최근 해킹을 통한 인터넷상 개인정보 유출사건이 연이어 발생하고 있으며 이를 통해 유출된 개인정보를 이용한 명의도용, 스팸, 보이스 피싱 등 2차 피해 가능성으로 국민 불안감이 확산되고 있다. 특히 융합 현상의 가속화와 IPTV, VoIP 등 신규 서비스 출현에 따른 신규 위협 및 사이버 공격 기술이 발전하고 다양화됨에 따라 이에 대한 대응력 강화가 필요하다. 이러한 맥락에서 정보보호 기능의 집중 필요성과 전문기관의 역할이 실질적인 대안으로 떠오르고 있다.

현재 우리나라 산업은 고도의 정보화 사회로 진입하는 길목에 서있다. 정보사회에서는 모든 경제주체 및 정부 행정기관들이 여러 종류의 정보의 바탕 위에 운영되고 있으며 이러한 정보들 중에서 개인정보는 과거보다 더 큰 의미를 차지하게 되었다. 그러나 이러한 정보화의 시대에는 정보의 역기능이라 불리는 부작용도 발생하기 마련이다.

최근 옥션, 하나로텔레콤, GS칼텍스 등의 고객정보 유출사건이 반복적으로 발생하면서 집단소송제 제기 등 개인정보보호의 문제는 사회적인 분쟁으로 확산되고 있으며 이에 대한 우려는 절대 기우(杞憂)가 아닌 현실인 것이다.

이러한 상황에서 정부의 안일한 대응과 체계적이지 못한 시스템 미비, 개인정보보호의 예산부족과 실효성 없는 대책 등이 문제의 근원으로 지적되고 있으나 근본적인 원인은 정부조직 개편 이후 정보보호 기능의 분산으로 인한 정보보호 컨트롤 타워의 부재가 바로 그것이다. 특히 정부가 방송통신위원회 산하 한국정보보호진흥원(이하 KISA)의 일부 기능을 다시 분산하는 방안을 원점에서 재검토 중인 것으로 알려지면서 논란은 다시금 증폭될 것으로 예상된다. 아울러 한국인터넷진흥원(NIDA)·정보통신국제협력진흥원(KIICA)과 통합하여 ‘한국네트워크진흥원’(당초 공공기관 선진화 추진계획안(2차)에서는 ‘방송통신진흥원‘으로 발표된 바 있음)으로 하는 것을 주요 내용으로 하는 법안이 입법예고(방송통신위원회, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」전부개정안) 되었다.

하지만 일련의 사건들이 재발되지 않고 개인정보 유출이라는 불법행위가 근절되기 위해서는 조직의 기능분산과 기관간의 통폐합이 먼저 논의되기보다는 정보보호 예산 편성 강화와 전담인력 확충 및 인터넷상 주민번호를 대체할 식별번호(i-PIN) 도입을 통한 제도적, 기술적 보완을 강구해야 한다. 특히 정보통신 시설 및 개인정보보호에 관한 법제를 정비하는 것도 시급하지만 정보보호 기능의 집중이 우선적으로 요구된다.

이에 본고에서는 정보보호 기능집중의 필요성을 역설하고 해외사례를 고찰해봄으로써 정보보호 선진화를 위한 전문기관의 역할을 제언하고자 한다.

정보보호 기능의 집중 필요성

실용정부가 출범한지도 8개월이 지났다. 지난 8개월 동안 정보보호 분야에서는 많은 변화를 겪고 있고 현재도 진행형이다. 정보보호 기능은 정부차원에서 행정안전부, 방송통신위원회, 그리고 지식경제부로 분산됐으며 행정안전부는 민간 및 전자정부분야 정보보호 총괄 기능을, 방송통신위원회는 인터넷 정보보호 기능을, 그리고 지식경제부는 산업 육성 및 연구개발 분야를 담당하고 있다. 또한 각 부처별 정보보호 정책을 요약하면 다음과 같다.

행정안전부는 선진국 수준으로 정보보호수준을 획기적으로 향상하는 것을 목적으로 하는 정보보호 5개년 계획을 발표했고 기존 전자서명법과 정보통신기반보호법을 통합한 정보시스템 등의 기반 보호에 관한 법 제정을 추진하고 있다. 방송통신위원회의 경우 인터넷 정보보호 대책을 마련했으며 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 입법예고한 상황이다. 지식경제부는 지식정보보안산업 육성 발전 전략을 마련 중이며 국내 지식정보보안산업을 2013년까지 약 12조원 규모로 확대한다는 계획을 가지고 있다.

