반복되는 공공 보안사고… 업계·전문가 "국가 CISO 필요"

작년 해커 공격시도 36% 증가
민관 개인정보보호책임자 경력
2년 이상 97% vs 2년 미만 65%
"충분한 예산·인력 뒷받침돼야"

법원 전산망에서 2년여 동안 국민 개인정보가 포함된 약 1테라바이트 분량의 자료가 북한 해커조직에게 빼돌려졌다는 조사 결과가 나오면서 공공부문 보안수준에 대한 지적이 이어진다. 이런 일이 되풀이되지 않으려면 각 부처와 기관, 나아가 국가 차원의 CISO(최고정보보호책임자)가 필요하다는 의견도 힘을 얻는다.

국가정보원의 지난 1월 발표에 따르면, 지난해 국제 해커조직의 국내 공공기관 대상 공격 시도는 전년보다 36% 급증했다. 하루 평균 162만여 건의 사이버공격이 공공부문 대상으로 이뤄지고 있으며, 이 가운데 북한이 공격의 80%를 차지한 것으로 파악됐다.

지난 2월에는 미상의 해커조직이 국가·공공기관 정부서비스 이용자 계정 1만3000여개를 다크웹·텔레그램 등을 통해 불법 유통하는 정황이 포착된 바 있다. 또 최근에는 행정안전부 온라인 민원 서비스 '정부24'에서 개발상 실수로 민원서류 1233건이 오발급돼 개인정보 유출로 이어지기도 했다.

개인정보보호위원회가 지난 3월 공개한 '2023년 개인정보보호 및 활용조사' 결과에 따르면 대부분의 공공기관(95.5%)은 인적사항과 함께 고유식별정보를 수집한다. 수집하는 개인정보 유형도 민간기업보다 다양한 것으로 나타났다. 하지만 동 조사의 전년도 결과에서 민간기업 개인정보보호책임자 대부분(97%)은 경력이 2년이 넘는 반면, 공공기관의 경우 65%가 2년 미만인 것으로 드러난 바 있다.

정보보호업계에서는 기업의 CISO와 같이 정부부처와 공공기관에서도 보안 관련 업무를 총괄하는 책임자가 필요하다는 목소리가 지속적으로 제기돼왔다. 현재의 관련업무 담당자 수준을 넘어 전문성을 갖추고 그 권한과 책무를 확대해야 한다는 것이다. 나아가 사이버안보 컨트롤타워를 맡을 '국가 CISO'가 있어야 한다는 의견도 점차 많아지고 있다.

김승주 고려대 정보보호대학원 교수는 "민간에는 다 CISO가 있는데 정부·기관에는 두지 않을 이유가 없다. 갈수록 커져가는 사이버안보의 중요성을 인식한다면 그에 상응하는 권한과 책임이 부여돼야한다"며 "책무를 규정하고 이를 이행토록 하는 게 중요하다. 이게 반영되지 않으면 사이버안보 기본법이 추진·제정돼도 지금과 그리 다르지 않을 것"이라고 지적했다.

사이버보안 분야를 선도하는 미국의 경우, 조 바이든 행정부 출범 이후 백악관에 '국가사이버국장실(The Office of the National Cyber Director)'을 신설해 범정부 차원의 사이버안보 역량 강화 노력을 총괄하게 했다. 뿐만 아니라 각 부처·기관에서 CISO와 같은 정보보호 최고책임자를 두고 보안위협 대비와 이를 위한 투자를 이끌도록 하고 있다.

염흥열 순천향대 정보보호학과 교수는 "정보보호 대책을 수립·시행하려면 충분한 예산과 인력이 뒷받침돼야하며, 이에 대해 통합적인 시각에서 총괄·조정을 맡는 컨트롤타워로서 국가 CISO가 필요하다"며 "각 부처·기관의 정보보호 책임자 또한 해당 업무를 담당하는 수준을 넘어 전문성을 바탕으로 적극적으로 보안태세를 갖춰나가는 게 가능한 환경이 마련될 필요가 있다"고 설명했다.

팽동현기자 dhp@dt.co.kr