"공공 부문, CISO 등 보안 전담조직 마련돼야"

[아이뉴스24 최은정 기자] 최근 공공기관을 타깃으로 한 사이버 보안 문제가 부각되면서, 정부부처·공공기관 등에 보안 전담 조직이 필요하다는 주장이 다시 고개를 들고 있다.

19일 보안 업계 및 학계에서는 민간 분야에 최고정보보호책임자(CISO) 지정 제도 등이 마련돼 있는 것처럼 공공 부문에도 관련 보안 대책이 필요하다는 의견이 힘을 얻고 있다.

최근 공공 부문을 대상으로 한 사이버 공격은 매해 늘어나는 추세다.

실제로 지난 4일 박완주 의원(더불어민주당)이 한국지역정보개발원으로부터 받은 국정감사 자료로 받은 자료에 따르면, 지자체를 대상으로 한 해킹 시도는 5년새 2.5배가 증가한 것으로 나타났다.

특히 해킹 시도 건수는 지난 2015년 8천797건, 2016년 1만1천433건, 2017년 1만3천192건, 2018년 1만8천566건, 지난해 2만2천219건을 기록했다. 한국지역정보개발원은 17개 시도 및 226개 시·군·구 정보시스템에 대한 사이버 위협을 실시간으로 관제하고 있다.

이 가운데 업계에서는 민간에서 유효한 CISO 제도 등이 정부부처·공공기관에 적용돼야 한다는 주장이 제기되고 있다.

이동범 한국정보보호산업협회(KISIA) 협회장은 "민간 부문은 CISO 지정을 의무화하고, 정보보고 공시 제도를 강화하는 제도·규제를 만들어 가고 있다"며 "반면 국민 개인정보, 민감 정보를 많이 보유하고 있는 정부 기관들의 경우 정보보보호를 전담할 조직 자체가 없는 부처들도 있다"고 지적했다.

이어 "정보보호를 책임질 수 있는 조직이 정부 기관 내에 필요하다"고 말했다.

염흥열 순천향대 정보보호학과 교수 역시 "정부 자산, 기밀 정보 등을 다루고 있는 외교부, 국방부, 행안부 등은 전담 CISO를 지정하거나 관련 조직 기능을 강화해야 할 것으로 보인다"고 말했다.

염 교수에 따르면 지난 2014년 한수원 해킹 사건 이후 에너지 분야 정부 산하기관에는 CISO를 두고 있다. 그는 "문제는 의료 등 나머지 부문 기관"이라며 "전담 CISO가 필요하다"고 강조했다.

일각에서는 공공 부문에서 단순히 CISO를 의무화하는 것보다 실질적인 지원책이 마련돼야 한다는 의견도 있다.

이해원 국립목포대 교수 겸 변호사는 "보안 전담 인력·부서는 기관의 주 업무가 아닌 지원 업무여서 위상이 낮고 대체로 기관장의 관심도 낮다"며 "CISO를 의무화한다고 해서 해결될 문제는 아니고 그에 따른 지위·조직·인력·예산을 지원해줘야 할 것"이라고 말했다.

최은정 기자의 다른 기사 보기

• CISO 겸직제한, 연말까지 계도기간…내년부터 과태료

• 장석영 과기정통부 2차관 "CISO 경험 공유해야"