[전문가기고]공공기관 전담 정보보호최고책임자(CISO) 의무화해야

지난 해 국내 공공기관 홈페이지를 대상으로 한 무차별적인 디도스(DDoS, 분산서비스거부) 공격이 있었다. 다행히 신속한 대응 조치로 직접적 피해는 없었지만, 일부 홈페이지의 접속 장애로 민원 처리가 지연되는 등 많은 불편이 발생하기도 했다. 정부는 당시 공격이 친러 성향의 해킹 그룹에 의한 것으로 추정된다고 밝혔다. 러시아-우크라이나, 이란-이스라엘 등 국가간 전쟁에서 사이버 공격이 전쟁 수단화되고 국가간 안보경쟁으로 가열되면서 사이버안보가 국가안보 문제로 인식되고 있다.

특히 사이버 공격으로 국민의 일상생활과 밀접한 주요 기반시설이 마비될 경우, 그 파급효과는 더 클 것으로 우려된다. 미국은 미국 전역의 전력·교통·수도·통신 등 핵심 기반시설에 대한 중국 배후 그룹의 해킹 시도가 2020년 이후 연평균 20% 이상 증가하고 있는 것으로 나타나 사이버보안 권고문을 발표하고 관련 규제를 강화하는 등 대응책 마련에 나서고 있다.

국제 정세의 변화와 우리나라의 지정학적 요건을 고려할 때, 앞으로 사이버 위협은 더욱 거세질 것으로 예상된다. 중앙정부와 공공기관의 보다 전문성 있는 사이버보안 역량 확보가 시급한 시점이다. 그러나 현재 공공분야의 정보보호 조직과 전문인력은 매우 미흡한 것이 사실이다.

일정 규모 이상 민간 기업은 최고정보보호책임자(CISO) 지정 및 정보보호관리체계(ISMS) 인증이 의무화 돼있으나, 정작 공공기관에는 이러한 의무 조항이 없다. 민간 CISO에 해당하는 정보보호책임관이 있는 기관은 주요정보통신기반시설을 관리하도록 지정된 일부 기관에 한정돼 있다.

공공기관의 정보보호책임관은 고도의 전문성과 업무에 대한 폭넓은 이해도가 필요하다. 인공지능(AI), 클라우드 서비스 등 최신 기술의 취약점을 악용한 사이버 공격에 대응하기 위해 끊임없이 진화하는 디지털 보안 기술에 대한 기본적 이해를 바탕으로 신속하고 효율적인 초기 대응이 가능하기 때문이다.

또, 정책 시행, 예산 편성, 인사·조직 등 업무 전반에 대한 경력도 요구된다. 정해진 법률과 절차에 의해 운영되는 공공부문의 특성상 새로운 사이버보안 전담 조직, 인력, 예산 등을 적절한 시기에 확보하기 위해서는 공공분야 경험과 이해도가 필수적이기 때문이다. 그러나 이마저도 인사 발령에 따라 형식적으로 지정돼 국가 차원의 사이버 보안 정책 수립이나 지원 등을 제대로 추진하는 데는 많은 한계가 있을 수 밖에 없다. 경험이 많고 전문적이면서 공공 행정조직에 대한 이해도가 높은 정보보호책임관인 CISO 배치가 우선돼야 한다.

정부에서도 각 부처의 주요정보통신기반시설 업무를 총괄하는 부처별 정보보호책임관의 책임과 전문성 강화하기 위한 제도적 기반 마련에 나서고 있다. 그러나 현재까지 정보보호 전담 조직이 있는 중앙행정기관은 소관 부처인 과학기술정보통신부뿐이며, 지자체 중에서는 지난해 정보보안과를 신설한 서울특별시가 유일한 것으로 알고 있다.

공공기관의 사이버 보안 대응 능력 강화를 위해선 모든 중앙정부는 물론 전국 지자체에 전문성 있는 정보보호책임관 또는 CISO를 두도록 하고, 이들을 중심으로 사이버 보안 조직이 구성돼야 한다. 그래야만 고도화되는 새로운 사이버 공격을 제대로 예방할 수 있을 것이며, 사이버 보안 정책 수립이나 시행도 적극적으로 추진할 수 있을 것이다.

공공기관 디도스 공격을 계기로, 새로운 사이버 위협에 대응할 수 있는 정보보안 전문 조직과 전담 CISO의 의무화 필요성이 부각됐다. AI시대 초래로 인한 더욱 교묘해지고 복잡해지고 첨단화 되는 새로운 사이버 안보 환경에 걸맞는 공공기관의 사이버 안보 역량 및 대응 체계를 갖추어 나가야 할 것이다.

박춘식 아주대 사이버보안학과 교수·前 국가보안기술연구소 소장 cspark14@hanmail.net