새해가 밝으면 거창한 계획들을 세운다. 마음과 달리 몸이 따르지 않는다. 중도에 포기한다. 작심삼일이다.
정부 사이버보안 정책도 마찬가지다. 대형 보안사고가 터질 때마다 정부는 대책을 내놨다. 종합대책, 마스터플랜 등 이름도 거창하다. 작심삼일로 전락한 정책은 없을까.
2009년 7·7 DDoS 공격 침해사고 후 ‘국가 사이버위기 종합대책’이 수립됐다. 2011년 3·4 DDoS 공격 침해사고 당시 ‘국가 사이버안보 마스터플랜’이 마련됐다. 2013년 3·20, 6·25 사이버테러가 연이어 발생했을 때 ‘국가 사이버안보 종합대책’이 나왔다. 지난해 1월 신용카드 3사 대규모 개인정보 유출 사고 발생 후 정부는 ‘개인정보보호 정상화 대책’을 내놨다. 지난 4월 말 정부는 ‘K-ICT 시큐리티 발전전략’을 세웠다.
2009년부터 2015년까지 정부 보안정책이 줄줄이 나왔다. 이름도 비슷하다. 대형 사이버사고 후 각 분야 전문가는 정부 대책반에 소집된다. 이후 나오는 대책은 나올 때마다 비슷하다. 매번 정보보호 중요성을 강조한다. 선제적 예방을 위한 투자와 신속한 대응을 강조한다. 하지만 우리 사이버안보 태세는 크게 달라진 게 없다.
주요 내용은 사이버위기 대응 컨트롤타워 강화와 인력양성, 정보보호 예산과 인력 확대 등이다. 정보보호 솔루션 제값 주기 문화 정착은 단골로 등장하는 정책이다. 제대로 지켜진 적이 없다. 대형 사건이 터질 때마다 컨트롤타워 부재가 지적됐다. 예산부족 문제는 한두 번 지적된 문제가 아니다. 최근 6년간 내놓은 계획이 얼마나 실행했는지 돌아봐야 한다.
최근 미래부가 발표한 K-ICT 시큐리티 전략은 2019년까지 미래 인터넷 정보보호를 위한 큰 그림을 그렸다. 사물인터넷(IoT)과 물리제어시스템(ICS) 등 다양한 분야 연구개발과 정보보호 산업 생태계 선순환 구조 마련 등을 포괄한다. 이 전략이 실행되면 바로 우리가 사이버보안 강국이 될 수 있을 듯하다.
매번 사고 때마다 정부는 발표용 대책 마련에 바쁘다. 정권이 바뀌고 장차관이 바뀌면 또 대책을 내놓는다. 대책을 마련하는 게 중요한 것이 아니다. 얼마나 지키고 있는지 점검하고 실행하는 게 더 중요하다.
김인순기자 insoon@etnews.com
