보안산업 체질 개선 필요...국민들도 정보보호 마인드 가져야

[보안뉴스 오병민] 한국인터넷진흥원(이하 KISA)의 수장인 서종렬 원장이 취임 1년을 맞았다. 그는 1년간 조직의 통합을 체계화하고 진흥원을 능동적인 기관으로 변화시켰다는 평가를 얻고 있다. 그러나 앞으로 나주 이전이나 정규직 인력 충원 등 여러 과제를 안고 있다. 취임 1주년을 맞은 서종렬 원장의 이야기를 들어봤다.

지난 1년간 성과에 대해 설명한다면?

가장 큰 성과는 인터넷침해사고대응 능력이 향상됐다는 것을 들 수 있다. 이 같은 성과는 인터넷침해대응센터(KISC)를 업그레이드 하여 강화하고, 사이버 디도스 대피소 및 사이버치료체계를 구축하고, 전문인력(코드분석)을 영입하여, 침해사고대응능력을 크게 향상시킨데 따른 것이다. 또한 해킹 및 디도스 등 대형 사이버침해사고를 잘 방어했다고 생각한다. 3.4 디도스 사고 때 7.7에 비해 디도스 공격을 조기 차단하여 관계기관과 공조해 대응했다. 또한 118 상담서비스를 대표브랜드로 정착 및 확대했다.

현재 KISA 조직의 장단점을 설명한다면?

장점부터 이야기한다면, KISA는 인터넷의 순기능을 장려하고, 역기능을 예방 및 해소하는 업무를 하고 있으며, 또한 국제협력까지 유기적으로 연계할 수 있어, 큰 시너지 효과를 기대할 수 있다. 그리고 직원들이 젊은 편이라, 창의와 혁신의 조직문화를 만들 수 있고, 내부 커뮤니케이션이 활발하다는 점이다. 또한 외국기관과 달리 사이버보안, 개인정보보호, 스팸 등 정보보호관련 분야 전체를 동시에 다루고 있어, 원활하고 체계적인 정보보호 정책 수립 및 대응이 가능하다.

단점은 인터넷 정책, 윤리, 정보보호 등은 급격히 변하는데 시스템, 제도, 예산, 인력은 너무 제한적이다. 그러나 이런 장애요소들을 극복해나가 세계 최고의 인터넷 전문기관, 정보보호 전문기관이 되었으면 좋겠다.

KISA는 방송통신위원회와 행정안전부, 지식경제부의 많은 보안 관련 업무를 진행하고 있는데, 각 부처의 특성과 요청에 따른 마찰과 어려움이 따르지는 않는지?

KISA의 역할은 단순히, 정부를 지원하는 것이 아니라, 인터넷 및  정보보호와 관련하여 정부 정책을 개발하고 선도해 나가는 것이다. 각 부처의 특성과 요청이 각각 다른 성격일 수는 있으나, 국가 차원의 보안 강화와 국민들의 안전한 인터넷 이용이라는 최종 목적이 동일하다. 보안분야는 아무리 강조해도 지나치지 않고, 어떤 주체든 그 분야에서의 보안의 중요성을 인식하고 실천하는 것이 중요하다.

방통위는 민간부문 보안을, 행안부는 공공부문 보안을, 지경부는 지식정보 보안산업 육성을 각각 맡고 있는데 일부 업무 중복이 있을 수 있으나 KISA가 그 중심역할을 하며 중복문제를 잘 해결하고 있다.

보안분야 뿐만 아니라, 최근 아름다운 인터넷 세상을 만드는 캠페인을 범부처 차원에서 추진하고 있는 것도 중심이 되는 부처는 있지만 해당 부처에만 국한할 문제가 아니라 여러 분야에 걸쳐 인터넷 윤리와 인터넷 문화확산이 중요해졌기 때문이다.

나주 이전을 앞두고 있는데, 준비는 어느 정도 되고 있는지?

일단 지방이전에 대한 소요비용이 중요한데, 예산확보 방안에 대해 방송통신위원회 및 기획재정부와 협의 추진하고 있다. 사옥신축은 마스터 플랜과 재원확보 방안이 마련되면 건축 설계 및 건물공사를 추진할 계획이다.

사옥신축이 여의치 않을 경우, 임차청사로 이전하는 방안도 고려중이다. 임차청사로 이전시 신축청사와 동일수준으로 마련할 예정이다. 나주로 이주하는 직원들과 가족들이 이전지역에 조기정착 할 수 있도록 최대한 지원하는 방안을 강구해 나갈 계획이며, 스마트워크체계 구축도 고려중이다.