일단 정부의 모든 유관 부처가 정보보호의 중요성을 인식하고 관련 정책을 공동으로 개발 및 발표했으며 산업, 인력양성, 개인정보보호, 연구개발을 망라한 대책을 마련했다는 측면에서 매우 긍정적인 진전이라고 할 수 있다. 하지만 이러한 대책이 실질적인 효과와 더불어 시너지를 창출하기 위해서 정보보호 기능의 분산보다는 집중에서 비롯될 수 있다는 점을 신중하고도 면밀하게 검토해 볼 개연성은 충분하다.

먼저 대부분의 정보보호 문제가 방송통신망과 이를 통한 정보유통 과정에서 발생함에 따라 방송통신 분야에 대한 정보보호 역량집중이 불가피하다. 왜냐하면 전 분야에 대한 균형적 정보보호 발전 추진으로 인한 방송통신망에서의 상대적 정보보호 수준저하는 곧 국가 전반의 정보보호 기반 붕괴로 이어질 수 있기 때문이다.

또한 융합 현상에 따른 신규 위협에 대한 효과적 대응을 위해서는 행정력을 바탕으로 한 법제도 중심의 대응만으로는 한계가 있기 때문에 전문성을 바탕으로 한 기술적 접근이 요구된다. 특히 인터넷 침해사고의 원인분석과 대응을 위해서는 주요 통신사업자, 포털 등 서비스·콘텐츠 사업자와의 신속한 협력체계 구축이 필수적인데 사업자 입장에서도 일원화된 정보보호 전문기관의 지속적 교류를 통해서만 효율적인 업무 협조가 가능하며 통신 서비스와 방송 서비스가 연계로 각종 유해 콘텐츠의 차단 등 단속기능이 필연적으로 확대되는 상황 속에서는 더욱 긴요(緊要)하다.

무엇보다 규제 권한을 이중적으로 행사할 경우 국민과 사업자에 대한 혼란 및 이중규제 야기는 자명하기 때문에 방송과 통신 전반에 걸친 규제 권한을 일원화하는 것도 중요하다. 특히 개인정보를 수집·이용하는 행정부는 개인정보 침해 주체가 될 수 있어 개인정보보호 기구는 행정부로부터 독립 운영하는 것이 세계적 추세(EU, UN은 공정성 확보를 위해 개인정보보호기구의 독립성 확보 권고)임을 감안할 때 개인정보보호기구의 독립성 확보에 대한 사회적 합의는 필수적이다.

미국의 경우 국토안보부(DHS) 산하 사이버보안 및 통신실 내의 국가사이버보안처(NCSD)가 정보보호 총괄 부처로서 국가 기반시설을 관리하고 있다. 국가사이버보안처(NCSD)는 금융, 통신 등 산업분야별로 민간이 자체 운영하는 12개 ISAC(Information Security Analysis Center, 금융·통신·전력·정보·수자원·에너지·식품·수송·화학 등 분야별 정보보호 정보공유 및 분석센터)와 긴밀한 협력을 통해 기반시설보호 활동을 전개해 나가고 있다.

일본의 경우 내각관방 정보보호센터(‘05년 4월 설치)가 각 부처의 정보보호 정책을 총괄 조정하는 역할을 수행하고 있다. 특히 정보보호센터는 정보보호정책회의 사무국으로서 정보보호 기본전략을 입안하고 주요전략을 홍보하며 정부기관의 종합적 정보보호 대책을 촉진하기 위해 정부의 통일된 안전기준을 책정하고 이에 근거한 각 부처의 대책을 평가하며 정부 직원의 인재육성·인재확보, 각 부처 안전시스템 설계 지원, 정부기관의 긴급사안 대응지원을 위해 각 부처에 경보 발령, 각 부처의 피해정보 파악 및 원인분석 등의 업무를 관장한다. 영국정부에서는 2007월 2월 국가기반시설보호센터(CPNI)를 설립함에 따라 사회적 재난 예방, 사고 발생 피해 최소화 등을 위해 정부 기관 및 민간 기업에 대한 기반시설 보호 활동(전력, 수도, 행정 Data Base, 통신, 교통, 금융, 의료시설 등이 주요 대상)을 수행하고 있다.

이와 같이 해외사례를 고찰해 보았을 때 정보보호 정책을 총괄적으로 조정할 수 있는 정부기관 혹은 전문기관이 존재하고 이를 중심으로 추진된다는 점은 우리에게 시사하는 바가 크다. 

전문기관의 위상 강화 및 역할 확대해야

국내 정보보호 산업은 지난 10년 간 짧은 역사에도 불구하고 양적·질적으로 많은 성장을 거듭해 왔다. 국내 정보보호 산업관련 공식 통계가 시작된 지난 2000년 국내 정보보호 산업의 총 규모는 1,600억원 규모였으나 지난해에는 7,400억원으로 4.6배 성장하는 등 외형적인 면에서는 괄목할만한 성장을 해왔다.

