[전문가기고] 질책에 의한 보안보다 기업의 자율과 책임 강화 보안으로

박춘식 아주대 사이버보안학과 교수 [사진=아주경제DB]

지난해 유난히 기업의 해킹 사건과 개인정보 유출 사고가 많은 것 같다. 사실 오래전부터 우리나라 개인정보는 세상의 정보, 공공의 정보가 된 지 이미 오래됐다.

우리나라 보안 사고에 대해서는 사고가 나면 국회는 기업에 대해 질책을 남발하고, 정부는 종합대책이나 규제를 강화하고, 언론은 기사를 마구 쏟아냈다가 약간 시간이 지나거나 또 다른 사건들이 발생하면 소 잃고 외양간도 고치지 않은 상태로 되는 것이 일반적이다. 규제나 질책만으로는 급속도로 고도화·교묘화하는 해킹이나 사이버 범죄, 사이버 공격 등을 결코 따라잡을 수 없다. 제대로 된 보안과 개인정보 보호를 위해서 몇 가지 제안하고자 한다.

먼저 사이버 보안에 대한 인식부터 바뀌어야 한다. 우리가 맞이하고 있는 해킹, 사이버 범죄, 개인정보 유출 등과 같은 사이버 보안 분야는 공격이 방어보다 항상 이길 수밖에 없는 기울어진 운동장 같은 구조이며, 사고가 전제될 수밖에 없는 구조이며, 사고를 제로로 만드는 것이 아니라 최소화하는 것이며, 피해 또한 최소화하는 것이라는 데 인식 전환이 일어나야 한다.

따라서 정부나 국회가 구체적인 보안 기준이나 방안을 만들어주면서 보안 투자 등 보안 강화를 하라고 하는 질책과 규제 등에 의한 정부 의존적이고 수동적인 보안 대책으로는 첨단 AI 시대, 고도화되고 급속하게 바뀌는 사이버 보안 환경에 도저히 대응할 수 없다.

기업 경영자가 보안에 대한 인식을 전환하여 기업 스스로 보안 기준을 만들고 사이버 공격이나 개인정보 유출 등에 대한 대책을 마련해 지속적이고 체계적으로 기업의 보안 강화를 자율적으로 해 나가야 한다. 정부와 국회는 사고를 일으킨 기업들에 대해서는 기업이 망할 수도 있는 수준의 책임을 가지도록 제도와 정책을 마련하고 더욱 엄중히 집행해야 한다. 또 중소기업 등 보안 사각지대 등에 대해서는 정부 지원 등을 비롯한 정보보호산업 육성이나 기술 개발 그리고 정보 보호 인재 육성에 보다 힘을 쏟는 것이 급속하게 변화하는 사이버 보안 환경에 그나마 최선의 정책이 될 수 있다고 판단된다.

다음으로는 정부나 국회, 헌법 기관 등 주요 기관부터 먼저 보안에 대한 모범을 보여야 한다. 사실 해킹이나 개인정보 유출 등에 대해서는 정부나 국회, 사법부, 그리고 헌법 기관, 지자체 등 보안 실태가 민간기업의 보안보다 안전하다고 쉽게 장담할 수 없다. 민간기업에는 ISMS-P 인증 의무화와 정보보호최고책임자(CISO)의 임명을 의무화하고, 정보 보호 공시제도, 과징금 등을 통해서 나름대로 규제를 강화하고 있다. 하지만 민감한 개인정보를 보다 많이 보유하고, 보다 높은 보안 수준이 요구되는 정부는 물론이고 국회나 사법부 그리고 헌법 기관 등은 민간기업에 의무화한 ISMS-P 인증 조차도 없으며 정보 보호 조직과 CISO 임명은 물론이고 정보 보호 공시 제도 등과 유사한 제도조차 없다.

사이버보안청(가칭) 신설도 제안한다. 이제는 여러 부처가 협력하는 모호한 거버넌스보다 전담 부처가 필요한 때다. 개인정보보호위원회는 해킹이나 개인정보 유출 사고를 예방하거나 막는 데는 역부족이며 과학기술정보통신부는 AI 산업 육성 등에 집중되어 지속적이며 사전 예방적이며 능동적이고 전문적인 사이버 보안 정책이나 대응을 하기에는 다소 어려운 점이 있다. 민간기업이나 공공기관 등의 사이버 보안을 전담하여 해킹이나 개인 정보 유출 등 사이버 보안 예방, 실시간 대응·복구, 정보보호산업 육성과 기술 개발, 정보 보호 인재 육성 등과 같은 주요 정책과 대응을 전문적이며 지속적이며 체계적으로 책임을 지고 전담할 정부 부처가 절실하다.
아주경제=김성현 기자 minus1@ajunews.com

- Copyright ⓒ [아주경제 ajunews.com] 무단전재 배포금지 -