국가 정보보호 정책현황과 개선방안

 지난 2009년 7.7 DDoS 사고에서 보듯이 사이버침해 사고들이 증가하고 있지만, 대책 논의는 사고가 있을 때 뿐 금방 기억 밖으로 사라진다. 이러한 상황 하에서 정부 및 공공기관의 정보보호 실상을 점검하는 데에 이어 실질적이고 지속적인 대책마련을 촉구하는 보고서가 발간됐다.

국회 입법조사처(처장 심지연)는 10월 20일 『국가 정보보호 정책현황과 개선방안』보고서에서 공공․민간부문의 국가정보보호 현황 및 문제점을 분석하고 개선방안을 제시하였다.

국회디지털포럼(회장 서상기)과 국회입법조사처에서 개최한 ‘2010 국가기관 전산망 사이버안전대회’ 점검결과, DDoS 대응체계 점검에서는 27.8%, 무선랜 보안점검에서는 23.8%, 홈페이지 취약점 점검에서는 15.0%의 정부 및 공공기관이 미흡한 것으로 나타나 국가 사이버보안체계 전반에 대한 재점검이 요구된다.

 2009년 ‘7.7 DDoS 사고’와 같은 사이버 공격은 언제든 재발할 수 있는데, 그 이유로는 정보보호 정책기능의 분산으로 인한 중앙통제기관의 부재와 정보보호 전담인력 및 지속적 투자부족을 지적할 수 있다.

 우선 국가정보원, 행정안전부 등으로 사실상 분리되어 운영되고 있는 공공부문 정보보호의 컨트롤타 마련이 필요하다.

 사전적 예방측면의 정보보호 정책과 사후 대응측면의 침해사고 대응체계의 관리부처를 일원화하여 정책 간의 연결성 및 시너지를 도모함은 물론 범국가적으로 일관성 있는 정책 집행이 이루어질 수 있도록 개선이 필요하다. 

공공․국방․민간분야를 아우룰 수 있는 국가위기상황센터로 정책수립 및 관리 기능을 일원화하고, 필요에 따라 부문별 대응부처인 국가정보원, 방송통신위원회 등으로 정책집행기능과 관련사업을 이관하여 추진하는 것에 대한 검토가 필요하다

국무총리실, 기획재정부, 방송통신위원회를 포함한 15개 기관은 정보보호 전담인력이 전무하며, 공공․민간의 정보보호를 전담하고 있는 행정안전부 및 방송통신위원회는 정보보호 자격증 보유자가 전무한 것으로 나타났다.

국무총리실의 경우 정보보호 업무를 총무과에서 담당하고 있는 상황으로 이에 대한 시급한 개선이 필요하다.

45개 정부기관의 2011년도 정보화 및 정보보호 예산을 분석한 결과, 대통령실, 민주평통자문위원회, 소방방재청 등 3개(7%) 기관에서 정보보호 예산을 전혀 투입하지 않은 것으로 나타났다.

민간 부문에서 백신 S/W를 사용하지 않거나, 검사를 제대로 수행하지 않아 악성코드 감염위험이 있는 PC는 2009년 현재 491만여 대 이상으로 민간 부문 전체 PC(3,112만 여대)의 15.8%를 차지하고 있다.  이는 7.7 DDoS 침해사고에 동원된 좀비 PC(11만 5천여 대)의 약 43배에 해당되며, 포털에서 DDoS 공격툴이 쉽게 검색되는 등 대규모 DDoS 사이버공격은 언제든 재발할 수 있는 상태라 할 수 있다.

 7.7 DDoS 공격과 같은 국가차원의 사이버 침해사고 등에 효과적으로 대응하기 위해서는 현 ｢정보통신망 이용촉진 및 정보보호에 관한 법률｣의 개정 또는 악성프로그램 확산 방지관련 신규법률 제정 등 법제도적 정비가 필요하다.

 다만, 법안의 포괄적인 강제규정으로 인한 패킷감청 등의 오ㆍ남용으로 인해 통신의 자유, 표현의 자유, 재산권 행사의 자유, 소비자의 선택권 등 국민의 기본권에 침해가 없도록 악성프로그램 확산 방지 등에 관련하여 절차적ㆍ제도적 안전장치를 마련할 필요가 있다.