KISA는 인력적인 차원에서 정규직 확충과 비정규직 감소라는 과제가 있는데, 이에 대한 해결책이 있는지?

일단 인력 정원 제한 때문에, 정규직을 확충하는데 어려움이 있다. 비정규직 감소 과제를 해결하기 위해서는 정규직 TO를 늘려야 한다. 그러나 이 부분에 대해서는 정부와 어느 정도 공감대를 이루고 있다. 따라서 사이버 침해사고 대응, 개인정보보호 등과 같이 전문성이 요구되는 업무는 정부 차원에서 정규직으로 전환이 필요하다고 계속 어필하고 있다. 현재 방통위, 기재부와 인력 정원 증원의 필요성에 대해 협의를 진행하고 있다.

인력 증원을 위한 노력 끝에, 최근 개인정보보호법 시행과 관련, 30여명 규모의 인력증원이 확정됐다.

KISA와 같은 전문기관이 비정규직 인력으로 운영된다는 것은 앞뒤가 맞지 않는다. 기관의 경쟁력 제고, 전문성 제고 측면에서 꼭 해결이 필요한 사항이기 때문에 언론기관에서도 전문 인력 및 정규직 확충의 필요성에 대해 많이 도와주면 좋겠다.

국내 보안환경의 특징을 고려했을 때, 개선돼야할 점을 꼽는다면?

무엇보다, 우리나라 보안시장 규모는 1조1천억원(600억불 전세계 시장의 1.7%)이며, 150여개 보안업체 수준이 영세하다는 점이다. 대부분 150여개 보안업체 중 자본금 10억원, 종업원 30인 미만 중소 영세기업이 75%차지하고 있는 형편이다. 특히, 시장의 대부분이 공공부분이고(42%), 민간부분이 상대적으로 작기 때문이며 정보화 투자 시 정보보호에 대한 투자도 잘 이뤄지지 않다. 선진국에 비해 민간의 보안투자가 훨씬 적다는 것이다. 게다가 대기업 등 일반기업들이 정보보안 투자에 인색하며, 무료라는 인식과 끼워팔기 등으로 정보보호 투자가 미흡한 실정이다.

이로 인해, 정보보안 업체는 대기업의 하청업체로 전락되는 상황이며, 국내 150개 업체 중 매출액 200억 이상 업체가 11개에 불가하다. 또한, 해외진출을 위해서는 글로벌 업체와 경쟁해 이길 수 있는 기술력이 필요하나, 기술 전문화 및 R&D 투자가 미흡하다.

인력측면에서도 우수한 인력이 낮은 급여수준과 불안정한 미래로  정보보안업체 보다는 대우조건이 좋은 포털, SI 업체를 선호하는 현실이다.

그렇다면 보안 산업육성을 위해 어떤 방법이 있다고 보는지?

보안산업 육성을 위해 세 가지 방법을 생각해봤다. 우선 첫째로 보안제품 제값받기 문화정착으로 건전한 생태계 환경을 조성하는 것이다. ‘보안서비스는 무료다’라는 국내기업 인식이 바뀌어 한다. 그리고 보안투자를 비용으로 인식하는 잘못된 문화도 개선해야 한다.

둘째로는 기술이전활성화를 통해 원천기술개발의 위험부담을 최소화하는 것이다. 이스라엘 사례처럼, 우수인력에 대한 군복무 연계, 1인 창조기업 등 우수기술을 발굴해, 정부가 집중투자 할수 있는 환경을 조성하는 것이라고 볼 수 있다. 예를 들어, KISA같은 전문기관이 보유한 정보보호 원천기술을 기업에 이전해 적기에 제품을 시장에 내놓을 수 있도록 지원하는 것이다.

셋째로 국내기업의 해외진출을 적극 지원하는 방안을 찾을 수 있다. 물론 지금도 진행되고 있지만 더욱 필요하다는 의미다. 예를 들어, 업체연계 공동 마케팅이나 해외 조달정보제공 등 수출 멘토프로그램 신설하고 대기업의 해외진출시, 브랜드인지도 없는 중소기업도 패키지화해 수출을 유도하는 방법이 있다.

보안이 강조되고 있는데 내년에는 보안 전문기관으로서 어떤 역할을 강조하고, 내년 보안관련 대국민 홍보는 어디에 초점을 두고 계신지?

내년에는 스마트폰 사용확대를 고려해 모바일 보안을 강화하겠다. 최근 스마트폰 2천만명 시대를 맞았다. 올해에 이어 내년에는, 스마트폰, 태블릿 PC 등 다양한 모바일 기기의 악성코드·취약점으로 인한 침해사고 발생 가능성에 대해, 사전 대응 및 조치 능력을 강화하겠다.

