정보보안 분야의 총괄 감독기관이 필요한 이유
기업을 운영하는 데 있어 많은 어려움들이 있을 것이다. 어쩌면 기업 운영이란 이러한 어려움들을 어떻게 헤쳐나갈 것인지를 결정하는 과정인지도 모른다. 그 많은 어려움 중에 정보보안 분야의 아픔들을 꼽자면 여럿 있겠지만 기업들에게 현실적으로 느껴지는 아픈 현실 중 하나로 너무 많은 갑들을 모시고 있다는 점을 빼놓을 수 없다. 오죽하면 기업들이 영입한 보안전문가의 주요 업무 중 하나가 이 갑들에 대한 대응일 정도이다.
이 갑들이 누구인가 하면 정보보안과 밀접한 관련을 맺고 있는 행정기관 또는 공공기관들(이하 ‘감독기관’)이다. 대표적인 감독기관을 들자면 방송통신위원회, 과학기술정통부, 개인정보보호위원회, 금융위원회, 금융감독원, 국정원, 한국인터넷진흥원 정도를 들 수 있는데, 감독기관들은 기업들을 채근함으로써 기업의 정보보안 수준이 높아지는데 많은 공헌을 하였으나 반대로 기업들을 힘들게 하는 악역의 역할도 하고 있다.
정보보안과 관련해 관련 법규정에 의한 제재를 강하게 받는 기업이라면 대부분 인터넷 포털 서비스 업체, 게임업체, 은행/보험/증권, 쇼핑몰 등의 회사들이 대표적이다. 이들 기업들은 지금까지 해커들의 주요 공격 대상으로 IT침해사고를 당해온 주된 피해자들이며, 이들 기업들이 입은 피해는 기업에서 그치는 것이 아니고 관련 서비스를 제공받고 있던 국민들에게까지 피해가 돌아가게 된다. 따라서 이를 예방하기 위한 차원에서 감독기관들이 기업들에게 이런저런 요구를 하는 것은 결국은 국민을 보호하기 위한 행동으로 볼 수 있다.
여기까지만 보면 문제가 없다. 진짜 문제는 비슷한 목적을 가지고 기업들을 감독하고자 하는 감독기관이 여러 곳이다 보니 기업들이 이를 상대하느라 인적, 물적 자원을 낭비하게 되고 심적으로도 지치게 된다는 것이다. 기업에 따라 차이가 있지만 적게는 2곳, 많은 곳은 4~5곳의 감독기관이 정보보안과 관련되어 갑의 위치를 가지고 있다. 평시에도 매년 수시로 이루어지는 감독기관들의 요청에 대응하고 있지만, IT침해사고라도 터지게 되면 사고처리보다도 감독기관들의 요구사항 처리가 주 작업이 되는 주객전도의 상황도 생기게 된다.
동종업계에서 IT침해사고가 터지는 경우에도 마찬가지다. 갑작스럽게 날아온 감독기관들의 요구에 부응하느라 부랴부랴 자료를 만들고 제출하는 작업에 보안 전문인력들이 매달리게 된다. 대체로 비슷한 요구사항이지만 감독기관별로 원하는 형태가 다를 수 있으므로 문서의 형태에 맞추어 내용을 편집하는 것도 큰 작업이다.
이런 문제가 생기는 근본적인 원인은 정보보안을 총괄할 감독기관이 없기 때문이다. 현재는 정보보안과 관련해 국가적 차원에서의 관리 권한들이 여러 행정기관에 분산, 배정돼 있다. 각 권한들 중 많은 부분이 상호 교집합으로 존재하며, 이 영역에 대해 행정기관들이 서로 주도권을 다투는 형국이다. 고래싸움에 새우등 터진다고 감독기관 간 몸싸움에 애꿎은 기업들이 피해를 보는 셈이다. 게다가 기업에만 그치지 않고 공공기관들까지도 동일한 문제로 인해 속앓이를 하고 있는 상황이다.
최근에는 이러한 문제점을 해결하고자 개인정보와 관련되어서는 개인정보보호위원회를 신설하여 총괄기관으로서의 역할을 맡도록 하는 등 해결을 위한 노력이 이루어지고 있다. 그러나 정보보안의 영역과 개인정보보안의 영역이 서로 분리되어 관리될 수 있는 것인지, 개인정보보호위원회를 신설하여 개인정보에 대해서만 총괄토록 하는 것이 옳은 것인지에 대한 논쟁이 아직도 계속되고 있는 상황임을 고려하면 진정한 총괄기관의 탄생은 아직 요원하다.
IT침해사고는 발생하지 않아야 할 사고이지만 발생한 경우 신속한 대처가 무엇보다도 중요하다. 신속한 대처를 위해서는 가장 중요한 요소가 통일된 지휘체계의 마련이다. 지금 우리 정부의 정보보안 지휘체계는 통일되어 있지 못하다. 이러한 불확실한 체계에서 서로 권한은 강화하고 책임은 지지 않으려는 모습은 어찌 보면 당연한 결과일 것이다. 이래저래 기업으로서는 속이 타들어갈 뿐이다.