스크랩 국가정보보호 정책현황과 개선방안 - 국회입법조사처(배성훈)

[마음이 가난한 자]

Ⅰ. 개요

유무선 통합, 스마트 컴퓨팅 등 IT환경의 변화와 더불어 사이버 위협도 단순한 해킹에서 대규모화, 지능화된 DDoS 공격 등으로 침해사고 패러다임의 변화가 진행되고 있음. 시마텍의 「2009년도 인터넷 위협 보고서」에 따르면 2009년 신규로 발견된 악성코드가 약 290만개로 2008년(약 169만개) 대비 약 71% 증가한 것으로 나타남. 

Ⅱ. 공공부문 정보보호 현황 진단

1. 국가기관 전산망 사이버안전대회 경과

국회입법조사처와 국회 디지털포럼은 국가·공공기관을 대상으로 2010년 6월 7일부처 25일까지 「제4회 국가기관 전산망 사이버안전대회」를 공동으로 실시하여 DDoS 대응체계 점검, 홈페이지 취약점 점검, 무선랜 취약점 점검을 실시함. 점검결과, SQL공격, Connection Flooding 공격 등 전체 공격 88건 중 47%인 41건에 대하여 접속 장애가 발생하여 적절한 대응이 이뤄지지 않는 것으로 나타남. 웹서버를 자체적으로 운영하고 있는 기관은 대역폭이 작고 상시 대응인력을 운영하지 않는 경우가 대부분이어서 소량의 공격 트래픽에도 접속불가 현상이 나타남. 

DDoS 대응체계 점검대상 기관별 결과 

평가	해당기관	소계
우수	교육과학기술부, 국회사무처, 농림수산식품부, 소방방재청, 지식경제부, 통일부	6개
양호	국토해양부, 법무부, 중앙선거관리위원회, 한국교육학술정보원, 한국전파진흥원, 한국토지주택공사, 행정안전부	7개
미흡	국회도서관, 방송통신위원회, 정보화진흥원, 한국정보통신기술협회, 헌법재판소	5개

2010년 6월 14일 월요일부터 6월 25일 금요일까지 60개 기관을 대상으로 홈페이지 취약점을 점검하였음. 불필요한 정보 노출 및 파일 노출 취약점은 약 77%, 관리자 페이지 노출 취약점은 약 36%, 크로스 사이트 스크립팅(XSS) 취약점은 약 34%의 기관에서 발견되었음. 

2010년 6월 7일 월요일부터 6월 11일 금요일까지 60개 기관을 대상으로 무선랜 관련 보안 정책과 물리적 기술적 운영 실태를 점검하였음. 점검 결과 무선랜 기관 중 23.8% 기관이 관리적·기술적 보안에 취약한 것으로 나타났고, 28.6%가 양호, 47.6%가 우수한 것으로 나타남. 점검 대상 기간 중 65%(39개)의 기관은 무선랜을 사용하지 않는다는 조항만을 가지고 무선랜 교육 및 점검에 소홀함. 내부 직원의 비인가 무선랜 사용 등을 통한 내부정보 유출이 우려됨. 관리적 취약점검분야 점검 결과 대부분의 기관이 주기적으로 보안교육 및 점검에 대해서 소홀한 것으로 나타남. 

2. 정부·공공기관의 사이버 침해사고 현황

2006년부터 2009년까지 해킹 및 욈·바이러스 감염 등의 사이버 침해사고는 총 30,489건이 발생하였으며, 그 중 지방자치단체가 12,762건 41.85%로 제일 높았으며, 교육기관, 산하기관, 국가기관 순임. 해킹과 관련하여 교육기관이 2006년부터 2009년까지 총 9,170건 중 30.3%인 2,779건으로 가장 많은 침해사고가 발생하였으며, 그 다음으로 지방자치단체, 국가기관, 산하기관 순임.  