글로벌 보안 위협과 악성코드 정보 공유, 사이버 공격 공동 대응 및 조사 시스템 구축, 사이버 보안 베스트 프랙티스 확립 및 공유, 인력 교류 및 글로벌 공동 캠페인 전개 등을 추진하는 세계기구의 설립이 필요하다. 그 일환으로 세계 사이버 공격에 효과적으로 대처할 수 있는 다자간 기구인 ┖사이버(Cyber) 세계보건기구(WHO)┖ 설립을 제안했다.

이외, 인터넷침해대응, 개인정보보호도 강화하겠다. 보안이 중요한 만큼 이용자들의 의식도 중요하기 때문에, 앞으로도 건전한 인터넷 윤리 문화를 만들기 위해 노력하겠다.

KISA가 기업 보안강화를 위해 기업들에게 어떤 것들을 지원해 주고 계신지?

지난 10월 19일부터 개인정보 기술지원센터를 개소하고 운영하고 있다. 이는 개인정보보호법 시행 이후 인력, 예산, 전문성 부족 등으로 인해 법적인 주요 의무조치 준수에 어려움을 겪고 있는 영세사업자의 개인정보보호 환경 개선을 지원하기 위한 것이다. 특히, 법적 의무조치사항인 내부관리계획 수립 방법 제공, 기술보호조치 방법 교육, 개인정보보호 컨설팅, 웹사이트 원격 취약점 점검, 개인정보보호 솔루션 보급 등을 지원한다. 그리고 보안 컴플라이언스와 밀접한 ISMS나 PIMS 인증을 지원하고 있으며, DDoS 공격에 대한 대응 환경을 갖추기 어려운 영세기업 및  비영리단체를 대상으로 사이버대피소를 운영하고 있다.

또한 정보보호 분야의 인력을 체계적으로 양성하기 위해 정보보호 일반 및 전문교육 운영, 고용계약형 석사과정 운영, 정보보호동아리 지원, 정보보호 기술 온라인 학습장, 지식정보보안 핵심 전문인력 양성 교육 프로그램을 제공하고 있다.

국민들에게 개인PC보안 강화를 위해 강조하고 싶은 말씀이 있으시다면?

국민들의 정보보호 마인드와 실천이 무엇보다 중요하다. “보안은 건강“이라는 생각으로, 인터넷 이용자 모두가 미리 대비하고 관리해야 한다. 그러기 위해서는 정품S/W를 사용이나 보안패치(업데이트)를 설치, 백신으로 자주 검사하도록 설정해 사용해야하고, 의심스러운 프로그램은 다운로드하거나 설치하지 말아야 한다. 특히 패스워드를 수시로 바꿔주어야 한다고 생각한다. KISA에서는 3개월마다 변경하길 권장하고 있다. 그리고 해킹이나 사이버침해 등에 대해 궁금한 점은 국번없이 118로 전화하거나 전용 사이트 보호나라(www.boho.or.kr)에 확인하면 된다.

내년 KISA가 중점적으로 추진하고자 하는 계획이 있다면?

KISA의 다짐을 실현하여 현실화시키겠다.

 

KISA의 다짐 - 우리는 세계 최고의 인터넷 전문기관, 정보보호 전문기관이 되겠습니다. - 우리는 국민 여러분께 가장 친근한 기관, 가장 신뢰받는 기관이 되겠습니다. - 우리는 창의와 혁신을 지향하고, 구성원들이 청렴하고 다함께 행복한 조직을 만들겠습니다.

 

앞으로도, 지속적으로 일하는 방식을 혁신적으로 개선하겠다. 창의적, 도전적인 기관이 되도록 마인드와 생각하는 방식을 바꾸겠다. 보수적인 생각을 바꾸기 위해선, 주어진 테두리에서 벗어나, 정답을 찾기 위해 다양하게 생각하는 발상의 전환이 필요하고, 주어진 일, 시키는 일만 하지 않고, 일하는 방식, 생각하는 방식을 적극적으로 개선하는 것이 필요하다. 직원들과의 소통을 통해 공감대를 얻고, 조직전체를 창의적인 학습조직으로 만들겠다.

단편적으로 추진해왔던 인터넷 윤리운동을 체계적이고, 실질적인 국민체감형 문화운동으로 확산하여, 건전한 인터넷 문화 사업을 더욱 가속화하겠다. 인터넷 상에서 허위사실 유포, 악성 댓글 같은 역기능을 선제적으로 해소하고, 아름다운 인터넷 문화 확산에 속도를 내겠다.

마지막으로 정보보호 역량을 높이고, 특히 모바일 분야 사이버 공격에 대한 대응력을 높이겠다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>