하지만 아직도 정보보호 산업의 현주소는 산업분야의 특수성 때문에 항상 투자 우선 순위에서도 밀리고 보안사고가 발생할 때만 반짝 관심을 받는 것이 고작이다. 최근 일련의 보안사고로 인해 정보자산 보호에 대한 중요성이 부각되면서 정보보호에 관심과 인식이 높아지고는 있지만 근본적으로 해결될 것이라는 낙관적인 전망을 예측하기에는 다소 시간이 걸릴 것으로 예상된다.

따라서 이러한 문제점을 해결하고 정보화 진행속도에 비례하는 정보보호 정책 및 진흥 기능의 효율적 집행을 위해서는 정보보호 전문기관의 위상 제고와 역할이 필요한데 그 중심에 바로 KISA가 있다. KISA는 1996년 창립된 이후, 국내 유일의 정보보호 전문기관으로서 국내 정보보호 수준을 선진국 수준으로 선도하는데 많은 역할을 해왔다. 특히 인터넷 대란과 같은 인터넷 침해사고 예방 및 대응, 개인정보 침해·스팸 방지를 위한 각종 정책 지원 및 피해구제 체계 운영 등을 통해 국민생활과 직결되는 많은 사안들을 다루어 온 경험과 노하우가 축척되어 있는 유일한 기관이다.

또 해외 정보보호 선진국들의 기능집중 현상이 보편화되고 있는 시점에서 고도의 전문성을 활용하기 위해서는 기관간의 통폐합이 아닌 오히려 KISA의 역할과 위상을 확대해야 한다는 것이 학계의 일반적인 중론이다. 이는 외국의 정보보호 전문가들도 정보보호의 역할을 맡는 보안기관의 역할을 인정하고 있고 정보화 사회의 파수꾼으로 우수하다고 평가하고 있기 때문이다.

따라서 KISA의 역할 강화를 위한 정부부처간의 협조와 활용방안 마련 및 지원 등이 가장 현실적인 대안임을 명심해야 한다.

특히 KISA가 정보보호 컨트롤 타워의 역할을 실질적으로 수행해나가기 위해서는 관련 예산의 증액과 전담인력의 확충이 동시에 요구된다.

하지만 KISA 역시도 전문기관으로의 위상 강화와 역할을 확대하기 위해서는 현상에 대한 새로운 안목과 전략이 필요하다. 정보보호가 IT와 융합되는 전 산업 및 서비스의 안전성을 확보하는 인프라(infra)라는 인식으로 변모되어가고 있는 상황임을 감안하여 이에 상응하는 새로운 정보보호 기술력과 기능을 통해 인터넷 경제 문화 시스템의 지속가능한 신뢰를 확보할 수 있는 종합적인 대책을 조속히 마련해야 한다.

아울러 정부 및 국회 국정감사를 통한 수동적 검증이 아닌 끊임없는 자체적 검증 시스템을 구축하여 능동적 검증을 활성화함으로써 국민들의 지속적인 관심과 성원을 받을 수 있는 정보보호 전문기관으로 재정립 되어야 할 것이다.      

16세기 영국의 무역상이자 금융가인 토마스 그레샴은 ‘Bad money will drive good money out of circulation’ 할 수 있다고 경고한 바 있다. 우리말로 바꾸면 ‘악화(惡貨)가 양화(良貨)를 구축한다’는 뜻으로 통제가 이루어지지 않는다면 품질이 좋은 상품은 시장에서 퇴거되고 품질이 낮은 상품만 남게 된다는 의미정도로 해석할 수 있을 것이다.

이러한 맥락에서 우리는 정부의 잘못된 정책적 판단이 불러올 수 있는 미래의 심각성을 면밀히 검토하고 향후 발생할 수 있는 문제점에 대비한 총체적인 대응방안을 원점에서 다시금 모색해야 한다. 무엇보다 악화와 양화가 서로 양립하지 않고 양화가 건실하게 뿌리내릴 수 있도록 우리 모두의 지혜와 역량을 모아야하며 사회적 합의를 이끌어 낼 수 있는 협력적인 자세가 요구된다. 

* 본 칼럼은 국회의 공식입장이 아니며, 국회의 입장과 배치될 수도 있는 사견임.

<글 : 양용석 국회 방송통신정책비서관·정보통신연구진흥원(IITA) 집필위원(yongseok.yang@assembly.go.kr)>

[월간 정보보호21c 통권 제100호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>