500개에 가까운 기업과 기관의 보안 책임자들이 참여하는 사단법인 한국침해사고대응협의회(CONCERT)는 국내 정보통신망에 대한 침해사고를 예방하고 침해사고 발생 시 피해 확산을 방지함으로써 정보통신망을 안전하게 운영하기 위해 설립됐다. CONCERT는 기업정보 보호 이슈 전망과 시큐리티 라운드 업 등을 비롯해 회원사 대상으로 다양한 정보 교류, 기술 공유 등 사업을 진행하면서 매년 말 외부 공개 행사 '해킹방지워크숍'을 진행한다.
매년 1500여명에 이르는 순수 정보보호 담당자들이 모이는 올해 23회째 행사는 12월로 예정돼 있다. 이 행사는 정보보호 '사용자의, 사용자에 의한, 사용자를 위한'이란 슬로건을 내걸고 진행하는 보안 콘퍼런스이다.
행사 특징 가운데 하나는 개회식 연단에 선 연사들이 대본 없이 본인의 정보보호 철학과 함께 평소에 하고 싶어한 얘기를 자연스럽게 전달하는 것이다. 설령 대본을 준비해 왔다 하더라도 분위기에 압도돼 대본을 보고 읽기가 난감할 정도다. 이 점이 오히려 '격의 없는 소통'이란 행사 시그니처로 유지되고 있음을 자부하고 있다.
그러나 연말 행사에서도 이런 전통이 계속 유지될 수 있을지 의문이다. 최근 과학기술정보통신부는 정보보호정책관을 정보네트워크정책관으로 변경하는 직제규칙 시행령을 입법예고한 바 있다. 최근 발생한 전화국 통신구 화재에 따른 네트워크 안전의 중요성에 대한 재인식에서 비롯된 차원임은 이해된다. 그러나 이것이 정보보호 기능 강화 또는 정보보호 담당 조직의 위상 제고를 위한다는 설명은 전혀 납득하기 어렵다.
조금만 되새겨 봐도 정보보호정책관을 폐지하고 네트워크정책관을 부활시키는 것이란, 즉 정보보호 기능을 강화한다고 선언하기 바로 이전 조직으로 회귀하는 것임을 '삼척동자'도 쉽게 알 수 있다. '5G+ 전략'에서 10대 핵심 산업의 하나로 정보보안을 포함시켜 놓은 나라, 심지어 최고 정보보호 책임자의 임명 의무화를 법으로 지정해 놓은 나라에서 10개나 되는 국·실장 직위에서 정보보호를 배제하는 것은 그야말로 모순이다.
사이버 안보와 관련 국가안보실 중심의 컨트롤타워가 작동하고 있다. 제2의 1·25와 7·7대란과 같은 사이버 사고에 대해 능동 대응 및 예방 노력을 기울이고 있다. 최근 정보기술(IT) 기반의 융합 사회가 가속화됨에 따라 중앙 부처에서 추진하는 스마트 제조·국방·에너지·교통·의료 등 다양한 분야에서 보안 중요성에 대한 인식은 나날이 커지고 있다. 그만큼 부처 간 긴밀한 협력은 더욱 강하게 요구되는 시점이다.
특히 민간 분야를 대상으로 한 정부의 역할은 기술 측면 외에도 정책과 제도 면에서 산적해 있다. 이에 따라 관련된 전 부처는 정보보호의 우선순위를 높여야 함은 물론 부처 간 협력도 어느 때보다 절실한 시점이다.
'함께 걸어 가면 멀리 간다'고 한 것처럼 정보보호 업무를 하는 부처 간에도 서로를 높여 주고 인정하는 분위기가 조성될 때 우리나라 정보보호 수준이 향상되고 모든 정보보호 담당자의 업무 환경도 개선될 수 있다. 이번 기회에 과기정통부가 민간 분야 정보보호 업무에 관해 적시에 부처들 사이에서 리더십을 발휘하는 위상을 확보할 수 있도록 협력하기를 바란다. 그래야만 어느 부처의 누구라도 연말에 있을 정보보호 담당자들의 축제인 해킹방지워크숍 행사에 초대받더라도 대본 없이 자신의 경험에서 나오는 소신과 철학을 떳떳하게 말할 수 있지 않을까. 정보보호 담당자들은 자신들과 같은 '정보보호'란 이름으로 정부도 함께 정보보호 현장에 있기를 원한다.
원유재 한국침해사고대응협의회 회장 yjwon@cnu.ac.kr
