법제도/정책

51개 정부부처 중 5곳만 정보보호 전담 조직 갖춰

최민지

[디지털데일리 최민지기자] 사이버위협이 개인을 넘어 국가까지 영향력을 행사하게 된 가운데 정부부터 인력 확대 및 업무체계 개선을 통해 전문성을 갖춰야 한다는 주장이 제기됐다.

행정자치부에 따르면 현재 51개 정부부처 중 정보보호 전담과를 갖춘 곳은 5개 부처에 불과하다. 팀단위로 정보보호 업무를 관장하는 정부부처는 14곳에 그쳤다. 사이버보안 인력 충원과 전담조직을 확충하는 한편, 외주 의존이 높은 구조를 변혁해야 한다는 지적이다.

‘제6회 정보보호의날’을 맞아 12일 더케이서울호텔에서 열린 국제 정보보호 컨퍼런스에서 이세영 행정자치부 전자정부국 정보기반보호정책과장은 “보안장비를 개발하고 네트워크단에서 공격을 방어하는 추세는 앞으로도 유지되겠지만, 이를 제대로 관리할 수 있는 능력을 갖추고 장비·기술 외적 부분의 문제를 해결하려면 결국 사람으로 귀결된다”고 말했다.

장비와 기술 발전뿐 아니라 이를 제대로 활용할 수 있는 조직과 인력을 확보하기 위한 투자가 선행돼야 한다는 뜻이다.

◆정보화에 속한 정보보호, 전담조직 확대 필요=2011년부터 2016년까지 중앙부처 및 지자체 사이버보안 인력은 280여명 증원됐다. 정부 전체적으로 연간 50여명 수준의 증원만 있었다. 결코 많은 수가 아니다.

과단위로 정보보호 전담부서가 있는 부처는 ▲미래창조과학부 ▲산업자원통상부 ▲국토해양부 ▲외교부 ▲국방부 5곳이다. 이 중에서 미래창조과학부, 산업자원통상부, 국토해양부는 2015년 국가사이버안보 관리체계 개편으로 관련 부서가 신설된 경우다.

보안인력 10인 이상은 전담 ‘과’, 5인 이상은 전담 ‘팀’으로 설치 가능하다. 팀단위로 정보보호 업무를 담당하는 부처는 교육부, 법무부, 행자부, 문체부 등 14곳이다.

이 과장은 “정보보안이 정보화조직 내 업무 중 하나로 돼 있는 경우가 많은데, 정보화부분이 우선시되면 보안인력들도 이를 지원해야 한다”며 “전담조직이 만들어지지 않으면 당초 기대했던 보안인력과 업무 수행을 달성하기 어렵다”고 꼬집었다.

또 “과 단위 설치는 5개 부처에 불과해 정보화와 보안업무 간 상호견제가 어렵고 전문성 축적에도 한계가 있다”며 “장기적으로 기존 전담팀이 있는 부처는 전담 과로 확대하고, 기타 부처도 최대한의 전담 팀의 설치가 필요하다”고 강조했다.

앞서, 정부는 2014년 전산직렬에 정보보호 직류를 신설했으나 아직 초기 단계에 머물고 있다. 2015년 6명, 2016년 31명, 2017년 16명으로 총 53명뿐이다. 부처 전산직렬의 경우, 전산개발·정보관리 분야 인력 중심으로 채용하고 있어 정보보안 전문가도 부족하다. 보안인력 전문성 요건 조사결과 중앙부처는 53%, 시·도 36%, 시·군·구 43%로 나타났다.

외주인력에 대한 의존도도 높다. 사이버공격 실시간 탐지·대응을 위해 30개 부처 및 17개 시·도에서 보안관제센터를 운영하고 있다. 그러나 관제 인력의 경우, 외주 인력 대비 공무원 비율은 10% 정도에 불과하다.

관제 업무는 보안사고 발생 때 신속한 의사결정이 중요하다. 책임성을 높이기 위해서라도 공무원 비중을 높여야 한다는 주장이다. 현재는 평균 1.5명인 수준을 필수인력 4명으로 늘려 25% 비중으로 확대해야 한다는 것.

미국의 보안담당 공무원 비율은 55%에 달하며, 이베이 등 주요 기업도 본사인력으로 보안관리를 수행하고 있다.

이 과장은 “외주용역 의존도가 높고 공무원은 관리 위주라 전문역량 축적에 한계가 있다”며 “인력이 증원되지 않은 상태에서 현장에서는 증가하는 업무에 어려움을 겪고 있다”고 부연했다.

◆보안 전문인력 키우고 인센티브로 우수인재 모아야=이 과장은 “인력을 새로 채용하고 증원하는 예산을 불필요한 비용 측면으로 접근하지 말아야 한다”며 “양질의 인력을 확보한다는 것은 사이버보안에 있어 가장 중요한 부분이기 때문에 투자라는 발상의 전환을 지금부터 해야 한다”고 힘줘 말했다.

이에 이 과장은 사이버보안 인력을 전문기술 전담인력과 일반 보안관리 인력으로 이원화해 충원해야 한다고 조언했다. 전문기술 인력은 전문 경력직 중심으로 채용해 사이버위협 분석 등 전문분야에 즉시 투입하고, 일반 보안관리는 전산직 공무원 중 정보보호 직류 채용을 지속 확대하는 방식을 적용한다.

또한, 전문성을 제고하기 위해 사이버보안 담당은 보안업무 경력자, 일정기준 이상 정보보호 교육 이수자, 정보보호 직류 중 보직하도록 규정하는 방안도 내놓았다.

사이버보안 담당자의 전문직위를 지정·확대해 장기재직을 유도해야 한다는 의견도 나왔다. 정보보호 기획, 기반시설, 사이버침해대응 등 업무분야별로 반드시 1인 이상 전문직위를 지정토록 권고해야 한다는 것. 사이버보안 전문직위 인력을 통합관리 및 수당인상을 독려해 우수인력을 확보하고 사기를 진작시키도록 한다.

이 과장은 “공무원은 순환근무 중심으로 돼 있는데, 4년 이상 근무할 수 있도록 해 전문역량을 갖추도록 하는 방법”이라며 “보안업무가 평소에는 주목받지 못하다가 큰 사고 때 책임 논란에 직면해야 하기 때문에 기피하는 경향이 있고, 비상근무에 따른 신체적 어려움이 따르다보니 특수업무 수당을 신설하기 위해 노력하고 있다”고 설명했다.

이어 “사이버보안을 제대로 수행하고 지능화 공격을 방어하려면 종합적 관리와 대책이 필요하다”며 “공공뿐 아니라 민간에서도 미래를 위해 인력을 보강하고 격려하는 분위기로 가야 한다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널