[특별인터뷰] 이중환 서귀포시장
2017년 정보보호산업 발전 우수기관 선정

[보안뉴스 김성미 기자] 제주특별자치도 서귀포시가 국내 정보보호산업 발전에 기여한 공로를 인정받아 한국정보보호산업협회(KISIA)로부터 ‘2017년도 정보보호산업 발전 우수기관’에 선정됐다.

서귀포시청의 모든 구성원이 정보보호의 중요성을 인식하고 지속적으로 정보보호관리체계 확립 강화에 노력한 결과다. 이런 노력 덕분인지 서귀포시는 지난 5월 둘째주 주말 일어난 글로벌 랜섬웨어 대란에도 안전을 확보할 수 있었다.

서귀포시의 정보보호산업 발전 우수기관 선정을 축하드립니다
이번 수상은 모든 구성원이 정보보호 인식 제고 및 역량 강화를 위해 자발적인 관심과 참여 등 지속적인 관리체계 확립에 노력을 기울인 결과입니다.

우리 시는 2015년 12월 정보보호산업 진흥에 관한 법률이 제정·시행됨에 따라 시에서 발주되는 정보보호 시스템 유지관리 용역사업 비용에 일반 유지보수비(장비도입가의 8~11%)와 별도로 보안성 지속 서비스에 대한 대가(장비도입가의 6~10%)를 반영했습니다.

이를 통해 보안업체는 제값을 받을 수 있고, 시는 급증하고 있는 사이버위협으로부터 신속하고 체계적이며 전문적인 보안관제 및 유지관리가 될 수 있도록 해 왔습니다.

이 결과 KISIA로부터 국내 공공분야 중 처음으로 2016년부터 법 제10조에 의한 정보보호 서비스 대가 산정 준수와 지급을 통해 국내 정보보호산업 발전에 기여한 점을 인정받아 정보보호산업 발전 우수기관으로 선정됐습니다.

앞으로도 서귀포시는 지자체로서의 막중한 책임감을 갖고 국민여러분께 편안하고 안전한 전자정부 대민서비스와 질 높은 공공정보 서비스를 제공할 수 있도록 투자와 노력을 지속하겠습니다.

서귀포시는 정보보호에 관심이 높은 지자체로 알려져 있지만 올 초에야 전담조직이 생겼습니다
최근 들어 각종 침해사고와 해킹 등으로 인해 보안 이슈가 주목받고 있습니다. 지자체의 정보보안 사고는 엄청난 국가적 피해를 일으킬 위험이 존재하기 때문에 정보보안의 책임과 역할이 더욱 강화되고 있습니다. 지자체로써 많은 개인정보를 보유하고 있고 정보보호에 모범을 보여야 하는데도 이를 전담하는 조직이 없어 안타까웠습니다.

이에 우리시는 지난해 7월에 조직을 개편하면서 정보화지원과 내에 정보보호 업무만을 전담할 수 있는 정보보호 담당을 신설해 전문인력 2명을 배치했습니다. 급속도로 증가하는 업무량에 비해 아직은 부족한 인력이지만, 보안팀이 구성된 후 자체적으로 보안관제상황실 운영과 찾아가는 정보보호 컨설팅 서비스 활동 등 다양한 활동을 벌여 효과적인 보안 수준 향상을 도모할 수 있을 것으로 기대하고 있습니다.

시장님이 생각하시는 정보보호에서 가장 중요한 점은 무엇입니까
정보보호에서 가장 중요한 것은 강력한 시스템과 규제가 아닙니다. 이것보다 중요한 것은 조직 구성원의 정보보호 마인드와 보안문화입니다. 전 직원이 자발적으로 개인정보의 소중함과 정보보호의 중요성을 알고 스스로 참여하고 변화하는 것이 무엇보다 중요합니다.

서귀포시청의 주요 임무는 지자체로서의 사회적 책임과 신뢰할 수 있는 대민 행정서비스의 제공입니다. 이런 업무 수행하는 과정에서 국민의 소중한 개인정보와 주요 정보를 다루는 경우가 빈번합니다.

