<시리즈> 안기부 보안지침과 정보보안산업 육성 (2)

보안지침의 허와 실

최소한 정보보호에 관해서는 안기부의 「국가 전산보안업무 기본지침」(이하 보안지침)은 「전가의 보도」라는 게 일반적인 평가다. 신성한 국가안보를 위해 소위 공공기관으로 분류되는 곳이라면 모두가 지켜야 하는 지침이기 때문이다. 하지만 보안지침이 적용되는 공공기관의 범위가 국가안보와 밀접한 연관이 없는 분야까지 포괄적으로 규정, 각급 기관의 자율적인 정보화 및 정보보호 정책수립을 가로막고 있다는 지적 또한 함께 받고 있다.

특히 국민들의 기본적인 알 권리를 보장한다는 취지에서 공공기관의 「정보공개법」도 올해 처음 시행하고 있는 마당에 공공기관 정보에 대한 포괄적인 규제는 정책당국의 일관성에 의구심을 더할 뿐이라는 게 전문가들의 설명이다.

◇지침의 주요내용=안기부의 보안지침은 「국가안전기획부법」에 의해 보안업무에 필요한 사항을 정하고 있는 「안기부 정보 및 보안업무 기획, 조정 규정」(대통령령)에 바탕을 두고 있다. 논란이 되고 있는 부분은 우선 33조 2항에서 규정하고 있는 안기부장의 보안성 검토대상 업무. 여기에는 △전산실 또는 전산망을 설치 운영할 때 △외부기관과 연동되는 전산망을 신, 증설할 때 △전산보안업무 규정, 지침을 제정 또는 개정할 때 △전산보안시스템을 운용할 때 △전산관련 업무를 외부에 용역의뢰할 때(컨설팅 포함) 등이 해당한다.

이와 함께 26조 1항에서 규정하고 있는 「2급 비밀 이하 내용을 소통하고자 할 때에는 안기부장 또는 안기부장이 인가한 기관에 요청하여 지원받은 암호 프로그램을 사용해야 한다」는 내용도 핵심적인 규제사항이다.

지침의 적용범위=보안지침 내에는 적용대상 기관에 대한 구체적인 명시가 없으나 「공공성」이 있는 모든 기관에 적용되고 있는 실정이다. 이와 관련, 지난해 개정된 「전산망 보급확장과 이용촉진에 관한 법률 시행령」을 보면 「국가 또는 지자체가 투자 또는 출연한 법인 및 단체」를 「공공단체」로 규정하고 있다. 민간기업 가운데 정부 지분이 한푼이라도 들어간 기관이라면 지침의 적용을 받는 공공기관이 되는 셈이다.

지침의 문제점=일선 전산망 운영자들은 우선 33조 2항에서 규정하고 있는 보안성 검토대상 전산업무가 국가안보와 직결된 문제가 아닌데도 불구하고 안기부의 규제를 받아야 한다는 데 대해 크게 반발하고 있다. 공공기관의 일반적인 전산업무에 대해 일일이 안기부의 규제를 받음으로써 해당기관의 정보화 및 정보보호 노력 자체를 위축시킬 수도 있다는 설명이다. 특히 최근 들어서는 업무효율성 향상과 비용절감을 위해 전산분야의 아웃소싱이 각광받고 있다는 점을 감안할 때 모범을 보여야 할 공공기관 스스로가 이를 회피하는 명분도 제공한다는 게 업계의 시각이다.

두번째로 전문가들이 지적하는 문제점은 26조 1항의 암호관련 규제사항이다. 「안기부 보안업무 규정」에 따르면 2급 비밀은 「누설될 경우 국가안보에 막대한 지장을 초래할 우려가 있는 정보」로 제한돼 있다. 하지만 공공기관의 일반 업무정보는 물론 심지어 금융기관 등에 유통되는 개인의 신용정보마저 암호규제를 받고 있는 실정이다.

극도의 보안성을 요구하는 금융기관 등에 이같은 암호규제를 가함으로써 현재 국내 금융기관에는 상용 암호제품의 도입이 제한돼 한마디로 전산망이 「벌거벗은」 상태라고 전문가들은 지적한다. 금융권 전산관계자들은 이같은 안기부의 규제가 민간부문에도 관행으로 굳어버린 게 아니냐는 우려를 나타내고 있다.

<서한기자>