컨텐츠로 건너뛰기
검색
디지털데일리 언론사 이미지

[전문가기고] 정보보호 새 전환점 : 정부 종합대책과 산업 실행과제

디지털데일리 조영철 한국정보보호산업협회 회장
원문보기

[전문가기고] 정보보호 새 전환점 : 정부 종합대책과 산업 실행과제

속보
코스피, 4900선 재탈환…상승 전환

우리나라는 2003년 1.25 인터넷 대란, 2009년 7.7 디도스, 2011년 싸이월드 개인정보 유출 등 역사에 기록될 만한 사이버 해킹 사고를 겪어왔다. 2025년은 과거 사고들과 비교해도 개인과 국가에 미친 피해가 가장 컸던 해로 기록될 가능성이 크다. 통신사 해킹, 예스24·SGI신용정보 등 민간 랜섬웨어 피해, 롯데카드 등 개인정보 침해, 주요 정부기관 침해사고까지 연쇄적으로 발생하며 우리 사회 보안 수준과 인식의 구조적 취약성이 드러났다.

지난주 정부가 발표한 범부처 정보보호 종합대책은 이 같은 시급성을 반영해 단기적 대응과 중장기적 구조개선을 함께 담았다는 점에서 의미가 있다. 아직 해소해야 할 정보보호 분야의 난제가 산적해 있지만, 현재 시급한 상황에서 현장의 목소리를 반영해 현실적이고 실효적인 수단을 제시했다는 점은 분명 환영할 만하다.

정보보호산업의 가장 큰 걸림돌은 '보안에 대한 예산이 비용이 아닌 투자'로 인식 시키는 것이었다. 이번 대책을 통해서 공공기관의 약 1600개의 IT 시스템에 대한 보안 취약점 점검이 진행된다. 통신사의 경우 불시 점검을 추진하며 정보보호관리체계인증(ISMS) 등 사후 관리를 강화할 예정이다. 그리고 정보보호 공시대상을 666개사에서 2700여개사로 확대한다고 한다.

정보보호최고책임자(CISO)가 아니라 최고경영자(CEO)의 보안책임 원칙을 법령상 명문화하는 것 또한 꼭 필요한 일이었다. 이를 통해 기업이나 기관이 CEO레벨에서 보안을 경영의 중요한 지표로 인지할 수 있도록 하고, 실질적인 투자로 연결할 수 있다. 결국 기업과 정부는 보안에 대한 투자 없이 살아남을 수 없다는 문명의 인식이 바뀌어야 한다. 이와 더불어 확실한 조치를 위해서는 향후 강력한 제도와 정보보호망법 등 개정이 병행돼야 한다.

'보안극장(security theater)'이라는 말처럼 단순 보여주기식 보안에서 실질적 보안 강화 측면으로 기본 방향을 마련했다는 점에도 의의가 있다. 이번 대책은 일회성 형식적 보안 점검으로는 한계가 분명하기 때문에 실제 위험을 낮추기 위해 자산관리부터 체계화된 보안 운영과 지속적인 성능 개선을 목표로 하고 있다.

결국 기본으로 돌아가는 정책이다. 공공 기관과 민간 기업은 취약점 탐지와 모의 대응 훈련을 상시화하고, 현장 중심 점검을 정례화함과 동시에 실질적 목표를 '감점을 피하는 형식적 준수'에서 '가점을 얻는 성과 기반 투자'로 전환하도록 해야 할 것이다. 이러기 위해서 정부는 해당 기업이 정책을 잘 따를 때는 물론, 인센티브 정책과 정책을 잘 따르지 않을 때 패널티 정책을 명확히 할 필요가 있다.


이번 대책에서 눈에 띄는 또다른 지점은 공공 부문의 투자와 인력 강화다. 공공 분야 정보보호 예산을 일정 수준 이상으로 확보하고 정부 정보보호 책임관 직급을 실장급으로 상향하며 공공기관 경영평가에서 사이버보안 배점을 0.25점에서 0.5점으로 높인다. 공공이 선도해 예산과 권한, 평가지표를 동시에 정렬함으로써 보안을 조직 핵심과제로 끌어올리겠다는 신호를 보낸다.

다만 예산 확충만으로는 효과가 제한적이므로 고질적 구조를 함께 개선해야 할 것이다. 정보보호 서비스의 제값받기를 정착시키고, 공공 조달 시장의 최저가 낙찰 관행을 개선해야 한다. 즉 가격 중심의 경쟁이 품질 저하와 인력 이탈을 낳는 악순환을 끊어야 경쟁력 있는 서비스와 제품이 성장하기 때문이다. 이를 위해 성능·보안효과·유지관리 역량을 반영한 평가 기준과 다년도 계약, 성과연동 보상 등을 병행해야 할 것이다.

이번 종합대책은 정보보호산업을 국가 전략산업으로 육성하겠다는 의지도 담고 있다. 차세대 AI 보안기업 육성과 서비스 기업 저변 확대를 넘어, 단계별 로드맵과 과감한 예산 확보가 필요할 것으로 예상된다. 신규 화이트해커 양성과 더불어 현업 종사자에 대한 체계적 역량 강화, 경력 경로 관리, 재교육 프로그램을 지속적으로 운영해 인력의 질적 내구성을 높인다는 전략은 정보보호 산업에도 많은 도움이 될 것이다.


관건은 실행력이다. 종합 대책이 발표 후 1~2년 내 흐지부지되면 위험은 오히려 커진다. 공공과 민간 모두 투자 확대를 통해 훈련된 인력과 기술이 산업 내부에서 선순환하도록 만들고 기업이 보안을 비용이 아닌 성장 인프라로 인식하도록 유도해야 한다. 그럴 때 정보보호산업은 국가 기반을 지키는 필수 인프라이자 경쟁력 있는 수출산업으로 도약할 수 있을 것이다.

이번 대책 발표가 이번 한 번에 그치지 않고 중장기 전략과 연동된 구체적 실행계획을 주기적으로 제시·점검하는 거버넌스까지 완성해 대한민국이 더욱 안전하고 신뢰할 수 있는 디지털 환경을 구축하기를 바란다.

<기고와 칼럼은 본지 편집 방향과 무관합니다.>

조영철 한국정보보호산업협회 회장

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.