정부·학계·산업계·연구기관의 입체적 노력 필요

지난달 9일 코엑스 인터콘티넨탈 호텔에서 열린 ISEC 2009 공공정책 트랙에서는 ‘사이버사회 안전을 위한 정책 방향’이라는 주제로 각 분야 전문가들이 참석한 토론회가 개최됐다. 이날 토론회에서는‘기술적 조치 강화’와 ‘정보보호 인식’, ‘정부보호와 조직성과’, ‘정보보호 제도적 역할’, ‘개인정보보호 제도적 역할’  및 ‘사이버위험 관리 방안’에 대해 다양하고 구체적인 논의들이 대두됐다.

ISEC 2009 공공정책 토론회가 ‘사이버사회 안전을 위한 정책방향’이라는 주제로 지난달 9일 코엑스 인터콘티넨탈 호텔에서 열렸다. 이날 토론회에서는 임종인 고려대학교 정보경영공학 전문대학원 원장을 좌장으로 그의 모두발언 후 정부, 학계, 산업계, 연구기관의 전문가들로 구성된 패널들이 각각 의견을 제시하는 순으로 진행됐다.

특히 이번 토론회에서는 안전한 사이버 사회를 만들어가기 위한 공공기관 정책에 대한 각 분야 전문가의 의견을 수렴한다는 취지로 양희동 이화여자대학교 교수, 권헌영 광운대학교 교수, 이용균 이글루시큐리티 연구소장, 이경호 시큐어베이스 사장, 이창범 한국인터넷진흥원 팀장과 현문학 매일경제 차장이 패널로 참석해 토론을 벌였다.

임종인 원장은 모두 발언을 통해 “현재 우리나라는 IT 관련 서비스와 인프라가 빠르게 발전해 가고 있는 반면, 안전한 사이버 사회를 위한 제반 법 규정이 미흡하고 정보 보호라는 측면에서 국민들의 인식이 낮다”며 “IT 기술이 발전하면 발전할수록 해킹에 대한 노출과 위험이 더 커질 수 밖에 없기 때문에 이에 따른 종합적인 대책을 강구해야 한다”고 말했다.

그는 이어 “오바마 정부가 ‘사이버보안 코디네이터’라는 특별 부문이 이끄는 새로운 전담 부서를 만드는 것과 관련, 우리나라도 정부 차원의 적극적인 대책 마련이 시급하다”고 덧붙였다.

“전문 인력 양성과 함께 정부와 민간 간의 정보 공유 체계 필수적”

이경호 시큐어베이스 사장은 그의 발제 주제인 ‘기술적 조치 강화’에 대해 ‘전문 인력 양성, 정부와 민간 간의 정보공유 체계 마련, 시스템 서비스 체계구축’이라는 세가지 방안을 내놓았다.

첫째, 전문 인력 양성 건은 현재 우리나라는 정보 보호 전문가라 할 수 있는 인력이 매우 부족하고 또한 인력을 양성할 수 있는 환경이 열악하다는 것. 이번 7·7 DDoS 대란때도 인력 부족의 문제가 대두됐던 만큼, 특히 정부기관은 전문인력을 보유하고 있어야 한다는 것이 그가 주장하는 바다.

둘째, 정부와 민간 간의 정보 공유는 필수적이라는 것. 그는 정보가 정부에서 민간에게 전달되는 것이 현실적으로 힘들다는 것을 지적하며 이 문제가 단순히 전문가 선에서만이 이뤄질 것이 아니라 의사결정을 할 수 있는 선까지 연결돼야 한다고 했다.

셋째, 시스템 서비스 체계 구축이 우선돼야 한다는 것. 솔루션을 도입한 후 단순히 유지 보수에서 끝날 것이 아니라 계속적으로 보안을 업데이트 해야 하며 그 체계를 활성화 시켜야 한다고 밝혔다.

“새로운 가치 창출 통해 사회적 인식 제고 노력”

‘정보보호 인식’이란 주제로 의견을 발표한 현문학 매일경제 차장은 현 문제점에 대해 시사점을 주고 대응책을 마련하는 데 방향을 제시하는 언론의 역할을 강조하며 향후 보안에 대한 국민들의 사회적 인식제고를 위해 많은 노력을 하겠다고 말했다. 그는 또 이에 전제돼야 할 것은 보안에 대한 ‘새로운 가치 창출’이라고 덧붙였다. 언론의 ‘교육적’ 기능을 충분히 활용하기 위해선 독자들의 시선을 끌 수 있는 유익하고 재미있는 정보가 많이 제공돼야 한다며 이를 위해 전문가들의 도움이 필요하다고 강조했다.

