISMS) 인증을 받은 곳은 30곳에 불과하다는 지적도 나왔다. 인증을 받지 않은 106곳의 데이터센터에는 국방부, 대법원, 서울시, 서울시교육청 등 중앙행정부처와 지방자치단체, 금융권, 병원, 학교 등이 속해 있다. 데이터센터가 정보통신망법상 정보통신서비스 제공을 위해 집적된 정보통신시설을 운영·관리하는 사업자로 분류되지 않기 때문이다. 하지만 데이터센터에는 다수의 민감한 개인정보가 보관돼 있는 만큼 보다 현실적인 관리감독이 필요하다는 지적이다.

보안 업계 한 관계자는 "그동안의 대규모 개인정보 유출 사고의 사례를 보더라도 국내 기업들은 정보보안을 투자비용보다는 규제만 준수하는 선에서 최대한 줄여야 할 매몰비용으로 보는 관점이 많았다"며 "대형 보안 사고가 터졌을 때나 국정감사 시즌에만 보안 의식 전환을 외칠게 아니라, 기업들이 보다 현실적인 정보보안 투자를 집행할 수 있도록 하는 제도적 장치를 마련해야 한다"고 말했다.