<제구실 못하는 한국정보보호센터>하-거듭나야 한다

한국정보보호센터(KISA)는 국가적인 차원에서 종합 대책을 시급히 마련하고 정보보호 업무를 종합적이고 체계적으로 추진하기 위해 「정보화촉진기본법(제14조)」에 의해 지난 96년 4월에 설립됐다. 정보화촉진기본법에 KISA의 역할은 「건전한 정보통신 질서 확립과 정보의 안전한 유통을 위한 정부의 시책」을 추진하는 것으로 명시돼 있다.

이같은 취지로 설립된 KISA가 최근 활발하게 진행하고 있는 것은 정보보호 업계와 이해가 얽혀 있는 침입차단시스템(방화벽)이나 침입탐지시스템(IDS) 등의 평가인증 사업이다. 업계는 KISA는 이같은 평가인증 사업을 통해 알게 모르게 시장에 개입해 있다고 보고 있다.

때문에 업계에서는 「KISA는 정체성을 찾아야 한다」는 목소리가 높다. 지금까지 KISA는 국가 정보보호를 위한 기관과 민간 현업을 위한 기관 사이에서 애매하게 맴돌고 있었다는 이야기다.

정보보호 업계는 KISA가 본연의 정체성을 찾기 위해서는 민간 현업 분야에서 과감하게 손을 떼고 국가 차원의 정보보호 전략을 수립하고 수행해 나가야 한다는 데 입을 모은다. 이는 KISA가 방화벽이나 IDS 등의 인허가를 관장하는 기관이기보다는 미국 등 선진국처럼 국가의 정보보호 전략 등 큰 그림을 그리는 본연의 역할에 충실해야 한다는 지적이다.

최근에는 중국을 비롯한 러시아, 일본, 이라크 등 세계 10여개 국가들이 상당한 수준의 「사이버 전쟁」 능력을 개발중인 것으로 알려졌다. 특히 이들 나라는 정부 또는 대리인들이 정적과 비우호적인 인접국에 대한 공격, 무역정보 수집 및 전면적인 전쟁 준비에 인터넷을 이용하고 있다.

요즘에는 해커가 해킹을 통해 상대국의 기밀이나 기업 기밀을 훔쳐내거나 네트워크를 교란시키는 과거의 첩보원 역할을 훌륭히 해내고 있는 상황이고 보면 남북 대치라는 특수한 상태가 지속되고 있는 국내에서도 정부 차원의 정보보호 대책 수립이 시급한 상황이다.

따라서 보안 업계가 바라는 KISA의 모습은 미국의 국가컴퓨터안전국(NCSC)이나 독일의 GISA 등과 같이 대규모 국가 프로젝트의 기획과 수행을 담당하고 정보보호 전략의 종합적 비전을 제시할 수 있는 「국가 전략적 차원의 정보보호」에 관한 정책 연구 및 과제를 수행하는 기관이다.

이를 위해서는 KISA에서 추진하고 있는 각종 평가인증 사업 등은 별도의 작은 기구를 만들어 그쪽으로 이양하고 국가 차원의 정보보호 프로젝트를 수행하는 데 힘을 모아야 한다는 의견이 지배적이다.

업계의 한 관계자는 『KISA는 국가 정보보호의 정책적 부분을 설정하고 연구하는 전문 기관이 되기 위해서라도 정보보호 관련 프로젝트를 추진중인 국가정보원, 경찰청 사이버테러 대응센터, 한국전자통신연구원(ETRI), 국가보안기술연구소, 국방과학연구소 등을 묶어내 국가적인 차원으로 공동 대응할 수 있는 통일된 창구 역할을 해야 한다』고 주장한다.

정부가 국가적인 차원에서 정보보호 업무를 종합적이고 체계적으로 추진하기 위해 설립한 KISA라면 마땅히 관련 기구를 엮어주는 국가보안 전략 기관의 역할을 수행해야 한다는 해석이다.

하지만 일개 정부부처 산하기관이 그 많은 부처와 관련된 각종 사안들을 책임지고 수행하기를 바라는 것은 희망사항일 뿐이라는 데 보안업계 관계자들은 입을 모은다.

이같은 관점에서 보면 KISA를 범정부 차원에서 새틀을 짜야 한다고 주장하는 정보보호 업계의 견해도 설득력 있게 들린다.

<주문정기자 mjjoo@etnews.co.kr>