3. 공공부문 정보보호 인력 현황

2009년 기준 정부·공공기관의 정보보호 업무 수행 인력 중 정보보호 관련 학위 소지자는 2007년 이후 1/3 수준으로 감소한 것으로 나타남. 2009년 기준 정부·공공기관의 정보보호 업무 수행 인력 중에서 정보보호 관련 공인 자격증 소지자 역시 2006년 이후 절반 수준으로 감소한 것으로 나타남. 정부의 40개 중앙부처 별 평균 정보보호 업무인력은 1.79명이며, 국무총리실, 방송통신위원회, 기획재정부, 공정거래위원회 등 전체 40개중 15개 부처 37.5%는 정보보호 전담인력이 없었음. 40개 중앙부처 정보보호 업무인력 가운데 20%, 8개 부처만이 정보보호 자격증을 보유하고 있고, 전체 정보보호 업무인력 71.5명 중 정보보호 자격증 보유자는 14명인 19.5%에 불과함. 

4. 공공부문 정보보호 투자 현황

공공부문 정보화 예산은 2008년 3조4천61억원을 정점으로 2009년 7.9%가 감소하였다가 그 이후 소폭 증가 내지는 정체상태임. 정보보호 예산은 7.7 DDoS 공격사건으로 인하여 2010년도에 54.8%의 일시적인 증가를 하였으나 2011년에는 24.7%가 급감소 하였음. 45개 중앙 정부부처의 정보화 및 정보보호 예산을 분석한 결과, 2011년도에는 대통령실, 민주평통자문위원회, 소방방재청 등 3개(7%) 부처에서 정보보호 예산을 전혀 투입하지 않는 것으로 나타났음. 정보화 예산 대비 정보보호 예산이 5% 미만인 부처도 2011년 25개(56%)에 이르는 것으로 나타남. 

Ⅲ. 민간부문 정보보호 현황 진단

1. 민간부문 정보보호의 필요성 및 현황

최근 공공 및 민간부문에서 일어나는 침해사고의 대부분이 민간의 홈페이지 및 개인PC가 원인이 되어 발생하므로 민간 부문의 정보보호는 국가 정보보호의 기반이 됨. 따라서 민간부문에 대한 정보보호 인식 제고와 좀비PC 제거 등의 노력 없이는 사이버 침해사고 대응의 실효를 거둘 수가 없으므로, 국가 차원의 침해사고 예방 및 대응을 위해서는 공공부문과 더불어 민간부문의 정보보호에 대한 투자 및 인력 확보가 반드시 필요함. 

[2009년 정보보호 실태조사]에 따르면, 기업들은 해킹에 대해 우려하면서도 보안 활동에는 소홀한 것으로 나타남. 2008년 12월 공식적 기준으로 정의되고 문서화된 정보보호 정책과 정보보호 가이드라인을 제정하여 운영하고 있는 업체는 전년도에 비하여 감소하고 있음. 

2. 민간부문 정보보호 인력 현황

[2009 정보보호 실태조사]에 따르면, 개인정보보호를 위한 인력은 증가하는 반면, 정보보안 일반을 위한 인력은 감소함.

3. 민간부문 정보보호 투자 현황

기업의 63.6%는 정보보호에 대한 투자가 전무하며 정보화 투자대비 정보보호 지출이 1% 미만인 기업도 15.1%인 것으로 나타나 대부분의 기업이 투자에 인색한 것으로 나타남. 

Ⅳ. 국가 정보보호 정책의 문제점

1. 정보보호에 대한 지속적 투자 결여

미국의 경우 최근 IT 예산은 상대적 증가세가 둔화되었지만 꾸준히 증가하는 추세이며, IT예산 대비 정보보호 예산은 지속적으로 증가하였고, 2006년부터 2009년까지 최근 4년간 평균 9%로 나타남. 

국내 정보화 예산은 2009년 7.7 DDoS 침해사고 이후 일시적으로 약 5% 증가하였으나, 2011년 예산감액이 예상되고 있음.  미국의 경우 침해사고 발생 유무에 관계없이 침해사고 발생에 대비하여 꾸준하게 정보보호에 예산을 투자하고 있음. 국가적인 침해사고를 예방하고 효과적으로 대응하기 위해서 장기적인 예산계획에 따른 지속적인 정보보호 예산 투자가 이루어져야 함. 

