한국CISO협회, 2017년 2월 정기포럼 개최
전자정부 정보보호 정책과 CISO 위상 강화 포함한 정보통신망법 개정안 논의

[보안뉴스 원병철 기자] 전자정부 도입 50주년을 맞아 전자정부의 정보보호 정책에 대한 심도 있는 논의를 나누는 자리가 마련됐다. 3년간 UN 평가 전자정부 분야 1위를 달성했던 대한민국. 정부는 여기서 한발 더 나아가 IT 기기 활용에 어려움을 겪는 노인이나 극빈층을 모두 아우를 수 있는 생활밀착형 전자정부 서비스 구현에 노력하고 있다. 이러한 서비스 구현에 앞서 선행되어야 할 것이 바로 보안이다.


한국CISO협회(회장 임종인)는 21일 ‘2월 정기포럼’을 개최하고 빠르게 변화하는 시대에 CISO가 나아가야할 방향과 이를 뒷받침할 정보를 공유하는 시간을 가졌다. 한국CISO협회 임종인 회장은 “언론에도 많이 소개됐지만, IBM의 인공지능 왓슨이 8초 만에 암 진단을 하는 등 전문의보다 빠르게 진단하는 모습을 봤다”면서 “특히, IBM은 올해부터 왓슨을 사이버 보안 업무에 투입시키기 위해 훈련하고 있다”고 설명했다.

또한, 임 회장은 “이처럼 세상은 빠르게 변화하고 있고, 사이버 보안에 대한 이슈도 커지고 있는 만큼 CISO의 역할이 날로 증대되고 있다”면서, “CISO들이 정보를 공유하고, 최신 트렌드를 함께 나누어 각 기업과 기관은 물론 국가에 도움이 되었으면 좋겠다”고 강조했다.

이어 인사말에 나선 미래창조과학부 송정수 정보보호정책관은 “국회에 정보통신망법 개정안이 상정된 상태인데, CISO를 두도록 하는 조건이 강화되고, 겸직금지 의무화에 자격조건을 두는 등 CISO의 중요성과 위상 강화를 반영한 조항이 추가됐다”면서 “어제 아시아나항공 해킹 사건도 있었지만, 사이버 보안의 중요성은 날로 커지고 있고, 그만큼 CISO의 역할이 중요해졌다고 본다”며 이 자리에 모인 CISO들이 다양한 모범사례를 만들어 줄 것을 당부했다.

Smart K-Land, 소외받는 사람 없는 전자정부 만들것
이날 첫 번째 강연자로 나선 행정자치부 전자정부국 정윤기 국장은 “대한민국 전자정부는 UN 평가에서 3년 연속 1위를 할 정도로 성숙했지만, 온라인 서비스를 중심으로 진행됐기에 정보 소외계층에게는 그간 양질의 서비스를 제공하기 어려웠다”면서 “이제는 IT에 익숙하지 않은 계층에게도 혜택을 부여할 수 있도록 정책을 마련할 것”이라고 말했다.

특히, 행정자치부는 공공 사물인터넷망(G-IoT Network)을 기반으로 ‘인공지능’과 ‘센서’를 활용하는 ‘Smart K-Land’ 계획을 밝혔다. 예를 들면, 혼자 사는 노인들이 움직임이 전혀 없으면 센서로 확인이 가능하도록 하거나, 도둑이 기승을 부리는 수확철에는 마을주민들의 차량에 센서를 설치해 저녁 9시 이후 센서가 없는 차량이 마을에 들어오면 알람을 울리게 해 도난을 방지할 수 있도록 하는 것 등이 좋은 활용사례가 될 수 있다는 얘기다.

정보보호와 관련해서는 관련부처와 소속 산하기관이 많은 기관 등에 사이버보안 부서나 팀을 지속적으로 신설하면서 사이버보안 전문 인력 증원도 함께 검토하고 있다고 정 국장은 밝혔다. 특히, 정보보호 분야에 ‘전문직 공무원 제도’를 도입해 관련 분야에서만 순환전보가 되도록 한다는 방침이다.

또한, 개인영상정보 보호와 관련해 ‘개인영상정보 보호법’을 제정하고, 최근 증가하는 IT 장비의 무분별한 개인정보 수집의 피해를 막기 위한 ‘자동처리장치에 의한 개인정보 침해방지 가이드라인’도 마련할 계획이라고 밝혔다.

일반적인 보안교육에도 인센티브 등 보상체계 만들어야
두 번째 강연에서는 한국행정연구원의 심우현 부연구위원이 ‘보안의 효과성 제고를 위한 교육방안 사례 연구’라는 내용으로 강연했다. 심 박사는 정보보안의 중요성은 모두 공감하지만 실제로 정보보호 예산이 없거나 1% 미만으로 책정한 기업이 90%가 넘는다면서 그 이유로 경제학의 기대효용이론을 적용했을 때 보안사고로 인한 예상 손실액이 매우 낮은 수준에 불과하기 때문이라고 설명했다.

하지만 발견되는 보안취약점에 비해 실제로 패치되는 경우는 매우 적으며, 실제 공격에 사용되는 보안취약점의 50%만 패치될 뿐, 나머지 50%는 그대로 방치된다는 게 조사결과 드러났다. 특히, 기업 내부에는 내부자 위협과 도덕적 해이 등 잔존위험도 남아 있기 때문에 이러한 문제들을 해결할 수 있는 방안으로 보안교육을 제시했다.


보통 기업들이 사내 보안교육을 할 때는 일반적인 보안교육과 전문적인 보안교육으로 나뉘어 교육하는데, 보안담당직원과 임원급에 시행하는 전문적인 보안교육의 경우 교육의 질이 높은 것은 물론, 교육 후 적절한 평가와 포상이 있어 성과가 높다. 하지만 전 직원을 대상으로 하는 일반적인 보안교육의 경우 별도의 보상체계가 없어 큰 성과를 거두지 못한다고 심 박사는 설명했다.

이러한 내용을 바탕으로 심 박사는 일반적인 보안교육에서도 직원들이 적극적인 의지를 보일 수 있도록 별도의 인센티브 방안을 연구할 필요성이 있다고 말했다. 직원들의 노력을 특정한 가치로 만들 수 있도록 기업이 노력해야 한다는 것. 이러한 노력이야 말로 정보보안의 잔존위험을 해소할 수 있는 최선의 방법이라고 심 박사는 강조했다.

한편, 이날 정기포럼에서는 정보통신망법 개정안 등 CISO의 역할이 강조되는 사회분위기가 조성되고 있는 만큼 한국CISO협회 회원들이 모범사례가 되자고 의기투합하는 모습을 볼 수 있었다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>