2024-07-25 18:50 (목)
[박나룡 보안칼럼] 정보보호가 중요하다면, 평가 지표부터 상향해야
상태바
[박나룡 보안칼럼] 정보보호가 중요하다면, 평가 지표부터 상향해야
  • 길민권 기자
  • 승인 2024.06.26 09:04
이 기사를 공유합니다

“국가, 공공기관 특성 반영해 경영평가 지표에서 정보보호 중요도 상향 필요”

우리나라는 생각보다 다양한 제도적 방식을 활용해서 국가기관이나 공공기관에 대한 정보보호 수준 향상 노력을 기울이고 있다.

개인정보보호위원회에서는 개인정보보호법 개정을 통해 1,400여 개 중앙행정기관, 지방자치단체, 공공기관, 지방공사·공단, 중앙행정기관 소속기관, 시도 교육청, 교육지원청 등을 대상으로 기존 개인정보 관리수준 진단을 강화한 ‘개인정보 보호수준 평가’를 시행하고,

과학기술정보통신부에서는 정보통신기반보호법에 따라 통신, 금융, 의료분야 등 민간 기반시설 157개, 공공 기반시설 287개 등을 국가·사회적으로 중요한 기업과 기관으로 선정하여 ‘주요 정보통신 기반시설’로 관리하고 있다.

국가정보원에서는 국가정보원법 및 사이버안보 업무규정에 따라 매년 대상기관을 선정하고 ‘정보보안 관리실태 평가’를 수행하고 있다.

안타깝게도 이런 다양한 활동에도 불구하고, 보안사고, 개인정보 유출 사고는 지속적으로 증가하고 있다.

21일 국민의힘 박충권 의원이 한국인터넷진흥원(KISA)으로부터 제출받아 공개한 현황 자료에 따르면, 공공기관의 경우 해킹에 의한 유출이 2019년 2건, 2020년 3건, 2021년 5건, 2022년 4건이었다 23년에는 15건으로 늘었다고 한다.

절대적인 수치는 민간보다 적지만, 국가, 공공기관의 특성상 중요정보를 취급하는 비중이 높고, 일부 통계에 확인되지 않을 수 있는 점을 고려하면, 적지 않은 곳에서 지속적으로 정보보호 사고가 늘어나고 있다는 점에 관심을 가질 필요가 있다.

민간분야는 ISMS제도와 지속적인 관심으로 일정 규모 이상의 기업에서는 최소한의 수준을 충족하면서 지속적 개선이 이루어지는 사이클이 만들어지고 있지만, 국가, 공공기관에서는 아직 자체 예산 수립과 인력 충원이 어려운 법적, 구조적 한계로 인해 쉽지 않은 것이 사실이다.

국가, 공공기관 담당자들에게 가장 많이 듣는 하소연 가운데 하나가, 정보보호 예산과 인력 확보를 위해 다양한 노력을 해 보지만 최종적으로 기획재정부에서 막힌다는 얘기다.

이렇다 보니 우리나라 보안 수준을 기재부에서 관장한다는 볼멘소리까지 나오는 실정이다.

예산과 인력은 정보보호 수준을 높이기 위한 가장 기본이 되는 단위다.

사람도 없고, 돈도 없는데 정보보호를 잘하라고 하는 건 할 수 없는 일을 하라고 하는 것과 같은 이야기다.

법적, 구조적 문제로 상황을 쉽게 바꿀 수 없다면 중장기적인 관점에서 개선해 나가고, 현재 활용할 수 있는 방법을 적극적으로 발굴해서 비교적 쉽게 개선할 수 있는 것들을 검토해야 한다.

구체적으로 공기업, 준정부기관의 정보보호 수준을 높이기 위한 가장 효과적인 방법으로 경평(경영실적 평가제도) 지표에 정보보호 관련 점수를 상향하는 것이다.

‘공공기관의 운영에 관한 법률’(이하 “법률”이라 한다) 제48조에 따른 ‘경영실적 평가제도’는 공기업‧준정부기관의 자율‧책임경영체계 확립을 위해 매년도 경영 노력과 성과를 공정하고 객관적으로 평가하고 공기업‧준정부기관의 공공성 및 경영 효율성을 높이고, 경영 개선이 필요한 사항에 대해 전문적인 컨설팅을 제공함으로써 궁극적으로 대국민 서비스 개선을 목적으로 기획재정부에서 운영하는 제도다. (2024년도 공공기관 경영평가편람)

‘24년도 경영평가 편람에는, 다양한 평가 중 ’안전 및 재난관리 평가 지표‘에 2~2.5점의 점수가 배정되어 있고, 그 세부 지표에 '개인정보 보호 및 사이버 안전 확보를 위한 노력과 성과를 평가한다'는 내용으로 0.5점을 부여하고 있다.

이는 개인정보보호위원회의 개인정보 보호수준 평가(0.25점)와 국정원 정보보안 관리실태 평가(0.25점)를 합쳐서 겨우(?) 0.5점이 반영되는 실정이다.

총점이 100점이라는 사실에서(추가로 '공공기관 혁신 노력과 성과 가점' 5점을 합치면 105점 만점이다) 아직 정보보호의 중요성을 바라보는 시각의 차이가 크다는 점을 느낄 수 있다.

경영평가에는 다양한 사회적 요구사항과 국정 기조에 따른 가치가 반영된다고 하지만, 정보보호에 대한 사회적 기대와 중요도가 0.5점 수준인지에 대한 더 깊은 고민이 필요한 시점이다.

박나룡 소장
박나룡 소장

사회가 정보보호, 개인정보보호를 중요하게 생각한다면 민간보다 더 중요하고 예민한 정보를 다루는 국가, 공공기관의 특성을 반영하여 이런 평가 지표부터 적절하게 상향하는 것이 진정으로 국민의 개인정보, 사이버안보를 생각하는 자세일 것이다. [글. 박나룡 보안전략연구소 소장]

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★