공공 ‘정보보호 등급제’ 내년 적용 추진...사이버공격 대응 강화
[디지털데일리 최민지기자] 정보시스템 정보보호 등급제가 내년부터 본격 시행된다. 이를 위해 정보시스템 등급별 보안관리 체계 도입을 위한 선도기관 적용 사업이 우선 추진된다. 정보보호 등급제 도입 전 필드 테스트로 볼 수 있다.
정보보호 등급제는 각 정부기관이 운영하는 전자정부 시스템의 중요도와 보안 정도에 따라 차등 순위를 매겨 중요 시스템의 보안관리를 강화하기 위한 제도다. 대상은 행정기관, 정부부처, 지방자치단체, 공공기관 등이다.
사이버공격이 다양화되는 가운데, 모든 정보시스템에 동일한 보안기준 및 보안관리를 갖추기에 재정적·인적 한계에 도달하고 있다. 이에 각 기관이 시스템별로 준수해야 할 보안관리 수준을 차별화해 효율적으로 민감정보를 보호하고 해킹사고를 방지하겠다는 복안이다.
정부는 2015년 9월부터 지난해 3월까지 범정부 정보시스템 정보보호 등급제 모델을 수립했다. 지난해 6월부터 11월까지 경기도와 행정자치부를 대상으로 시범사업을 진행했다. 이를 통해 정보 중요도와 시스템 특성 등을 반영, 5등급으로 분류하고 등급별 보안관리기준과 가이드를 개발했다. 또, 107개 항목에 달하는 기준을 개선했다.
올해에는 정보시스템 보안관리 선순환 모델 마련을 위해 선도기관 시범적용 사업이 시작된다. 최근 한국인터넷진흥원은 해당 사업을 조달청 나라장터에 공고하고 사업자 찾기에 나섰다. 선도사업은 오는 12월 완료되며, 중앙부처 또는 광역자치단체 등 최소 2개 기관을 선정할 계획이다. 기관당 20~30개 정보시스템 내외로, 자체 관리하는 정보시스템 위주로 뽑을 방침이다.
정부는 선도사업을 통해 ▲등급별 보안관리 체계 적용 전후 비용효과 ▲기존 제도와의 정보보호 활동 비교 및 효과성 ▲등급제 적용에 따른 고용 유발 효과를 분석하고, 정보시스템 등급별 보안관리 체계 구축·운영 절차를 마련한다. 시범사업 결과를 선도사업으로 더욱 보강해 내년 정보보호 등급제 시행 준비를 마치겠다는 것.
김찬일 한국인터넷진흥원 전자정부보호팀장은 “지난해 시범사업에 대한 보강을 진행, 완전 제도화하기 전 다시 한 번 선도적으로 등급제를 적용하자는 것”이라며 “지자체, 중앙부처 또는 광역도시, 기초자치단체 등을 고려하고 있고, 5단계 등급을 유지하되 관리 측면에서는 현실성을 감안해 3단계 정도로 해보려고 한다”고 말했다.
5단계 정보시스템 등급 기준의 경우, 1등급은 가장 중요하고 민감한 부분인 국방·외교·통일 등으로, 국가안전보장에 영향도가 높은 정보유형으로 구성된다. 2등급은 금융, 세무, 경제·재정 정책, 의료정보, 재난 등으로 국제통상과 국가경제 및 생명 보장과 관련돼 있다.
3등급은 범죄예방, 민·형사 소송, 주민복지, 식·의약품 안전, 기업 영업 등 공공안전 유지 및 국민건강·주민 복지 등이다. 4등급은 국민의 원활한 사회 활동에 영향을 주는 부분으로 체육, 관광, 문화, 교육 등이다. 5등급은 정책 자료, 홍보 등 공개 가능한 정보로 꾸려졌다.
정부는 정보보호 등급제가 원활히 시행될 수 있도록 법적 근거를 마련키로 했다. 행정자치부는 정자정부법을 개정해 정보보호 등급제 적용의 근거와 실행력을 담보할 예정이다.
이세영 행정자치부 전자정부국 정보기반보호정책과장은 “이번 선도사업은 필드테스트라 할 수 있으며, 결과가 나오면 점진적으로 대상을 확대할 것”이라며 “제도가 확립되고 본격적으로 시행될 수 있도록 법개정을 추진하고 있다”고 설명했다.
이어 “우선은 선도기관 사업을 통해 개발된 모델을 현장에 적용하고, 이 과정에 고려해야 하는 사항들을 다시 살펴볼 것”이라며 “한정된 정보보호 예산과 자원, 늘어나는 정보보호 업무 상황에서 중요도가 있는 시스템에 자원을 확대하는 등 효율적인 배분을 하자는 취지”라고 덧붙였다.
이 과장은 “실질적으로 정보보호 업무가 확보된 예산과 자원에 따라 이뤄지다 보니 꼭 필요한데도 제대로 예산 지원이 안됐던 부분이 있었는데, 이번 제도를 통해 정보보안 사각지대를 최소화할 것”이라며 “관리체계의 경우, 최소한의 요건만 정해 충족할 수 있도록 만들려고 한다”고 부연했다.
<최민지 기자>cmj@ddaily.co.kr