[기자수첩]공공기관 CISO 의무화해야

우리나라 보안에 의미가 중대한 2개 법안이 1일 국무회의를 통과했다. 정보보호최고책임자(CISO) 제도를 강화한 정보통신망법 개정안과 정보보호 공시를 의무화한 정보보호산업법이다. 정보통신망법 개정안은 '유명무실' 논란을 빚은 CISO 제도의 개선이 골자다. 과학기술정보통신부는 CISO 지정·신고 의무 대상을 구체화하고, 위반에 따른 과태료 규정도 마련했다. 정보보호산업법 개정안 역시 기존에 자율로 맡겨 둔 정보보호 공시를 의무화함으로써 정보보호 투자 효과를 노렸다.

과기정통부는 이들 법안을 강력하게 추진해 왔다. 민간 정보보호 수준을 끌어올리기 위해서였다. 지난해부터 정보보호네트워크정책관이 국회를 직접 다니며 법안 통과를 호소했다는 후문도 들렸다. 과기정통부 외에도 보안업계, 전문가들이 노력을 보탠 결과 의결로 이어졌다. 이번 성과는 축하를 받아 마땅하다. 실질적 효과도 기대된다.

그러나 정작 공공기관은 관련 의무로부터 슬쩍 비켜나 있다. 공공기관에는 CISO 신고 의무가 없고, 정보보호 공시도 제대로 이뤄지지 않는다. 올해 공공정보화 예산 가운데 보안 예산은 고작 2% 수준이다. 그마저도 정보화 예산에 두루뭉술 섞여 있다. 민간 CISO에 해당되는 '정보보호책임관'이 있는 중앙정부 부처는 산업통상자원부 등 극소수에 불과하다.

개인정보를 대규모로 수집·관리하는 공공기관이 정보보호에 얼마나 투자하고 있는지 일반 국민은 알 길이 없다. 민간기업에는 임원급 CISO를 지정해 신고할 것을 규정하면서 공공기관 자체의 정보보호를 감시·감독할 책임관은 없다. 민간기업은 정보보호 공시 의무화로 일반 국민 앞에 정보보호 인력과 투자 현황을 고스란히 밝혀야 하지만 공공기관은 멀찍이 물러나 있다.

공공기관 정보보호 업무를 총괄하는 정보보호책임관 제도는 보안업계에서 제안한 뒤 입안 과정에 있다. 이해식 더불어민주당 의원은 이를 반영한 전자정부법 일부개정안을 지난 1월 대표 발의했다. 법안은 국회에서 몇 차례 쓴잔을 들이킨 뒤 현재 위원회 심사 과정을 밟고 있다. 민간에만 강요할 것이 아니라 공공부터 정보보호 강화에 솔선수범해야 한다. 공공기관 정보보호책임관 도입이 시작이다. 전자정부법 개정안이 이번에 국회의 문턱을 넘길 기대한다.

오다인기자 ohdain@etnews.com