국가 전산의 심장으로 만들어진 정부통합전산센터(이하 센터)의 정보보호 정책이 더욱 짜임새 있게 새로 구성돼야 한다는 목소리가 높다. 물리적 보안 사항뿐만 아니라 인적 자원 및 각종 정보보호 정책이 시중의 우려를 잠재울 수 있도록 재편성돼야 한다는 주장이다.
◇안정적인 보안 가능한가=국가 전산장비 및 시스템을 한 곳에서 운용할 경우, 세계 해커들의 집중 공격 대상이 될 것으로 생각된다. 그러나 여기에 대해 센터가 주요 시설 위기관리 전반에 대한 세부적인 절차를 마련하지 못하고 있다는 지적이다. 한 정부 기관의 보안 담당자는 “현재 센터의 정보보호시스템은 최초 업체가 제공하는 상태가 계속되는 상황으로 보안 정책 및 기술 수준은 거의 공백 상태에 가깝다”고 꼬집었다. 실제로 물리적으로 서버 등을 모아 놓은 인터넷데이터센터(IDC) 역할일 뿐 개별적으로 보안을 시행하는 것과 다를 바 없다는 지적이다.
망에 대한 문제도 거론된다. 센터 설립 이후 각 기관의 망은 모두 대전을 거쳐 나가도록 설계돼 있다. 이 때문에 알려지지 않았지만, 크고 작은 네트워크 문제는 종종 발생하고 있는 것으로 파악됐다. 한 기관의 망 담당자는 “기존에는 직접 인터넷서비스 업체와 연결해 문제 발생 시 신속하게 해결됐지만, 이제 대전을 통하게 돼 있어 아직까지 안전성을 확보하지 못했다”고 말했다. 이에 대해 정부 및 통신 업체 관계자는 “1센터 이전 시 서버 이전이 주요 안건이어서 망에 대한 제대로 된 조사가 부족하다”고 분석했다.
◇외주인력 의존 문제 해결 방법 찾아야=본지 조사에 따르면 2센터 입주 대상 부처 대부분은 공직 인력을 광주센터에 내려 보낼 생각이 없다고 잘라 말했다. 현재도 전산 관련 인력이 부족한 상황으로 센터 측에서 알아서 해야 할 일이라는 주장이다. 그러나 국세청처럼 세무 관련 정보를 외부인이 볼 수 없도록 법으로 규정해 놓은 기관은 공무원 인력 파견이 필수다. 외주 인력에 의존할 수 없는 문제가 있는 셈이다.
1센터에 이미 입주한 부처 대부분도 실제 인력 파견보다는 인력 정원(TO)만을 이체했다. 대전 센터가 40여명의 공무원을 신규 채용한 것 역시 전문 인력 확보라는 목적도 있지만, 일차적으로는 현 부처에서 관련 인력을 파견하지 않았기 때문이다. 이유야 어떻든 센터의 활성화에 각 부처는 뒷짐을 지고 있는 형국이고, 자연스럽게 센터의 외주인력 의존도가 높아질 수밖에 없는 실정이다. 이에 대한 근원적인 해결점을 찾아야 한다는 지적이다.
◇체계적인 대응전략 구축 시급=가장 중요하게 지적된 것은 사고발생 후 대처방식에 따른 절차다. 현재 센터가 물리적으로는 통합 운용되고 있으나 대부분 부처별로 보안 정책을 수립하고 별도로 시행하고 있어, 전체적인 보안 정책 수준을 판단하기가 거의 불가능하다고 부처 관계자들은 전한다. 한 기관의 보안 담당자는 “센터의 물리적·시스템적 보안 대책이 어느 정도 이행됐는지 여전히 불투명하며, 정보보호 관련 기관끼리 그 내용도 제대로 공유하지 못하고 있다”고 지적했다. 또 애플리케이션은 각 부처에서 여전히 담당하고 있고 센터가 물리적인 시스템만 관리하고 있는 이중적 상황은 문제 발생시 빠른 원인 분석과 대처를 어렵게 한다. 센터가 보안과 관련해서 앞으로 순항하기 위해서는 국가사이버안전센터(NCSC) 등 유사 업무를 하는 기관은 물론이고 무엇보다 센터에 시스템 관리를 맡긴 해당 부처와의 긴밀한 공조가 중요하다.
◆대전 정부통합전산센터 보안 현황
대전 정부통합전산센터(센터장 임차식, 이하 센터)는 정부의 ‘가’급 보안대상 기관인만큼, 물리적인 보안 측면에서는 여타 전산 관련 건물에 비해서 강화된 모습이다.
일단 위치부터 찾기 힘들다. 정보통신부 홈페이지는 물론이고 각종 포털 사이트 위치찾기에서도 전화번호나 약도를 구할 수 없다. 실제로 대전에서도 외곽지역에 위치해 찾기가 어렵다. 진입할 때의 경로도 건물 앞 보안 센터에서 신원검증을 받아야 한다. 차량의 경우 장갑차도 통과하기 어렵도록 출입 통제 장치가 설치돼 위압감을 준다.
센터 측은 보안 관련 사항에 대해서 ‘일급비밀’임을 강조한다. 정부의 전산을 한곳에 모은다는 것이 세계에서 드문 일인데 “보안이 잘 돼 있다”는 식으로 얘기를 해봐야 전 세계 해커들의 집중 공격대상이 될 가능성만 높이는 꼴이 될 수 있기 때문이다.
본지가 대략적으로 파악한 센터 운영 상황은 지난 연말 기준, 총 6개 팀으로 구성됐으며, 보안 조직의 경우 통합보안팀을 가동하고 있다. 종합상황실을 운용하고 있고, 통합운영 담당, 정보보호담당직을 두고 여러모로 보안에 주의를 기울이고 있다. 보안 문제에 대한 타 부처의 문제 제기 등에 대해서도 부처 담당자들과 모임을 갖고, 정책 설명회를 수차례 연 것으로 확인됐다.
