[인터뷰] 국회 행정안전위원회 이명수 자유선진당 국회의원

“정부, 사이버공간에서 국민 정보보호 위해 많은 노력 기울여야”

[보안뉴스 김정완] 행정안전부는 지난 7.7DDoS대란을 겪으면서 그해 국정감사를 통해 상당한 질책과 질의를 받으면서 어느 때보다도 정보보안과 관련한 바쁜 국감 일정을 소화했다. 하지만 올해 국감에서는 유독 정보보안에 대한 이슈가 없었다. 이슈가 나타날 때라야만 관심을 받는 정보보안이 우리 사회에서 차지하고 있는 비중을 보이는 것만 같아 씁쓸하다.

그런 중에도 정보보안에 대해 지속적인 관심을 갖고 정부의 정보보안 정책 등에 대해 꾸준히 지적하고, 이를 개선하고자 힘을 쏟고 있는 국회의원이 있다는 것은 천만다행한 일이다. 바로 국회 행정안전위원회 소속 이명수 자유선진당 국회의원이 바로 그 주인공이다.

이명수 의원은 ‘DDoS 대란 1주년, IT강국·대한민국의 사이버보안 현주소와 과제’라는 제목으로 이번 국감 정책자료집을 발간하는 한편 이번 국감을 통해서도 정보보안에 대한 관심을 갖고 정보보안 주무부처인 행안부 등에 지속적인 질타와 격려를 아끼지 않았다. 이에 이명수 의원을 직접 만나 그의 정보보안에 대한 생각과 향후 개선 방향 등에 대해 들어봤다.

- 이번 국감 통한 정보보안에 대한 지속적인 지적들 어떤 것들이 있는지?

작년 국정감사에 이어 올해 2010년 국정감사에도 정보보호와 관련된 행안부의 전반적인 문제점에 대해 지적했다. 특히 행안부 정보화사업 예산 대비 정보보호 비율 추세가 10.9%(2008년)→10.3%(2009년)→12.4%(2010년)→5.9%(2011년안)로 나타났는데, 문제는 최근 3년간 행안부 정보화 및 정보보호 예산이 조금씩 증가추세에 있다가 2011년에는 올해에 비해 2배 이상 삭감됐다는 것이다.

DDoS 대란이 발생한지 겨우 1년, 장비·전문인력 확충 및 교육, 그리고 보안 산업 육성 등 DDoS 대응구축체계를 마련하기 위해서는 적어도 몇 년의 시간을 두고 지속적인 투자와 지원을 해야 함에도 불구하고, 이렇게 정보화 및 정보보호 예산을 모두 삭감한 것은 정보화사업의 주무부처로서 심각한 문제라고 할 수 있다.

또한 지난 국정감사 때부터 정부 중앙부처 정보보호 인력의 부족에 대해 수차례 지적했음에도 불구하고, 현재 26.25명밖에 확충되지 않고 있다. 특히 행안부의 경우 2명의 전문인력이 정보화부서 내 정보보호를 전담하고 있어, 과연 정보화사업 및 사이버보안의 주무부처인가를 의문할 정도로 부실하게 운영되고 있는 실정이다.

더구나 중앙부처 정보화부서 내의 전문인력 자격증 현황을 보면, CISSP, CISA, SIS 등의 정보보호 공인자격증 소지자가 매우 부족하기 때문에 이에 대한 확충이 반드시 이루어져야 한다고 본다. 덧붙여 외부의 민간 전문가도 정부의 정보보호 정책에 참여하게 함으로써 전문성과 객관성을 확보해야 한다.

- 정보보안 관련 정책자료집을 발간했는데, 발간 계기 및 소개 말씀?

우리나라는 IT산업의 발전과 동시에 각종 사이버공격 및 해킹 위험성도 함께 급증하고 있다. 그러나 정작 가장 중요한 보안인프라 구축은 매우 부족한 실정인데, 작년 7.7DDoS대란을 보더라도 당시 정부의 정보보호 정책기능이 여러 부처로 분산돼 정책수립과 부처간 협의가 제대로 이루어지지 않아 점차 다양화·지능화되고 있는 DDoS와 같은 각종 사이버공격에 적절히 대응하기 위한 컨트롤 타워가 없었다. 즉 과거에는 정보통신부에서 정보화 및 각종 정보보안에 대한 정책수립 및 전문적 대응을 마련했지만, 현재는 그 기능을 행안부·방통위·지경부 등 각 부처로 이관·분산되면서 오히려 역효과를 보고 있는 실정이기 때문이다.

