“공공기관 보안인력 유출…보상 적고 책임 많은 기형구조가 문제”

오병훈 기자 2026. 5. 28. 06:00
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
[NSIS 2026] 서울시 ‘정보보안 전문관’ 제도 도입…승진 과정에 가점

[디지털데일리 오병훈기자] “공공기관의 신기술 도입으로 보안 담당자가 처리해야 할 업무량은 폭발적으로 증가하고 있지만 이를 감당할 필수 인력과 전문성은 턱없이 부족한 실정입니다.”

김완집 전국 정보보호정책협의회장은 27일 <디지털데일리>가 주최한 ‘NSIS(Next Generation Security Intelligence Summit) 2026’에서 ‘공공기관 제로트러스트 도입 정책 및 사례’를 주제로 발표하며 이같이 강조했다.

김 회장은 최근 공공기관 내 정보보안 전문 인력의 유출과 업무 기피 현상이 심각한 보안 공백으로 이어지고 있다고 지적했다. 그는 현장 보안 실무자들의 열악한 처우와 공직 사회의 구조적 모순이 이러한 인력 부족 문제로 이어지고 있다고 봤다.

특히 공공부문 보안 체계의 가장 치명적인 약점으로 ‘전문 인력 부재와 잦은 이동’을 꼽았다. 공직 사회 고유의 순환 보직 제도가 보안 역량 축적을 가로막고 있다는 설명이다.

그는 “공무원 조직의 특성상 2년에서 길어야 5년 주기로 잦은 인사 이동이 발생한다”며 “아무리 유능한 보안 인재를 발굴하고 담당자가 의지를 갖고 훌륭한 보안 계획과 솔루션 도입을 기획하더라도 인사 원칙에 따라 타 부서로 발령이 나면 모든 프로젝트가 담당자 교체와 함께 원점으로 돌아가는 상황이 끊임없이 반복되고 있다”고 전했다.

또 성과가 드러나지 않는 보안 업무 특성상 보상 체계마저 부실해 인력 유출이 가속화되고 있다는 분석도 덧붙였다.

김 회장은 “보안 업무는 24시간 긴장해야 하는 반면 사고가 발생하면 모든 질타와 책임을 짊어져야 한다”며 “무사고를 유지한다고 알아주는 사람 하나 없는 ‘그림자 업무’에 불과하다”고 강조했다.

그는 부서 간 데이터 공유가 원활하지 않은 ‘사일로(Silo)’ 현상도 공공기관의 보안 사각지대를 만드는 원인이라고 짚었다. 공공기관 내부의 업무 프로세스는 시스템 운영 부서와 보안 부서 간의 책임 소재와 권한의 경계가 매우 불명확하게 설정돼 있다는 것이다.

김 회장은 “IT 시스템의 운영과 데이터 관리는 전적으로 현업 부서가 주도하면서도 정작 보안 사고 예방과 사후 수습의 짐은 오롯이 힘없는 보안 부서에만 떠넘겨지는 기형적인 구조”라며 “정보 보안의 기본이자 첫 단추는 철저한 ‘자산 식별’인데 부서 간의 입장 차이로 인해 정확한 자산 식별조차 제대로 이루어지지 않고 있는 것이 현실”이라고 비판했다.

김 회장은 그 해결책으로 서울시가 도입한 파격적인 인사 보상 제도와 ‘제로트러스트(Zero Trust)’ 보안 아키텍처 구축 사례를 소개했다.

서울시는 ‘정보보안 전문관’ 제도를 신설해 임용 후 3년에서 최대 5년간 타 부서 전보를 원천 제한하도록 했다. 업무의 연속성과 고도의 전문성을 보장하기 위함이다. 전문관에게는 승진 때 유리한 가산점을 부여하고 매월 전용 ‘보안 수당’이 지급된다.

김 회장은 “공공기관 구성원의 보안 대응에 대한 관심을 유도하기 위해 부서 성과 평가 항목에 ‘정보보안 활동 참여도’를 3% 배점으로 공식 반영했다”며 “아울러 4급 이상 고위 간부 목표 달성 평가에도 보안 성과를 직결시켜 상위 10%의 우수 부서장에게는 가점을, 하위 10%에게는 10점의 감점을 부여하는 제도를 통해 책임감과 동기를 이끌어내고 있다”고 말했다.

부서 간 사일로 현상과 고도화되는 외부 위협을 원천 봉쇄하기 위한 기술적 해법으로는 제로트러스트 모델이 제시됐다. 서울시는 전통적인 경계 기반 방어 한계를 탈피하기 위해 선제적으로 제로트러스트 환경 구축에 돌입했다는 설명이다. 보안 위협에 취약했던 기존의 낡은 가상사설망(VPN) 환경을 걷어내고 소프트웨어 정의 경계(SDP) 기반 혁신 원격근무 시스템으로 전환했다는 설명이다.

김 회장은 “과거의 단순한 아이디와 패스워드 중심의 로그인을 철저히 배제하고 접속을 시도하는 단말기의 고유 MAC 주소를 식별하는 단말 인가 절차는 물론, 2차 인증을 필수 관문으로 적용했다”며 “업무망에 접속한 이후에도 ‘마이크로 세그멘테이션’ 기술을 통해 사용자의 직급과 직무에 따라 접근 권한을 철저히 쪼개고 통제했다”고 강조했다.

마지막으로 그는 “최근 챗GPT 등 생성형 AI의 확산으로 유출된 개인정보를 악용한 2차 공격이 고도화되고 예측 불가능한 사이버 위협이 쏟아지고 있다”며 “단일 공공기관이 홀로 막아낼 수 없는 거대한 위협이다. 유관 기관과의 긴밀한 정보 공유와 공조 체계를 한층 더 공고히 해 전문성 있는 탄탄한 보안 조직을 바탕으로 사후 대책이 아닌 예방 중심의 공공 보안 패러다임 전환을 이뤄내겠다”고 전했다.

Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

디지털데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.