[데스크라인]정보보호정책관의 의미

정부는 6월 정보통신망법을 개정해 대기업 등 주요 기업의 최고정보보호책임자(CISO) 겸직 금지를 의무화했다. CISO가 업무를 독자 처리할 수 있도록 정보기술책임자(CIO)나 개인정보보호최고책임자(CPO) 등의 업무와 겸직할 수 없다. 정부는 급증하는 사이버 위협에 더욱 체계를 갖춰 대응하기 위한 방법으로 CISO 독립 권한에 방점을 찍었다.

이를 추진한 과학기술정보통신부가 최근 새 조직개편(안)을 공개했다. 개편안을 뜯어 보니 기존에 정보보호정책을 총괄하던 국장급 자리가 없어진다. 과기정통부 2차관 산하에 정보통신정책실이 있지만 네트워크정책실이 신설되면서 2개 실로 재편된다. 네트워크정책실은 △정보네트워크정책관(옛 정보보호정책관) △통신정책관 △방송진흥정책관으로 구성된다. 기존 정책실에서 정보보호정책관을 이관해 정보네트워크정책관으로 기능을 재편한다. 독자로 존재하던 정보보호정책관이 없어지는 것이다.

과기정통부 내에서 정보보호정책관은 기업의 CISO와 같은 역할이다. 정보보호 정책을 수립하고 견제한다. 정부가 기업에 CIO와 CISO 업무를 겸직하지 못하게 한 건 두 가지 일을 함께하면 정보보호 업무가 뒷전으로 밀리기 때문이다. CIO는 정보기술(IT) 자원을 제대로 활용, 비용을 절감하고 서비스를 개선한다. CISO는 비용 절감보다 보안 위협을 예측하고 선제 투자를 계획한다. 조직 내 정보보호 역량을 강화, 사이버 침해 사고를 예방한다. 만약에 사고가 발생하면 피해 최소화, 신속한 복구에 집중한다.

과기정통부의 새 직제 개편안에 정보네트워크정책관은 명칭만 봐서는 기업에서 CIO 역할에 가깝다. 여기에 부가로 정보보호정책관 역할까지 하는 자리다. 기업에 CISO를 독립 직책으로 지정하라며 규제하는 정부는 오히려 정책에 역행하는 조직 개편이 아닌지 우려된다. 사실상 정보보호정책관이 하는 업무가 반쪽으로 나뉘는 셈이다. 민원기 과기정통부 2차관이 최근 국정감사에서 정보보호 기능을 약화하는 것이 아니라고 해명했지만 업무 집중도가 떨어질 수밖에 없는 구조다.

디지털 전환 시대다. 기업은 물론 정부도 일하는 방식을 디지털로 전환한다. 디지털 전환 기반에 가장 먼저 고려해야 하는 것이 '사이버 보안'이다. 5세대(5G) 이동통신, 인공지능(AI), 클라우드, 빅데이터 분석 등 첨단 기술을 도입한다. 사이버 보안을 고려하지 않은 디지털 전환은 모래성 위에 쌓은 성이다. 5G 시대 사이버 보안 사고는 기존보다 엄청난 혼란을 초래할 것이다. 이에 대한 준비가 여전히 미흡하다.

최근 2~3년 사이 국가를 뒤흔들 사이버 보안사고가 발생하지 않았다. 이 같은 환경 때문인지 기업에서도 정보보호 투자가 다시 줄고 있다. 정부 조직에서 정보보호를 다른 업무와 함께한다면 기업 투자는 더 줄어들 것이다.
사이버 강국 이스라엘은 우리의 대통령과 같은 총리실 산하에 사이버보안을 총괄하는 국가사이버국이 있다. 국가사이버국은 경제부, 국방부 등 타 부처와 함께 연계 업무를 하는 사이버 보안 컨트롤타워다. 국가 사이버국 설치까지는 아니더라도 기존에 있던 자리를 없애는 건 시대에 역행하는 일이다. 정보보호 업무 외에 다른 것까지 하며 사이버 강국을 바라는 것은 어불성설이다.

[데스크라인]정보보호정책관의 의미

김인순 SW융합산업부 데스크 insoon@etnews.com