2. 정보보호 인력 및 전담조직의 감소

2009년 정부·공고이관의 정보보호 업무수행 인력 중 정보보호 관련 학위 소지자는 5.9%로 2007년 17.8%에 비해 1/3수준으로 감소하였으며, 정보보호 관련 공인 자격증 소지자 역시 2006년 이후 절반 수준으로 감소함. 해킹이나 정보유출 등의 사이버침해 사고가 갈수록 고도화되는 추세에 비추어 볼  때 정보보호 전문 인력의 필요성이 더욱 높아질 것으로 예상되며 인력양성 차원에서도 전략적으로 정보보호 전문가 고용을 확대할 필요가 있음.

정부·공공기관 중 정보보호 전담부서 운영 기관은 15.3%로 전체 기관의 1/6에도 미치지 못하는 수준임. 미간분야의 경우 최근 개인정보 유출 사고가 사회적으로 이슈화되고 관련 손해배상 소송 등이 이어지면서 개인정보관리 책임자를 임명하여 운영하는 기관이 늘고 있으나, 정보보호 책임자를 기관은 오히려 감소하고 있는 추세임. 7.7 DDoS와 같은 국가적 침해사고를 미연에 방지하기 위해서는 정보보호 전문 인력 양성을 위한 정책과 지원이 필요함. 

공공분야의 경우 정규직에 대한 인력 증원이 이루어지지 않아 계약직으로 충원하여 운영하는 경우가 대부분임. 계약직 증원만으로는 업무으 품질향상과 전문성 제고를 담보할 수 없을 뿐만 아니라, 전문지식과 기능을 갖춘 인력이 2년마다 교체되어 업무의 연속성과 지속성 확보를 어렵게 함. 안전한 인터넷 및 침해사고 대응·예방이 사회전반에 미치는 파급효과를 감안할 때 고용구조 안정화를 통한 전문 인력의 확보가 반드시 필요함. 

3. 국가 정보보호 관리체계의 현황 및 문제점

현재 정보보호관련 업무는 국가정보원, 행정안전부, 방송통신위원회 등으로 분리되어 운영되고 있음.

정보보호관련 업무가 관계 법령 및 대통령령 등에 근거하여 중복되어 있으며, 정보보호와 침해사고 대응은 별개로 분리하여 고려하기 어려우나, 현행 체제하에서는 분리되어 있음. 대응 중심의 국가정보원과 정책수립 중심의 행정안전부는 정보보호를 바라보는 핵심가치가 달라 통합된 정책 수립이 어려움은 물론, 중복규제 및 규제수준의 상이함에 따라 문제가 발생할 가능성이 높음. 방송통신위원회의 기능이 불명확하며, 부처별 인력분할에 따른 실무 역량이 부족함. 

Ⅴ. 국가 정보보호 정책의 개선방안

1. 국가 정보보호 컨트롤타워 신설

국가정보원, 행정안전부 등으로 사실상 분리되어 운영되고 있는 공공부문 정보보호의 컨트롤타워 마련이 필요함. 

2. 법·제도적 경비의 필요

현행 정보보호 법제에서는 DDoS 공격과 같이 사이버 침해사고 등에 대한 효과적 대응이 어려움. 악성코드 감염컴퓨터의 상당수가 일반 이용자 PC이지만, 일반 이용자의 컴퓨터를 대상으로 한 보호법규 미흡함. 

3. 정보보호 인력양성 및 우수인력 확보

정보보호 우수인력 양성을 위해서는 제도적·정책적인 지원을 통하여 사회적인 분위기를 조성할 필요가 있음. 정보보호 인력의 고용구조 안정화를 통해 전문 인력을 확보. 

Ⅵ. 결론

침해사고를 효과적으로 예방하고 대응하기 위해서는 철저한 보안 의식에 입각한 일상적 관리뿐만 아니라 지속적 투자가 필수적임. 침해사고 대응체계 강화를 위해서는 정보보호 예산의 확충뿐 아니라 정보보호 정책의 뿌리를 내리고 안전궤도에 진입할 수 있도록 지원 감독할 전문 인력 확보가 필수적임. 7.7 DDoS 공격과 같은 국가차원의 사이버 침해사고 등에 대한 효과적 대응을 위해서는 현 「정보통신망 이용촉진 및 정보보호에 관한 법률」개정 또는 신규 법률 제정이 시급함.