임차식 센터장은 “정확한 보안 현황을 밝힐 수 없다”며 “정보통신부가 민간에 제시하는 규격 이상으로 갖추는 등 다각적인 장치가 마련돼 외부의 시각과 달리 우려할 필요가 없다”고 말했다. 그는 “통합전산센터에서 IT인프라 운영, 시스템 관리 및 보안서비스 절차 및 프로세스 등에 대한 국제 인증인 ISO20000도 획득하는 등 문제가 없다”고 강조했다.
센터 보안 수준이 낮다는 지적에 대해서는 그동안 예산이나 인력 부족으로 사실상 보안 등을 제대로 감당하지 못했던 부처가 많았다는 점을 고려할 때 경험 많은 정통부가 통합관리한다는 점에서 오히려 과거보다 ‘상향 평준화’가 됐다는 주장도 펼친다. 임 센터장은 “전산 체계가 잘 갖춰진 일부 부처의 경우도 그 부처의 눈높이를 맞추어 보안을 비롯한 각종 서비스를 제공하고 있다”고 설명했다.
현재 센터는 4방어 3분석 시스템을 갖추고 있다. 연내 가동에 들어가는 광주 센터의 경우 이를 확충, 고급 보안을 요구하는 부처에는 맞춤형 서비스를 제공하는 등 보안 수준을 높인다는 계획이다.
외부에서 제기하는 외주인력의 전문성에 대해 일부 인정하지만, 민간 인터넷데이터센터(IDC)에서 근무, 현장 경험이 있는 이들이 공무원 전환에 긍정적인 반응을 나타내고 있어 유경험자 채용에 유리하다고 말한다. 임 센터장은 “보안뿐 아니라 전산 운용에서 트래픽 감시 등 반복적인 업무는 외주 업체에 맡기는 등 중요 업무는 내부 직원이 직접 담당할 것”이라며 “전문 인력 특채 등을 통해 역량을 강화하고 있다”고 전했다.
그런데도 통합센터에 직간접적으로 참여하고 있는 전문가나 부처 관계자들은 “아직도 과도기며, 정책 기반의 정확한 프로세스, 대처 능력을 갖추지 못하고 있다”고 낮게 평가한다. 광주 센터로 이전이 예정된 A 부처 내 보안 관련 전문가는 “수년 전 금융기관 쪽의 이상 트래픽은 1일 몇 천건에 달했다고 볼 때 통합센터 역시 고의든 아니든 침투 시도가 만만치 않을 것이 분명하다”며 “통합센터에서 침해사고대응 관련 확보한 전문가 수나 조직을 볼 때 여전히 미흡하다”고 꼬집었다.
최근 센터가 획득한 ISO20000 인증 관련 전문가는 “ISO20000에 보안이 한 영역으로 있지만 이는 프로세스 측면에서 접근한 결과”라며 “보안 분야의 국제 인증(ISO27001)이 별도로 있을 뿐 아니라 더 중요한 것은 위험요인을 사전에 발견하고 대처하는 노하우를 갖춘 전문 인력을 구성해야 하는데 여기에 미치지 못하고 있다”고 전했다.
◆대전 이어 광주 보안인력도 비상
1센터가 가동되고 있는 대전지역에 이어 2센터가 들어갈 광주지역도 ‘비상’이다.
1센터 인력 현황을 기준으로 할 때 시스템 규모가 더 클 것으로 예상되는 광주센터 역시 최소 130여명에 이르는 외주 인력이 필요할 전망이다. 그러나 광주지역 IT산업은 대전지역에 못 미친다. 광주광역시에서 지역IT산업 활성화를 담당하고 있는 관계자는 “센터 입주가 시작되는 내년 7월 이후부터는 지역 IT인력이 원활하게 공급돼야 하는데 사실 지금은 걱정이 앞선다”고 말한다. 광주시에서 파악하는 아웃소싱 인력을 확보하고 있는 기업은 많아야 5∼6개로 손에 꼽힌다. 기업 설립 10년으로 지역에서 잔뼈가 굵었다고 평가받는 N정보 회사의 인력이 20여명이라는 게 현실을 방증한다.
일단 광주시는 지난해 말, 공고를 통해 산하기관을 중심으로 IT인력 60여명을 선발했으며, 2∼5주간 교육을 진행 중이다. 이후 대형 IT서비스기업을 통해 4∼5개월 인턴 교육을 거쳐 파견 인력의 최소 수준을 맞춘다는 계획이다. 현재 SK C&C와 계약한 상태다.
유지보수 쪽의 상황이 이러한데 보안 관련된 전문 인력 공급을 별도로 논하는 것은 무리다. 대전 센터에 보안 관련 인력을 다수 파견한 A사 대표는 “사실 우리까지 기회가 온 것은 서울의 대형 IT서비스 기업가 인건비를 이유로 인력을 파견하지 않기 때문”이라고 토로한다. 사업기회가 찾아왔지만 현실은 씁쓸하다는 것이다. 현재 지역 업체들은 인건비 등을 고려해 대학 보안 관련 학과의 재학생이나 졸업생을 선발해 교육, 파견하고 있는 상황이지만 이 역시 만만치 않다.
일부에서는 통합센터가 기왕 지역에 유치된 마당에 지역 IT인력을 채용하는 것은 당연하다는 주장을 한다. 그러나 본질은 지역 IT인력을 쓰느냐 마느냐의 문제가 아닌, 통합센터가 갖춰야할 최소한의 인력과 그 수준에 합당한 IT인력을 채용하는가의 문제다.
<탐사기획팀>
