정부·공공기관, 늦었지만 모범 보여야…올해 국회 통과·내년 시행 기대
정부기관 내 정보보호책임관(CISO)을 전담으로 두자는 내용을 골자로 한 <전자정부법 일부개정법률안>을 더불어민주당 이해식 의원(등 11인)이 1월 29일 대표 발의했다.
사실 정부조직 내 CISO 전담제 법안은 지난 20대 국회에서 김병관 전 의원이 입법을 추진했지만 이루어지지 않았다. 이번 이해식 의원이 대표 발의한 법안도 김병관 의원안을 바탕으로 발의됐다.
금융기관은 2015년부터 자산 10조 이상 42곳에 CISO 임원급 전담제를 시행하고 있다. 또 민간 기업도 2019년부터 자산 5조 이상 140여 곳에서 CISO 임원급 전담제를 시행하고 있다. 그럼에도 불구하고 모범이 되어야 할 정부기관은 여전히 정보보호책임관 제도가 없는 상황이다.
◈ “정부 행정기관 안전성·신뢰성 확보 위해 정보보호책임관 지정은 당연”
이해식 의원은 이번 법률안 제안이유에 대해 이렇게 설명하고 있다.
정보통신의 발달로 각종 정보처리가 대량화ㆍ집적화되면서 공적 부문과 민간 부문의 구분 없이 정보보호 및 보안대책의 필요성이 더욱 커져가고 있는 것이 현실이다.
현재 <정보통신기반 보호법>은 소관 주요정보통신기반시설의 보호에 관한 업무를 총괄하는 정보보호책임자(CISO)를 두도록 하고, <정보통신망 이용촉진 및 정보보호 등에 관한 법률>은 정보통신시스템 등에 대한 보안 및 정보 보호에 관한 업무를 총괄하는 정보보호 최고책임자(CISO)를 두도록 하고 있다.
또 <전자금융거래법>은 전자금융업무 및 정보기술부문 보안을 총괄하는 정보보호최고책임자(CISO)를 두도록 각각 규정해 해당 영역에서 정보보호 및 보안대책이 체계적으로 이루어지도록 하고 있다.
정보보호최고책임자(CISO)는 정보보호라는 기술적 측면뿐만 아니라 정보보호를 위한 제도와 정책, 예산과 인력까지를 총괄하는 컨트롤타워로서의 성격을 가지며, 임원의 자격으로 다른 정보기술업무와 겸직해서는 안 되는 중요한 역할을 부여 받고 있다.
한편, 정부기관은 어떤가.
보건복지부는 주민번호로 대표되는 고유식별정보와 금융정보, 사회취약층의 민감정보를 대량으로 연계하고 있는 기관으로 법에 따라 업무상 주민번호를 수집하고 처리할 수 있으며 질병정보, 유전정보, 범죄정보 등 사회취약층의 민감정보를 대량보유하고 있다.
교육부의 교육망은 정부망 중 최대규모로 초·중·고 및 대학교 망과 각종 연구망들이 모두 연계되어 있고 학생들의 주민정보, 민감정보, 학적정보와 등록금을 위한 금융정보, 사회취약층 학생들의 민감정보, 빅데이터를 활용한 많은 연구결과들까지 모두 교육망에서 처리되고 있어 정보보호의 역할이 어느 때보다 중요해지고 있다.
이에 이해식 의원 등 발의에 동참한 의원들은 “민간영역에서는 정보보호를 위해 정보보호책임자 또는 정보보호최고책임자를 법률로 규정해 시행하고 있다. 반면 행정기관 및 공공기관의 행정업무의 전자적 처리에 관한 사항을 규정하고 있는 현행법에는 이러한 정보보호책임자에 관한 규정이 없어 다른 영역의 경우와 같이 정보보호 및 보안대책을 총괄하는 정보보호책임관에 대한 법적 근거를 둘 필요가 있다”고 법안 제안 취지를 설명했다.
이어 “행정기관 등의 장은 정보통신망과 행정정보, 전자정부시스템 등의 안전성과 신뢰성 확보를 위해 정보보호 업무를 총괄하는 정보보호책임관을 지정해, 해당 기관의 정보보호 업무 및 보안대책에 관한 업무를 총괄하도록 하려는 것”이라고 전했다.
