#서울메트로 등 공공기관은 지난해 7월 모바일오피스 도입에 착수했다. 통상 6개월이면 완료하는 프로젝트를 10개월이 다 되도록 끝내지 못하고 있다. 국가정보원이 모바일오피스 도입 시 적용하는 보안기준 확정을 미뤄왔기 때문이다.
#지난 3월 공공 부문 사용 클라우드컴퓨팅을 도입하려던 정부부처와 대학이 모두 중단했다. 국가정보원이 `각급 기관 보안관리 강화를 위한 보안대책`이라는 공문을 발송, 총 50여개 개인용 클라우드 서비스 이용을 금지했기 때문이다.
최근 정부부처와 공공기관 사이에서는 국가 정보보호 정책을 좌지우지하는 국가정보원에 불만이 높아지고 있다. 심지어 국가정보원이 행정안전부, 방송통신위원회 등 정보보호 정책을 마련하는 부처의 옥상옥으로 여겨지는 실정이다. 국가정보원의 지나친 보안정책은 국내 공공기관 정보화 및 정보보호산업 육성에 장애가 된다. 국가 정보보호 정책과 관련해 명확한 거버넌스를 마련해야 한다는 목소리가 높아지고 있다.
◇국정원 역할 축소, 행안부·방통위 공조 강화해야=정부 정보보호 정책은 행정안전부와 방송통신위원회가 나눠 맡고 있다. 행정안전부는 공공기관의 정보보호 적용 및 개인정보보호 준수 등 규제 측면이 강하다. 방송통신위원회는 정보보호산업 육성 관점에서 접근한다. 경찰청은 사이버수사대 중심으로 정보보호 범죄를 다룬다.
여기에 지난 2009년 7·7 분산서비스거부(DDoS)공격 사태 이후 국가정보원의 정보보호 정책 관여도 큰 폭으로 강화됐다. 당시 국가정보원은 국가 정보기관으로 `사이버 테러`에 적절하게 대처하지 못했다는 지적을 받자 정보보호 `컨트롤타워` 역할을 자처하고 나섰다. 지난해 농협 전산장애가 북한의 해킹 소행으로 드러나면서 국가정보원의 정보보호 컨트롤타워 역할은 더욱 확대됐다.
공공기관의 정보보호 정책을 수립하는 행정안전부는 국가정보원 눈치만 보고 있다. 행안부 관계자는 “국가정보원의 보안지침을 준수하지 않으면 시스템을 가동하지 못하는 예가 많다”면서 “그러나 보안지침이 제때 발표되지 못한 일이 많아 공공기관들이 난감해 한다”고 설명했다.
대표적인 사례가 공공기관이 모바일오피스사업에 적용하는 모바일디바이스관리(MDM) 지침이다. 당초 국가정보원은 지난해 10월 기준안을 지침으로 발표하기로 했으나 최근까지 미뤄져 왔다. 모바일오피스를 도입하는 공공기관들은 마냥 국가정보원 지침만 기다리고 있다. 이에 대해 국가정보원은 공식적으로는 보안지침을 발표하거나 보안정책에 적극 개입하지 않고 있다고 밝혔다.
한 정보보호 전문가는 “정보기관이 국가 정보보호 정책의 컨트롤타워 역할을 수행하는 것은 바람직하지 않다”면서 “행안부와 방통위 등의 정보보호 역할이 확대돼야 한다”고 강조했다.
서종렬 한국인터넷진흥원장은 “내부자 고객정보 유출, 해커에 의한 전산장애, DDoS 공격, 스턱스넷 전파 등 각종 정보보호 위협 요인으로부터 효과적으로 대응하기 위해 공조 대응이 중요하다”고 설명했다.
◇개인정보보호위원회, 역할 강화해야=현대캐피탈·SK커뮤니케이션즈 등 잇단 개인정보 유출로 인해 개인정보보호가 사회적 이슈로 대두됐다. 행안부, 방통위, 개인정보보호위원회, 국가정보화전략위원회 등 정부부처 및 위원회 조직이 개인정보보호 정책 마련과 실행에 적극 나선다. 그러나 이들 기관이 각기 정책을 마련, 수행하다 보니 중복되거나 사각지대가 생기는 등 문제가 많다.
개인정보보호 정책은 행안부가 주도적으로 마련, 실행하고 있다. 그러나 방통위도 방송통신망법 등에 개인정보보호 내용을 담고 있어 관련 정책을 쏟아내고 있다. 이 두 부처는 현 정부 출범 초기부터 정보보호 영역을 놓고 줄다리기를 해왔다.
실제로 정보보호 정책 실행기관인 한국인터넷진흥원은 초기 방통위와 행안부 두 부처가 관여해 왔다. 이후 한국인터넷진흥원의 정보보호 업무는 방통위가 맡는 것으로 정리됐다. 과거 개인정보보호 홈페이지를 별도 구축하는 것을 비롯해 웹사이트 악성코드 감염 점검계획도 별도로 추진했다.
행안부 관계자는 “정보보호 정책은 공공과 민간 구분 없이 하나의 부처에서 담당해야 연계 및 효과 창출이 수월하다”고 전했다.
지난해에는 대통령 직속 독립기구로 개인정보보호위원회도 출범했다. 그러나 현재까지도 위원회 내부의 전문가 부재 등 제 역할을 하지 못하는 것으로 평가하고 있다. 전문가들은 향후 개인정보보호위원회의 역할이 커질 것으로 기대하고 있다. 이를 기반으로 국가 개인정보보호위원회의 컨트롤타워 역할을 수행해야 한다는 것이다.
개인정보보호위원회는 최근 2012~2013년도 개인정보보호 시행계획(안)을 의결·확정했다. 부처별로 범정부 차원에서 개인정보보호 업무를 본격 추진할 수 있는 기반을 마련했다는 데 의의가 있다. 시행 계획에 따르면 각 부처에서는 개인정보 파일 전면 조사를 실시, 개인정보 보유목적, 보유기간, 수집근거 등을 분석한 후 관련사항을 정비해야 한다. 개인정보가 최소한으로 수집, 이용될 수 있도록 정보통신망법, 신용정보보호법, 의료법, 위치정보보호법 등 부처별 소관법령도 정비한다.
특별취재팀 gov@etnews.com
