국가사이버경보 올라가면 보안관제 인력 '52시간 어쩌나'

#3월 20일 사이버위기 경보가 802일 만에 '관심'에서 '정상' 단계로 내려왔다. 2016년 1월 8일 사이버위기 경보가 발령된 후 2년 72일 동안 1단계 '관심'과 2단계 '주의' 상태를 오르내렸다. 당시 최장기간 사이버위기 경보가 지속되면서 관제 인력 피로감이 상당했다. 사이버위기 경보가 발생되면 공공기관은 물론이고 민간 기업도 보안 관제 인력을 늘리고 비상 대응체계로 바뀐다.

사이버위기 경보 발령시 보안관제 인력은 주당 52시간 근무시간을 지키기 어렵다.
사이버위기 경보 발령시 보안관제 인력은 주당 52시간 근무시간을 지키기 어렵다.

사이버 보안 관제 업계가 근로기준법 개정으로 7월부터 시행되는 52시간 근로시간 준수를 두고 고민에 빠졌다. 24시간 서비스를 지속하는 보안 관제기업은 정부 정책에 따라 3교대 체제로 주 52시간 이하 근무를 한다. 문제는 사이버위기 경보가 발령되거나 고객사 침해사고 발생 시 법 준수가 현실적으로 불가능하다. 공공기관과 기업에 직원을 파견하는 관제 기업이 고민이 크다.

국가정보원이 발령하는 사이버위기 경보는 '정상-관심-주의-경계-심각'으로 구분된다. 사이버위기 경보가 발령되면 비상 관제 체계로 전환된다. 관심은 웜, 바이러스, 해킹 피해 발생 가능성이 증가한 상태다. 해외 사업 공격 피해가 확산돼 국내 유입이 우려될 때 발령한다. 위기 경보 발령되면 업무 투입 인력이 2명에서 3명으로 늘어난다. 경보 단계가 정상으로 환원될 때까지 이런 체계는 계속된다.

고객사 침해사고가 발생해 조사가 진행 중일 때도 52시간을 준수하기 어렵다. 해킹사고가 발생한 고객사는 가능한 빨리 원인 조사를 마치고 조치를 취하길 원한다. 침해사고 조사 인력이 밤을 새우며 원인을 찾는 경우가 다반사다.

근로기준법을 지키려면 사이버위기 경보 시 투입할 인력을 미리 확보해야 한다. 업계는 사이버위기 경보나 침해사고를 예측해 이 때 투입할 인력을 별도로 채용하는데 난색을 표한다.

관제업체 A대표는 “사이버위기 경보가 1단계인 '관심'이 되면 기존 보다 10% 업무시간이 늘어난다”면서 “사이버위기 경보가 일주일만 지속돼도 바로 52시간 근무시간을 초과한다”고 설명했다. 이어 “언제 나타날지 모르는 사이버위기 경보 발령 시 투입할 인력을 별도로 채용하는 것도 현실적으로 불가하다”고 덧붙였다.

현재 공공기관이나 기업에 파견된 관제 요원은 휴가도 가기 어려운 구조다. 휴가를 가려면 공공기관 규정상 대체인력을 투입해야한다. 인수인계 기간이 필요해 실질 업무대체에는 어려움이 많다. 대체인원 투입 없이 휴가를 가는 건 공공기관 규정위반이다.
B사 관계자는 “계약인원에 대한 휴가를 줄 수 있다라는 근거 조항만으로도 공공기관 파견자가 동료직원과 업무조정으로 쉴 수 있다”면서 “근로기준법을 개정한 취지를 위해 휴가에 대한 파견관제 관리감독 담당자 재량권 부여 등 실질적 조치가 급선무”라고 말했다. 이어 “공공기관 파견 인력 휴일과 야근, 비상근무 부담은 모두 보안관제 회사가 부담하는 구조”라면서 “발주처와 기존 계약을 변경하고 비용을 함께 부담하는 체계를 만들어야 한다”고 강조했다.

국가사이버위기경보 체계
국가사이버위기경보 체계

김인순 보안 전문기자 insoon@etnews.com