청와대·총리실 산하 직속 정보보호 전담 컨트롤타워 마련 시급
정보보호네트워크정책관, 네트워크 업무가 우선…정보보호는 후순위
과학기술정보통신부(최기영 장관. 이하 과기정통부)가 문재인 대통령직속 4차산업혁명위원회의 대정부 권고안에 정면 배치되는 이해할 수 없는 조직개편을 준비하고 있어 비난과 성토의 목소리가 높아 지고 있다.
과기정통부는 10월 11일 직제 시행규칙 일부개정안을 입법예고했다. 국무회의 의결만 남은 상황이다.
‘인공지능정책관’ 신설하려고 4차산업혁명 근간인 ‘정보보호’는 축소
미국, 민간 사이버보안 총괄을 ‘차관급’으로 격상…한국은 ‘과장급’으로 격하
글로벌 흐름에도 반하고 4차위 권고안에도 맞지 않는 개정안의 핵심은 바로 기존 ‘정보보호정책관’을 폐지하고 네트워크정책과 정보보호정책 업무를 통합 한 ‘정보네트워크정책관’(혹은 정보보호네트워크정책관)을 신설한다는 것이다. CISO와 CIO 겸직금지라는 정부 정책에도 위배되는 조직개편이다. 이렇게 된 데는 정보통신정책실 산하에 ‘인공지능정책관’을 신설하기 위해서였다.
반면 세계경제포럼 회장 클라우스 슈밥은 “사이버 보안이 담보되지 않으면 4차산업혁명과 관련 된 모든 시도들은 모래 위에 쌓아 올린 성처럼 오래 갈 수 없다”고 말했다.
또한 지난해 말, 미국 국토안보부(DHS)는 사이버보안 및 인프라 보안국(CISA) 국장을 차관급으로 격상시켰다. 바로 4차산업혁명의 초석인 정보보호의 중요성을 인식했기 때문이다.
과기정통부는 정 반대로 가고 있다. 오히려 민간 정보보호 총괄을 일개 과장급으로 격하시키려 하고 있다. 민간 정보보호 총괄 책임자를 차관급으로 격상 시켜도 모자랄 판에 시대 상황에 역행하고 ‘인공지능’이라는 보여주기 식 개편안을 내 놓은 과기정통부. 이런 과기정통부에 대해 학계와 산업계가 한 목소리로 안타까움과 즉각적인 개편안 시정을 요구하고 있다. 이 대로 개정되면 성공적인 4차산업혁명은 물 건너 갈 수 있다는 위기감에서 나오는 다급한 목소리들이다.
과기정통부 내부에서도 “정보보호정책관이라도 있어서 정보보호 정책과 산업발전, 침해대응 등 민간의 정보보호를 리딩해 올 수 있었다. 하지만 이번 개정안처럼 네트워크 부분과 통합되면 정보보호는 위축되고 네트워크에 우선 순위가 밀릴 수밖에 없다. 5G, 스마트팩토리, IoT, 데이터 활용, 스마트헬스케어 등 너무도 많은 4차산업혁명 사업에서 신뢰를 담보하기 위해서는 정보보호가 모든 분야에 스며들어야 하는데 어쩌려고 이런 개편안을 냈는지 이해할 수 없다”며 갑갑한 심정을 토로했다.
조직 개편안에 따르면, 정보네트워크정책관 하부에 정보보호기획과장이 민간정보보호 정책을 총괄하고 정통망법 종합대책을 수립 한다. 국가사이버안보 관련 민간부문 주요 정책 및 계획도 수립하고 정보보호 관련 신기술 도입과 교육도 하라고 한다. 네트워크 정보보호 안전관리 대책도 수립하고 KISA도 운영하고 정보보호 핵심 원천기술도 발굴하라고 한다. 또 정보보호 관련 국제기구 및 외국 주관청과 협력하라고 한다. 미국만 해도 차관급이 민간 사이버보안을 총괄하는데 한국은 과기정통부 과장급이 총괄하면서 협력을 하라고 한다.
김병관 의원 “융합 시대, 보안취약성 확대되는 상황에 정보보호 홀대는 위험천만”
송희경 의원 “정보보호정책관 폐지? 정보보호정책실로 격상해야 할 판에…!”
국회와 정보보호 학계 및 산업계도 이번 개편안에 황당함을 감추지 못하고 있다. 25일 국회의원회관 제3세미나실에서 과기정통부 조직개편안에 대한 성토의 시간이 열렸다.
이상민 의원과 김병관 의원, 송희경 의원이 주관하고 한국정보보호학회와 한국정보보호산업협회, 한국침해사고대응팀협의회가 주최한 ‘정보보호와 디지털 미래사회의 국가경쟁력’ 세미나에 단연 주제는 이번 과기정통부 조직개편의 문제점이었다. 이날 발언들을 들어보자.
