정부 정보보호정책관 폐지, 정보네트워크국 통폐합
산업계 "정보보호정책실로 격상할 판에 없앤다니 황당"
"브레이크와 엑셀레이터 합쳐놓은 꼴"
겸직 금지로 민간 보안 강화한 정부 스스로 거꾸로 행보
정보보호 조직 강화하는 글로벌 흐름과도 상충
정부 명칭 변경 시사로 한걸음 물러났으나 반발 지속
전문가 의견 사전 청취도 없어 산업계 홀대론까지 대두
"보안과 네트워크는 각각 브레이크와 액셀레이터 기능을 합니다. 이 두 기능을 하나로 합친다는 게 말이 되지 않습니다. 전문가들은 어떻게 이런 발상을 할 수 있느냐는 비판까지 할 정도입니다." (이민수 한국정보보호산업협회장)
"정보보호정책관을 폐지하겠다는 말은 정부가 해당 분야를 냉대하겠다는 말과 같습니다. 글로벌 흐름에 역행하는 정부의 이번 조치가 국가 차원의 정보보호와 사이버보안 역량을 떨어뜨리는 요인이 될 것입니다." (박춘식 아주대 사이버보안학과 교수)
정보보호 산업계와 학계가 한목소리로 정부를 비판하고 나섰다. 단단히 뿔이 난 모습이다. 4차 산업혁명 시대에 본격적으로 접어들면서 정보보호 분야의 중요성이 커지지만 정부가 이를 간과한다는 지적이다.
25일 오후에는 한국정보보호학회와 한국정보보호산업협회, 한국정보보호최고책임자협의회 등 정보보호 관련 단체 다수가 모여 정부 행보에 대응을 논하는 행사까지 연다. ‘정보보호와 디지털 미래사회의 국가경쟁력'이라는 주제로 국회의원회관에서 토론회를 할 예정이다.
도대체 무슨 일이길래 정보보안 관계자들이 입을 모아 정부를 비판하고 나선 것일까.
정보보호정책관 폐지, 정보네트워크정책관으로 탈바꿈?
발단은 과학기술정보통신부의 정보보호정책관 폐지다. 과기정통부는 11일 법제처에 직제 시행규칙 일부 개정안을 입법예고했다. 정보보호 업무를 담당하던 정보보호정책국을 신설 정보네트워크정책실 내 정보네트워크정책국과 통폐합한다는 내용이다. 정보보호만 담당하던 정보보호정책관이 사라지는 대신 네트워크정책과와 네트워크안전기획과가 합쳐진 정보네트워크정책관이 해당 기능을 흡수한다.
이는 과기정통부가 최기영 장관 취임 후 5세대(G)와 인공지능(AI), 빅데이터 등의 신산업을 육성하고자 네트워크정책실과 AI 정책국을 신설하며 대대적인 조직 개편에 나선 탓이다. 과기정통부는 이 조직 개편으로 1차관 산하 2개 실(기획조정실, 연구개발정책실)과 2차관 산하 2개 실로 총 4개 실을 갖추게 된다.
18일 열린 국회 과학기술정보방송통신위원회 국정감사에서도 이 조직 개편안이 뜨거운 감자로 떠올랐다. 여야를 막론하고 비판이 이어지자 최기영 장관은 한 발 뒤로 물러나 "아직 결정된 바가 없다. 지적하신 바를 충분히 고려해 다시 논의하겠다"는 답변을 내놓기도 했다.
논란을 인식한 과기정통부 관계자는 "(직제 개편이)아직 진행 중이다"며 "정보보호 관련 기능은 하나도 약화되지 않고 오히려 물리적 보안과 시너지 낼 수 있도록 했다"고 설명했다. 이어 "정보보호 부분을 ‘보호’자가 빠져 있다는 지적은 용어의 문제이기 때문에 (직제 시행규칙) 개정안에 없는 ‘보호’라는 용어를 다시 넣는 것으로 협의 중"이라고 밝혔다.
정보보호 업계는 정부의 이같은 수습에도 강경한 비판을 유지하는 모습이다. 각 분야의 특성을 간과한 채 탁상행정식 조직 개편으로 여러 부작용을 낳는다는 주장이다.
이민수 한국정보보호산업협회장은 "정보보호정책관을 폐지하고 정보네트워크정책관을 신설한다는 말은 정보보호와 네트워크를 한 곳에서 처리한다는 말인데 어폐가 있다"며 "결국 네트워크 중심으로 정책이 흘러가 보안에 소홀하게 될 것"이라고 지적했다.