자칫 한 번의 실수로 인해 보안사고가 발생하여 국가적인 손실과 신뢰도 하락 등의 위험 요소가 발생할 수 있습니다. 이에 서귀포시는 그동안 정보보호 관리체계를 수립해 조직 구성원의 개인정보보호 인식을 향상해 왔습니다.

정보보호 관리체계 수립은 서귀포시의 정보보호 핵심 키워드입니다. 이를 통해 지속적인 관리체계를 최적화하고 적극적이고 능동적인 정보보호 운영 및 활동을 가능하게 하고 있습니다.

시스템과 기술적 조치로만 한정되는 보안활동이 아닌 기술적·물리적·관리적 보안관리와 문화와 사람 중심이 결합한 전사적인 개인정보보호 업무의 큰 틀을 확립함으로써 더욱 더 최적화되고 실제적인 보안활동이 가능하도록 하는 데 최선을 다하고 있습니다.

올해는 어떤 정보보호 정책을 펼칠 계획이신가요
서귀포시는 해킹이나 개인정보 유출 사고 등 사이버 위협사고가 갈수록 급증함에 따라 전 구성원의 보안인식 제고를 도모해 안전하고 신뢰도 높은 대민서비스를 제공하고자 선도적인 보안활동을 전개하고 있습니다.

유기적이고 실질적인 체계적인 정보보호 업무의 큰 틀을 확립해 보다 더 최적화되고 실제적인 보안활동이 가능하도록 하려는 것이지요.

서귀포시는 2012년부터 최적화된 정보보호관리체계(ISMS)를 구축해 한국인터넷진흥원(KISA)로부터 정보보호관리체계(ISMS) 인증을 획득하는 등 보다 실제로 보안활동이 가능하도록 하고 있습니다. 2013년에는 기관의 보안관리 문제점 진단과 정보보호 수준 향상을 위해 전자정부 서비스 소프트웨어(SW) 보안 약점 진단 서비스 대상에 선정돼 개선에 나섰습니다.

또한, 전자정부 정보보호 컨설팅 대상 기관으로 대표 웹사이트와 모바일앱에 대한 SW 보안 약점을 진단하고 제거하는 한편, 외부 전문가를 통한 객관적인 대민서비스 등을 통한 보안 컨설팅에도 부단한 노력을 기울이고 있습니다.

특히, 급증하고 있는 사이버 위협으로부터 신속한 대응을 위해 자체적으로 ‘서귀포시 정보보안 관제 상황실’을 구축하고, 각종 보안장비를 보강 구축하고 보안 전문 인력 상주 등을 통해 비상대응체계 유지에 만전을 기하고 있습니다.

지난해 하반기부터는 모든 정보화사업 대상으로 사업단계별 정보보안 사전 점검제를 운영해 웹사이트 개발시 시큐어 코딩 적용 여부 점검 등을 자체적으로 수행해 안정적인 서비스를 제공하고 있습니다.

끝으로 대민 정보보호 사업 계획에 대해 말씀해 주시기 바랍니다
시민들의 의식제고를 위해 현장 맞춤형 개인정보보호 교육과 각종 캠페인 전개를 연중 실시할 방침입니다. 올해부터 시민들의 정보보호 인식을 바꾸고 생활 속 정보보호 실천과 습관을 유도하고자 시정 핵심 과제로 ‘시민과 함께 하는 정보보호 문화 확산 운동’을 선정했습니다.

이를 통해 서귀포시 개인정보지원센터를 활용하고, 찾아가는 정보보호 컨설팅 지원 서비스 제공, 찾아가는 시민 정보화교육과 병행한 현장 맞춤형 개인정보보호 교육 운영, 시민 정보보호 인식 제고 실천 수칙 캠페인 전개 등을 통한 시민들의 개인정보보호 역량 강화에도 나서려 합니다.

또한, 서귀포시 개인정보보호지원센터와 호남정보보호지원센터와 공동으로 지역 주민과 영세·중소기업, 협·단체 등을 대상으로 원격 웹사이트 보안 취약점 점검, 정보보호 수준 진단 및 개인정보보호 관련 법률 자문, 기술지원 등 현장 맞춤형 정보보호 컨설팅 서비스를 지원할 계획입니다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>