그리고 작년 대규모의 DDoS공격과 함께 엄청난 피해를 겪고 나서야 각 부처는 경쟁적으로 DDoS에 대응하기 위한 다양한 정책을 마련하고, 예산을 책정해 장비를 도입했다. 이렇게 마련된 정부의 대표적인 사업 중 하나가 작년 행안부에서 200억의 예산을 들여 실시한 ‘범정부 DDoS 대응 구축사업’이다. 이 사업을 통해 정부는 132개 기관에 DDoS 대응 전문장비를 도입했으나, 장비활용과 적절한 대응이 이루어지지 않는 등 현재까지 그 실효성을 거두지 못하고 있다.

더구나 최근에는 한국어 DDoS 공격툴이 나오고 공격 트래픽이 100G이상으로 증가하는 양상을 감안할 때, 대규모 DDoS공격은 언제든 재발할 수 있는 상태라고 할 수 있다. 따라서 이번 정책자료집은 지난 DDoS 사건을 되짚어 보면서, 국가기관을 비롯한 개인의 정보보호 인식을 제고하고, 관련 조직의 확충 및 예산 투입의 지속적인 확대를 위한 개선방안을 모색하고자 하는 차원에서 발간됐다.

- 지속적으로 정보보안의 중요성을 강조·언급하는 이유가 있다면?

첨단과학을 자랑하는 디지털 시대인 오늘날 개인의 정보는 물론 각종 중요 정보가 디지털매체 상에 넘쳐나고 있다. 하지만 우리나라의 현실은 정보의 중요성과 보안 유지를 고려하지 않고 정보의 확산에만 치중하고 있다. 또한 외국으로의 기술 유출이나 군사기밀 누설 등의 사건이 심심치 않게 일어나고 있는데, 이러한 현상은 보안의식이 해이된 결과이기도 하다.

지난해 발생한 7·7DDoS대란으로 인해 정보보호에 문제점이 대두된 바 있었고, 이에 대한 각종 대응책이 발표됐지만 금년에도 소규모 형태의 DDoS공격은 계속 되고 있으며, 또 다른 대규모 DDoS공격도 예고되고 있다.

무엇보다 작년 DDoS공격으로 인한 최대 피해액인 544억원은 2008년도 풍수해 피해액인 580억원에 육박했었다는 사실을 감안하면 국내 정보보안의 중요성은 무엇보다 시급하기 때문이다.

- 정보보안에 대한 개인 생각?

앞서 언급한 것처럼 정보시스템의 보안여부에 따라 시스템 작동불능에서부터 정보유출까지 발생할 수 있으며, 이 피해는 국가기관 기업 그리고 개인에 이르기까지 직접적인 피해를 줄 수 있다.

따라서 우리가 살고 있는 지식정보화사회에서 국가와 기업은 이러한 방대한 정보를 체계적으로 정리하고 관리하면서, 그 정보들이 안전하게 보호될 수 있도록 높은 수준의 보안을 지켜야 한다. 이러한 정보가 유출될 경우 개인정보유출부터 기업의 기밀이나 신기술 유출 등 산업스파이로 인한 피해 발생 등 개인 및 국가적인 손실로 이어질 수 있으며, 더 나아가 국가안보까지 위협받을 수 있는 부분이기 때문이다.

또한 지난 DDoS대란의 경험을 보더라도 좀비PC 등에 의한 감염 등에 대비, 개개인의 인터넷 사용자 또한 보안 관리에 각별히 주의해야 한다.

- 향후 정보보안에 대한 활동 계획이 있다면?

국정감사에서 지적했듯이, 정부부처 및 지방자치단체의 정보보호와 관련된 전문 장비나 인력이 상당히 부족한 것에 대해 상시국감 차원에서 어떤 식으로 보완 개선을 해나가는지에 대해 지속적으로 확인·점검을 펼쳐나가도록 하겠다.

아울러 현재까지는 정보보안 관련 입법 활동이 없었으나, 이번 정책자료집 발간을 계기로 해서 구체적인 계획을 갖고 정보보안 관련 입법 활동을 펼칠 계획이다.

- 마지막으로 덧붙여 줄 말씀?

정부기관은 민간 사기업과는 달리 국민들의 모든 정보를 보유하고 있기 때문에 이러한 정보보호에 대한 중요성은 아무리 강조해도 지나치지 않다. 따라서 국가기관은 보이는데 예산 및 인력 투입을 할 것이 아니라 보이지 않는 사이버공간에서 국민의 정보보호를 위해서도 많은 노력을 기울여야 할 것이다.

덧붙여 그동안은 법률의 사각지대에 놓여있던 민간 사기업체가 보유하고 있던 정보에 대해 많은 논란이 있었는데 이번 개인정보보호법이 행안위에서 통과됨으로써, 향후 본회의까지 절차가 남아있긴 하지만 이 법률이 통과되면 국가기관 뿐만 아니라 민간 기관에서 보유하고 있는 정보보호에 대해 소홀히 했을 경우 규제할 수 있는 법안이 마련돼 민간차원에서의 정보보호도 앞으로는 강화될 것으로 기대된다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>