[사설]정보보호 정책 새 틀 짜자

　한국정보보호진흥원(KISA)이 오늘로 창립 10주년을 맞았다. 정보화촉진기본법을 근거로 1996년 설립된 한국정보보호센터가 KISA의 모태다. 센터에서 지금처럼 진흥원으로 확대 개편된 것은 지난 2001년 제정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의거한 것이다.

　돌이켜 보면 KISA의 지난 10년은 우리나라 정보화 발전과 궤적을 같이하는 영광과 질곡의 역사였다. 정부 주도의 국가정보화 사업으로 가장 짧은 기간에 세계 최고 수준의 정보화 인프라, PC 보급률, 초고속인터넷 가입자 수, 인터넷 활용률을 달성하는 데 기본 토대가 되는 정보보호 환경 조성을 담당해 왔다. 정보보호의 대중화·보편화·생활화라는 기치로 정보화로 인한 혜택을 편리하고 편안하게 이용할 수 있는 환경을 조성함으로써 민간 분야 정보보호전문기관으로 자리매김을 한 것이다.

　그러나 이 같은 영광의 뒤안에 많은 그림자가 있는 것 또한 부인할 수 없는 KISA의 발자취다. KISA의 노력에도 불구하고 우리의 정보보호 환경은 높아진 정보화 수준을 따라가지 못하고 있는 게 현실이다. 국가전산망이 걸핏하면 해외 해커들에게 뚫리고 있다. 국가기관의 홈페이지에는 국민의 신상정보가 버젓이 실리고 심지어 군사기밀자료까지 공개되는 어처구니 없는 일이 일어나고 있다. 기업에서 고객 정보나 기술정보가 유출되는 것도 한두 번이 아니다. 고객들로부터 수집한 수십, 수백만건의 개인정보를 단돈 몇 푼에 사고 파는 일도 비일비재하다. 지난해 우리는 세계 최고 수준이라고 자랑하던 전자정부시스템에서 민원서류가 위변조되는 사태를 맞기도 했다. 최근에는 리니지게임에서 수많은 국민의 개인정보가 도용돼 모두 불안에 떨어야만 했다.

　우리 정보보호 수준이 이처럼 취약한 것은 보안기술이 발빠른 해커나 바이러스 같은 침입기술을 미처 따라잡지 못한 것도 무시할 수 없는 요인이기는 하다. 하지만 열 명의 경찰이 한 명의 도둑을 못 지키는 게 세상 이치다. 도둑과 마찬가지로 침입 역시 예방과 노력으로 줄일 수는 있어도 완벽하게 차단할 수는 없다. 그만큼 좀더 근본적인 문제점은 기술이 뒤졌다기보다 정보보호 인식이 정보화 수준에 비해 뒤떨어져 있는 점이라고 보는 게 옳다.

　지난 수십년간 우리는 국가안보 외에는 정보보호에 대한 인식과 경각심을 가지지 못했던 게 사실이다. 국가안보를 담당하는 국가정보원을 제외하고는 유일하다시피한 정보보호 기관인 KISA도 정보통신망만을 대상으로 삼아 왔다. 따지고 보면 지금까지 발생한 대부분의 정보보호 관련 사고는 관련 업무 담당자는 물론이고 조직 전체의 안이한 정보보호 인식, 또 예방할 수 있는 내부시스템과 사후 대처요령이 미비한 탓이다. 민원서류의 위변조나 개인정보 도용, 기술 및 국가기밀 유출은 모두 기술적 문제에 기인한 것이라기보다 정보보호에 대한 인식과 이를 예방하거나 사후 대처할 수 있는 장치 미흡 때문에 일어났다.

　KISA가 뒤늦게나마 정보보호 인식 제고를 위한 교육과 정보보호관리체계 인증 등 종합대책 마련에 나서고 있어 다행이지만 이마저도 그 대상이 ‘정보통신망 이용’에 국한돼 한계가 있는 실정이다. 따라서 국가, 기업, 국민 개개인 등 모든 경제 주체를 관통하는 동시에 기술에서부터 인식과 제도 등을 통합해 입체적이고도 하이브리드적인 방식으로 펼칠 수 있도록 정보보호 정책의 틀을 하루빨리 바꾸어야 한다. KISA가 창립 10주년을 맞아 ‘세계적 정보보호 선도기관’으로 발돋움하는 비전을 발표한 것에 우리가 주목하는 것도 이 때문이다. KISA는 이번에 허약한 우리의 정보보호 기반을 반성하고 유비쿼터스 시대로 힘차게 내딛는 새로운 계기를 마련해야 한다.