이 회장은 이어 "네트워크란 본디 더 나은 성능과 기능에 초점을 두기 마련이다. 패스워드 걸라고 보안을 챙기는 게 불편할 수밖에 없다"며 "네트워크 시장이 보안 시장보다 훨씬 크다. 조직이 성과를 지향하다 보면 더 큰 성과를 낼 수 있는 곳에만 집중하게 되고 보안보다는 네트워크 중심으로 정책이 진행될 수밖에 없다"고 설명했다.
정부도 이를 알기에 올해 6월부터 민간에 기업 최고정보보호책임자(CISO)가 최고기술책임자(CTO) 등을 겸직하지 못하도록 막았다는 게 업계 주장이다. CTO는 혁신을 추구하다보니 보안 등의 안전 의무에 소홀할 수 있어 CISO의 역할과 상충할 수밖에 없다. 이 때문에 민간에 이를 금지한 정부가 정작 스스로는 반대 행보를 보이는 게 이상하다는 지적이다.
이번 과기정통부의 조치가 반쪽짜리 AI 산업 육성에 기인한다는 주장도 있다.
한 업계 관계자는 "어느 부처이든 자리가 한정됐다 보니 특정 조직을 키우면 다른 조직은 줄어들 수밖에 없다. 최기영 장관이 AI 전문가라고 하면서 AI에 초점을 두다 보니 정보보호 등의 보안에는 소홀했던 것 같다"며 "보안 경시하는 AI 산업은 절대 성공할 수 없다. 4차 산업혁명 기술 전반이 보안과 연관됐기 때문"이라고 강하게 비판했다.
학계는 정보보안을 중시하는 글로벌 흐름에 역행하는 정부의 여러 조치에 우려를 나타냈다.
박춘식 아주대 사이버보안학과 교수는 "미국과 이스라엘, 일본은 정보보호 관련 법을 제정하고 정부 부처를 신설하는 등 적극적으로 대응한다"며 "IT가 발달한 곳에서는 다들 열심히 하는데 우리는 정작 반대 행보를 보인다"고 꼬집었다.
실제로 미국은 2018년 11월 진화하는 사이버공격에 대비하고자 미국 국토안보부(DHS) 사이버안보・기간시설안보국(CISA)을 새로 신설했다. 이스라엘도 총리실 산하에 사이버보안을 총괄하는 국가사이버국을 뒀다. 경제부와 국방부 등 타 부처와 연계 업무를 보는 사이버보안 컨트롤타워다.
반면 2018년 7월 청와대는 사이버안보비서관 자리를 없앴다. 사이버안보와 정보융합을 합쳐 사이버정보비서관으로 통합한다는 이유다. 2015년 3월 신설 이후 3년여 만에 폐지됐다. 현 정부 들어 사이버안보 특별보좌관도 임명하지 않았다.
산적한 국가 보안 과제도 정보보호정책관 폐지에 의문을 표할 수밖에 없는 요인이 된다는 게 학계 지적이다. 올해 청와대는 국가사이버안보전략을 발표하면서 6대 전략을 내놨다. 상당 부분이 과기정통부에서 담당할 사안이다.
박 교수는 "정보보호정책관 정도가 아니라 정보보호정책실 차원으로 격상해 대응할 일을 많이 벌여놨는데 이번 조치로 문제가 생길 가능성이 높다"며 "정보보호 기반이 없는 4차 산업혁명은 국가 안보에 치명적인 약점이 된다. 해커의 산업화만 부추겨 국가에 재앙이 될 수밖에 없다"고 말했다.
정부의 정보보호 홀대가 민간으로 내려가다 보면 대학의 인재 양성이 어려워지고 업계도 기술 개발에 어려움을 겪을 수밖에 없다. 결국 국가의 정보보호・사이버보안 역량에 구멍이 생긴다는 게 학계의 주장이다.
과기정통부가 조직 개편 과정에서 보안 전문가의 의견을 구하지 않은 것도 문제로 지적됐다. 대학 관계자들은 "이번 조치를 보안 업계나 학계 전부 몰랐다"면서 "정보보호에서 큰 정책 변화가 생긴 것이니 관련 단체나 학계에 자문해 의견을 들었으면 좋았을 텐데 갑자기 일을 진행해 아쉽다"는 의견을 내놨다.