“시스템의 기준 확립과 평가 지표의 확대 시급”

양희동 이화여자대학교 교수는 ‘정부보호와 조직성과’에 대한 그의 의견을 피력했다. 그는 공공 부문의 정보 시스템은 크게 기존 구축된 전자 정부, 정부 투자 기관 (공기업 및 준정부기관), 조달청 발주 공공 정보시스템의 세 부분으로 나눌 수 있는데 전자 정부는 UN의 전자 정부 순위 평가에서 국민 참여도보다 보안이 포함되는 준비도의 순위가 뒤처지며 중앙 정부, 지방 정부의 경우 보안의 평가 항목이 너무 편협해 있다고 지적했다.

그는 또 정부 투자의 경우 경영 성과 평가 지표에 정보 시스템 항목이 아예 삭제돼(다른 항목에 편입) 보안에 대한 고려 자체가 현저히 미흡할 수 밖에 없는 평가 시스템을 갖추고 있어 하루빨리 개선돼야 할 것이라 덧붙였다. 이에 그는 시스템의 기준 확립과 평가 지표의 확대가 시급하다고 힘줘 말했다.

“구체화된 법률차원의 근거 이뤄져야”

‘정보보호 제도적 역할’의 발제를 맡은 권헌영 광운대학교 교수는 정보보호 또는 정보보안에 관한 법적 근거는 국회를 통과한 법률차원의 내용은 추상적인 것이 일반적이라 이를 구체화하는 노력이 필요하다고 밝혔다. 또한 제도적 근거와 더불어 정보보호정책의 추진체계도 보다 상세히 명문화할 필요성이 있다고 덧붙였다.

이와 관련, 그는 개별 부처로서 행정안전부, 국가정보원, 방통위, 국방부 및 기타 개별 산업관리부처(지경부, 금융위, 복지부 등)의 역할범위 구체화, 개별 분야별 보호정책과 국가 전체의 통합조정이 필요한 정책 추진 근거의 구체화를 세부적인 방안으로 내놓았다.

그는 현재까지 성공적으로 추진해 온 정보화법체계의 모델과 더불어 현 정부에서 강조하고 있는 정보보호 분야에서의 정책기본법으로서의 ‘정보보호정책기본법’의 제정을 고려해 볼 수 있을 것이라고 강조했다. 즉 정책기본법에서는 현행 규제일변도의 정보보호정책을, 종합적 정책으로 추진할 수 있는 방향으로 전환하고 규제원칙과 요건 등을 구체화 할 수 있을 것이라고 설명했다.

“개인정보보호법 제정돼 제도적 기반 강화해야”

‘개인정보보호 제도적 역할’의 주제로 이창범 한국인터넷진흥원 팀장은 개인정보보호법이 빠른 시일 내 제정돼야 한다고 주장했다.

IT 강국이라고 하는 한국이 정작 필요한 개인정보보호법이 없다는 점에 통감한다며 산업 발전을 위해서라도 법이 빨리 제정돼야 한다고 밝혔다.

특히 개인정보는 활용과 보호가 적절히 이뤄져야 함에도 불구하고 현존해 있는 법이 없다 보니 혼란만 가중되고 불필요한 낭비를 초래하고 있다는 점을 들며 이러한 불균형을 맞출 수 있는 법 제정이 반드시 이뤄져야 함을 역설했다.

“국가의 정보보호 수준 목표 정량화할 것”

‘사이버위험 관리 방안’에 대해 이용균 이글루시큐리티 연구소장은 국가(각 기관)의 정보보호 수준 목표를 정량화하고 이에 미진한 분야와 항목에 대해서 대책 및 예방적 차원의 접근방법이 필요하다고 밝혔다.

또한 기반시설 지정에 따른 취약점 점검 의무화에 따라 컨설팅 전문 업체가 지정되는 등 우리 사회에 필요한 규제(컴플라이언스)가 적절히 만들어지면 관련 산업이 커질 수 있는 시장이 창출될 수 있으므로 산업계를 대표해서 이러한 신규 시장 창출에 힘써달라고 촉구했다.

아울러 그는 보안관제 인력이 국가 기관에서 아웃소싱 형태로 근무하게 되는 경우 양질의 인력과 보안성을 강화하기 위해 일정 요건을 충족하는 보안관제 전문업체를 지정토록 하고 이러한 업체를 통한 관제 아웃소싱 절차의 도입이 필요하다고 주장했다.

<글 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제110호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>