◈ “정부기관 CISO 전담제 늦었지만 지금이라도…올해 국회 통과 기대”
데일리시큐는 이번 정부기관 CISO 전담제를 골자로 한 <전자정부법 일부개정법률안>에 대해 정보보호 관련 각계 인사들의 의견을 들어봤다.
◇박나룡 보안전략연구소 소장은 “국가간 정보보호의 중요성이 높아지는 가운데 국가의 다양하고 중요한 정보를 다루는 공공 영역에서 이제라도 정보보호책임관 지정 근거가 만들어지는 것은 단순한 시스템의 안전성을 넘어 국가 경쟁력을 확보하는 수단이 될 수 있다”며 “정보보호책임관에 대한 법적 근거와 함께 실질적인 권한과 역할을 수행할 수 있도록 적절한 자격 기준과 직급에 대한 고민도 함께 반영되어야 할 것”이라고 말했다.
◇모 보안기업 대표는 “공공기관이 먼저 선도적으로 했어야 하는데 늦어진 것이 아쉽다. 하지만 이제라도 모범이 되어 주길 바란다. 지금까지 정부기관은 체크리스트에 있는 보안 규정만 따르고 그 이상은 하지 않는 소극적인 경우가 많았다. 올해 법안 통과돼 정부 기관의 정보보호 인식과 환경이 대폭 바뀔 수 있길 기대한다”고 전했다.
◇김승주 고려대학교 교수는 “기업이든 정부든 합당한 지위에 있는 책임자를 지정해 전사적으로 보안을 관리하도록 하는 것은 매우 바람직한 현상이다. 특히 그간 정부는 CISO 지정과 관련 사각지대에 있었으며, 그로 인해 정부도 하지 않는 것을 민간에만 강요한다는 비난이 있었던 것도 사실이다. 이러한 상황에서 뒤늦게라도 제도가 정비되는 것은 바람직하다”고 말했다.
이어 “다만 CISO가 보안사고에 대한 모든 책임을 추궁받는 자리가 돼서는 안될 것이다. 막을 수 있었는데 부주의로 막지 못한 것은 처벌하되 제로데이 공격과 같은 불가항력에 대해서는 ‘왜 막지 못했나?’가 아닌 ‘얼마나 빨리 침해사실 여부를 확인하고 후속 조치를 했는가?’로 그 책임을 물어야 할 것”이라고 말하고 또 “CISO는 전문성이 요구되는 만큼 순환보직이 아닌 전문성과 연속성에 중점을 두고 지정할 필요가 있다”고 덧붙였다.
◇이동범 한국정보보호산업협회(KISIA. 지니언스 대표) 회장은 “지난 국회에서도 정부 CISO 제도와 관련된 법안이 발의되었지만 제대로 된 논의조차 못하고 폐기되었다”며 “바이든 미국 대통령은 당선인 성명에서 정부 부처 수준에서 사이버보안을 최우선 순위로 정할 것이라고 했다. 우리 정부도 CISO 제도를 의무화 해 정부의 사이버 보안 역량을 강화할 수 있도록 법안이 통과되기를 바란다”고 밝혔다.
◇류재철 한국정보보호학회 회장은 “오랫동안 정보보호 분야의 숙원 사업으로 이번 국회에는 조속히 통과되길 희망한다”며 “새로 임명되는 정보보호정책관은 다른 분야와 겸직하면 안 되고 정보보호 및 개인정보보호만 전담해야 한다. 전문성을 요하는 분야임으로 기술적, 관리적 정보보호 업무 경험자를 정보보호정책관으로 임명해야 할 것이다. 더불어 정보보호 업무를 충실히 이행할 수 있도록 예산과 조직 지원도 뒤따라야 한다”고 강조했다.
이번 법안을 발의한 의원은 △이해식(더불어민주당. 대표발의) △김영배(더불어민주당) △김윤덕(더불어민주당) △김철민(더불어민주당) △서영석(더불어민주당) △오영훈(더불어민주당) △위성곤(더불어민주당) △이상헌(더불어민주당) △이소영(더불어민주당) △한병도(더불어민주당) △홍성국(더불어민주당) 등 11인이다.
★정보보안 대표 미디어 데일리시큐!★