김병관 의원(더불어민주당)은 “이번 개편안에 ‘정보보호’ 이름이 빠졌다. 이름이 없으면 소홀해 질 수밖에 없다. IoT와 융합, 빅데이터, 인공지능 기술이 활성화되면서 보안취약성이 더욱 커지고 있는 상황에 ‘정보보호’ 홀대는 있을 수 없는 일이다. 정보보호 조직도 키우고 역량도 더욱 강화해야 한다. 학계와 산업계에 힘이 될 수 있도록 함께하겠다”고 말했다.
송희경 의원(자유한국당)은 “지난 7월, 25명의 국회의원실에서 이메일 해킹사고가 발생했다. 이에 대해 정부 발표도 없고 어떻게 공격이 이루어졌는지도 모르고 있다. 한국의 사이버안전지수는 계속 떨어지고 있다. 이런 마당에 과기정통부 조직개편안에 ‘정보보호’가 빠지면 안된다. 현재 ‘정보보호네트워크정책관’으로 조정을 논의한다고 하지만 절대 안된다. 더 격상되어야 하지만 최소한 현재 정보보호정책관으로라도 유지되어야 한다”고 강조했다.
권헌영 교수 등 “청와대나 총리 직속 정보보호 업무만 담당하는 조직 마련 시급”
권헌영 고려대학교 정보보호대학원 교수는 ‘디지털 미래사회와 정보보호’라는 주제 발표에서 “4차산업혁명위원회 대정부 권고안의 핵심은 ‘신뢰할 수 있는 초연결 디지털 사회’를 구축하기 위해 보호대상을 데이터로 전환하고 보안성을 넘어 신뢰할 수 있고 정부와 민간 개방형 사이버보안이 중심이 되어야 한다는 것”이라며 “이를 실현하기 위한 조직개편이 이루어져야 하는데 과기정통부의 이번 개편안은 이해할 수 없다. 개편되는 정보네트워크정책관의 의견이 대통령까지 올라가려면 네트워크정책실장-제2차관-장관-국무총리-대통령의 단계를 거쳐야 하다. 그것도 정보네트워크정책관은 네트워크 분야 업무를 겸직하고 있는 상황에서다. 이런 상황에서는 4차산업혁명의 핵심인 정보보호는 제대로 작동할 수 없다. 청와대나 총리 직속으로 정보보호 업무만 담당하는 직위와 조직이 반드시 있어야 한다. 그래야만 정부가 생각하는 4차산업혁명이 성공할 수 있다”고 밝혔다.
이경현 한국정보보호학회장은 “4차산업혁명에서 정보보호 역할은 너무도 중요하다. 그런 의미에서 이번 사태(과기정통부 조직개편안)는 매우 유감이다. 특히 학계 및 산업계의 의견수렴 과정도 없이 결정한 것은 심각한 문제다. 한국의 정보보호 수준은 세계를 리딩할 수 있는 내공이 있다. 이를 국가가 선도적으로 지원해 줘야 한다. 이를 위해서는 정보보호 전담 조직은 필수적이고 그 이름 또한 꼭 유지되어야 한다. 더불어 과기정통부 내에서 정보보호정책실로 승격이 되어야 한다고 생각한다. 민간 정보보호 컨트롤타워 역할을 수행할 수 있는 조직이 만들어 져야 한다”고 말했다.
최동근 한국정보보호최고책임자협의회 회장도 “선진국들이 앞다퉈 국가차원의 사이버보안 컨트롤타워를 만들고 정보보호를 전영역에 내재화시키고 있다. 인공지능과 자율자동차만 생각할 것이 아니라 이런 기술을 신뢰할 수 있도록 정보보호에도 관심을 가져야 한다. 정부의 정보보호 경시 풍조 때문에 좋은 인력들이 이탈하고 있다. 국가경쟁력을 뒷받침하는 정보보호를 위해 정부가 제도적으로 기술과 인력을 육성하는데 힘을 쏟아야 한다”고 밝혔다.
