[방은주의 보안산책] 국가 정보보호 체계 어떻게 개편?
“국가 정보보호 체계를 대(大)개편하겠습니다." 배경훈 과기정통부 장관이 어제(27일) 한 말입니다. 배 장관은 이날 한국인터넷진흥원(KISA) 인터넷침해대응센터(KISC)를 찾아 이 같이 밝혔습니다. 지난 4월 알려진 SK텔레콤 해킹 사건으로 지난 몇 달간 온 나라가 난리였는데요, 배 장관은 장관 임명장을 받은 지 사흘만에 KISC를 방문, 발빠르게 사이버 위협에 대한 우리나라의 대응체계를 점검했습니다. KISC는 KISA가 운영하는 해킹 등 침해사고 대응 모니터링 종합상황실입니다. 24시간 365일 운영하죠. 주말과 공휴일이 따로 없습니다. 이날 배 장관은 이런 직원들의 노고를 위로하며 격려하기도 했습니다. 아울러 배 장관은 보안과 관련해 여러 중요한 말도 했습니다. "최근 국내 해킹사고 사례에서 볼 수 있듯이 사이버보안 역량이 확보되지 않은 AI 시대는 우리에게 더 큰 위협으로 다가올 것"이라고 했고, "AI와 바이오 등 첨단 과학기술 간 융합, AI 고속도로 구축을 추진하는 과정에서 견고한 사이버보안이 뒷받침되지 않는다면 모래 위의 성처럼 금방 무너질 것"이라고 짚었습니다. 맞습니다. 신뢰할 수 없는 AI, 보안없는 AI는 무의미 하겠죠. SK텔레콤과 같은 사태가 더 이상 일어나면 안되기에, 배 장관의 이날 워딩과 특히 국가 정보보호 체계를 대개편하겠다는 말에 관심이 쏠립니다. 앞서 류제명 차관도 국가정보보호체계 개편을 언급한 적이 있는데요, 담당 공무원들이 열심히 방안을 만들고 있을 듯 합니다. 과기정통부가 준비하고 있는 방안은 무엇이며, 또 어떤 내용이 들어가야 할까요? 한국정보보호산업협회(KISIA) 조영철 회장의 말을 빌려 봅니다. 그는 얼마전(4일) 페이스북(페북)에 이런 글을 올렸습니다. "오늘 국정기획위원회 AI TF에서도 말씀 드렸지만 3대 AI강국, '모두의 AI'가 국민 혜택으로 돌아가기 위해서는 AI에 대한 안정성, 보호가 함께 준비돼야 합니다. AI에이전트가 활용되면 분명 안정성, 신원탈취, 중간자 공격, 피싱 공격 등 다양한 공격이 증가할 것은 자명하지 않나요? 2~3년 후에 AI를 국민들이 사용하게 되면 뻔히 발생할 문제입니다."고 밝혔습니다. 이어 그는 "(우리가) 해야할 일은 어렵지 않다"면서 아래와 같은 3개 사항을 요청했습니다. 첫째, AI 정부예산 10%를 보안에 투자할 것 둘째, AI 과제 수행시 보안 요구사항을 추가해 개발하도록 사전 요구사항에 넣을 것, 셋째, 민간에만 투자를 요구할 것이 아니라 정부 스스로 IT예산의 10%를 보안에 할당해 수요처가 돼 줄 것 등 입니다. "이렇게 하면 자연스럽게 산업과 인력이 활성화 된다"고 조 회장은 예상했습니다. 충분히 일리가 있습니다. 과연 과기정통부가 준비하고 있는 개편안에 이런 내용들이 들어갈까요? 조 회장은 다른 의미있는 것도 며칠전 페북에서 언급했습니다. IT지출 대비 보안예산인데요, 우리는 흔히 정보보호 예산을 말할때 'IT예산 대비 몇%'라고 말합니다. 조 회장은 'IT예산의 몇%'로 하지 말고 기업의 경우 매출액의 몇%로, 또 정부의 경우에는 전체 예산, 혹은 GDP의 몇%로 말하자고 제안했습니다. IT예산 몇%로 하면, IT예산이 적어지면 보안예산도 함께 감소하는 문제점이 있기 때문입니다. 이 지적 역시 일리가 있습니다. 정부가 준비하고 있는 정보보호 제도 개편안과 관련, 또 하나 짚고 넘어갈 게 있습니다. 정보보호 공시 강화와 최고정보보호책임자(CISO) 및 최고프라이버시책임자(CPO)의 독립성 강화입니다. 정보보호 공시를 먼저 보까요. 이 제도는 국민의 안전한 인터넷 이용 및 기업의 정보보호 투자 활성화를 위해 2019년 만들어진 제도입니다. 2022년에 의무화가 됐고요. 정보보호 투자, 전담인력, 관련 활동 등 기업의 정보보호 현황을 의무적으로 공개하도록 한 제도입니다. 이에, 해당 기업들은 매년 6월 30일까지 자사 정보보호 현황을 정보보호 공시 종합 포털에 제출해야 합니다. 올해 정보보호 공시의무 대상 기업은 작년과 비교해 16개사가 늘었습니다. 회선설비 보유 기간통신사업자(ISP)가 8개사로 가장 많이 증가했습니다. 특히, 올해부터는 정보보호 투자, 인력 등 의무적으로 기재하는 공시 항목 외에도 정보보호 조직 체계, 전략, 인프라 등을 상세히 기재할 수 있는 주석 양식을 새로 도입, 보다 심도 있는 정보 제공을 유도했습니다. 과기정통부에 따르면, 2024년 기준 전체 공시 기업의 정보보호 투자액은 2조 1196억원에 달했습니다. 전담인력은 7681명이구요. 두 분야 모두 전년보다 늘었습니다. 평균 투자액(29억원)과 평균 전담인력(10.5명)도 많아졌습니다. 그럼에도 업종별 평균 투자액은 높지 않은 상황입니다. 금융업(76억원)이 가장 많고 정보통신업(59억원), 도·소매업(27억원)이 뒤를 이었습니다. 업종별 평균 전담인력은 정보통신업(24.7명)이 가장 많습니다. 금융업(21.0명)과 도·소매업(9.1명)이 2위, 3위고요. 국내 기업 중 정보보호 투자액이 가장 많은 곳은 어디일까요? 삼성전자입니다. 2024년 기준 2974억(매출 대비 4.9%)입니다. 2위는 KT(1218억, 6.4%), 3위는 쿠팡(660억, 5.6%)입니다. 이어 공동 4위 삼성SDS(632억, 11.7%)와 LG유플러스(632억, 6.6%), 6위 SK하이닉스(627억, 7.4%), 7위 SK텔레콤(600억, 4.1%), 8위 우리은행(428억, 10.5%), 9위 KB국민은행(421억, 7.4%), 10위 네이버(417억, 3.7%)로 집계됐습니다. 이들 내로라하는 국내기업들의 보안 수준을 한단계 높이려면 당연히 투자 증가가 뒤따라야하겠죠. CISO와 CPO의 책임 및 독립성 강화도 시급하고 중요한 문제로, 서둘러 방안을 마련해야 합니다. 국내 대기업은 CISO와 CPO를 겸임하는 곳이 많은데요, CISO와 CPO가 최고경영자(CEO)에게 직접 보고함은 물론 형식적인 자리에서 벗어나 권한과 책임 있는 자리로 격상해야 합니다. 실제, 외국 일부는 CISO와 CPO를 CEO와 CFO, CIO 등 C레벨 밑에 두지 않고 독자 활동을 할 수 있게 하고 있습니다. 늘 지적되는 부분이지만, 국내 보안산업계에는 글로벌 기업이 없습니다. 정부가 준비하고 있는 정보보호 체계 개편안은 이런 열악한 국내 보안산업계 현실을 개선하는데도 도움이 될 듯 합니다. 2023년 기준 국내 정보보호 산업 전체 매출액은 약 16조 8310억입니다. 이중 정보보안 약 6조 1455억에 달했습니다. 수출액은 초라합니다. 2023년 전체 규모가 1조 6800억이고, 이중 정보보안은 1478억에 그쳤습니다.