이민수 회장 “CISO와 CIO 겸직금지, 정부가 안 지켜…조직 개편안 시정되어야”
이민수 한국정보보호산업협회(KISIA) 회장은 “네트워크와 정보보호를 겸업한다면 정보보호는 뒷 전일 수밖에 없다. 그 여파는 민간에까지 영향을 미칠 것이고 정보보호 산업도 큰 타격을 받을 것이다. 정부가 민간에 CISO와 CIO 겸직을 하지 말라고 하면서 정작 정부 스스로는 이를 지키지 않겠다는 것이다. 이번 개편안은 정보보호 경시에서 오지 않았나 생각한다. 정보보호 경시는 보안산업을 떠나 국민들에게 직접적인 피해로 돌아가지 않을까 우려된다”며 “특히 정보보호 산업은 그 자체의 규모로만 볼 것이 아니라 모든 산업과 융합되면서 중요한 역할을 할 수 있다는 것을 알아야 한다. 정보네트워크정책관(혹은 정보보호네트워크정책관) 내부에서 모두가 손흥민이 되려고 할 것이다. 정보보호는 골키퍼와 같은 존재다. 그래서 결국 정보보호는 밀릴 수밖에 없다. 개편안에도 이미 네트워크 업무가 우선시 되고 있다는 것이 느껴진다. 정보보호 전담 조직 관련한 행정안전부의 인원확충과 기재부의 예산이 절실한 상황이다”라고 답답한 심정을 토로했다.
조직개편안, 말만 ‘정보보호네트워크정책관’…실제 우선순위는 ‘네트워크’ 다음 ‘정보보호’
실제 과기정통부의 조직개편안을 보면 ‘네트워크’가 판을 치고 있다. 정보보호는 후순위라는 것을 여실히 보여주고 있다.(상단 조직도 참조)
2차관 산하에 네트워크정책실이 있고 그 산하에 ‘정보보호네트워크정책관’이 있다. 또 그 산하에 업무 순서대로 나열해 보면 △네트워크정책과 △네트워크안전기획과 그 다음이 △정보보호기획과 △정보보호산업과 △사이버침해대응과가 보인다. 즉 이름만 정보보호네트워크정책관이지 실제 정보보호 업무는 후 순위에 놓여있는 것이다.
정보통신정책실에 새롭게 신설한 ‘인공지능정책관’ 산하에 가장 먼저 나오는 부서가 바로 ‘인공지능정책과’다. 즉 정보보보호네트워크정책관의 주요 업무는 네트워크 관련 업무라는 말이 된다. 이런 상황에 과기정통부 장관은 국감에서 절대 정보보호를 소홀히 하지 않겠다고 말했지만 실제 현실 업무는 그렇지 않다는 말이다.
김승주 고려대 교수는 “정부는 민간에 CISO를 임원급으로 하라고 요구한다. 즉 정보보호 위상을 높이라는 것이다. 내로남불(내가 하면 로맨스, 남이 하면 불륜)인가? 정부와 민간이 따로 가는 식의 정책은 펼치면 안된다. 정부가 할 수 없으면 민간에도 강요하면 안된다”고 지적했다.
특히 과기정통부 내부에서는 이번 ‘인공지능정책관’ 신설을 ‘패착’이라고 보는 분위기다. 인공지능을 별도 정부조직으로 두는 나라는 없다. 청와대에 보여주기 식이라는 지적이다.
과기정통부, 4차산업혁명을 모래 위에 올리려고 하면 안돼…
최기영 과기정통부 장관은 올해까지 반도체공학회 수석부회장이었다. 반도체 분야에 지대한 관심을 갖고 있을 것으로 보인다. 한편 지난해 데일리시큐에 다음과 같은 기사가 보도된 바 있다.
“전세계 컴퓨터 CPU(중앙처리장치) 시장의 90%를 장악하고 있는 인텔이 치명적 보안 결함이 존재하는 제품을 10년 이상 생산한 것으로 밝혀지면서 세계 정보기술 업계를 충격에 몰아넣었다. 한편 인텔 CEO는 2017년 11월 말 보유하고 있던 88만9천878주를 매도한 사실이 드러나 파장이 일고 있다. 이는 인텔 내규에 따라 CEO가 최소 보유해야 하는 주식 25만 주에 맞춰놓기 위해 매도한 것으로 보인다. 그가 매도한 주식의 가치는 약 3,932만 달러(약 417억 9000만 원)다. 구글은 2017년 6월 반도체칩 보안결함을 처음 발견하고 이를 곧바로 인텔에 알렸다. 이후 CEO를 포함한 경영진들이 주식을 대거 매각했다. 이 때문에 보안취약점 문제가 드러나 인텔 주가가 내려가기 전 자신들의 주식을 매각한 것이다.”
4차산업혁명을 이루기 위해서는 산업 전분야에 정보보호가 내재되지 않으면 사상누각일 뿐이다. IoT도, 인공지능도, 자율주행 자동차도, 5G도 국민들에게 신뢰받을 수 없고 결국 성공할 수 없다.
과기정통부는 국무회의에서 이번 개악된 조직개편안이 통과되기 전에 무엇이 진정한 4차산업혁명을 위한 조직개편이 될지 여러 학계와 산업계의 의견을 다시 청취해야 한다. 한국의 4차산업혁명을 모래 위에 올려놓길 바라진 않을 것이다. 최기영 장관의 올바른 판단이 필요한 시점이다.
★정보보안 대표 미디어 데일리시큐!★