[머투초대석]한국정보보호진흥원 황중연 원장
'잘하면 본전' 취급을 받는 곳이 더러 있다. 한국정보보호진흥원(KISA)이 그중 한곳이다. 맡은 역할이 해킹, 바이러스로 인한 침해사고 대응, 개인정보보호, 스팸 대응 등 정보보호 업무이다보니 어쩌면 당연하다.
평소에는 관심이 없다가 해킹사고나 스팸사건이 터지면 여지없이 이곳저곳서 책임을 묻곤한다. 그래도 우리나라가 짧은 시기에 세계 최강 IT 강국의 초석을 다질 수 있었던 것은 지난 10년간 책임감을 갖고 묵묵히 일해온 이같은 조직이 있었기 때문에 가능한 일이다.
1996년 설립된 이래 사이버코리아의 파수꾼 역할을 자임해왔던 한국정보보호진흥원(KISA)이 또 다른 새로운 변신에 나섰다. 오는 2010년까지의 국내 정보보호 대계(大計)와 KISA의 위상정립 방안를 담은 중장기 사업전략을 대대적으로 발표했다.정보통신부 우정사업본부 등에서 30년동안 공직에 몸담다 지난 4월 새로운 수장을 맡게된 황중연 원장이 직접 진두지휘해 만들어낸 첫작품이다.
황 원장은 "이를 통해 기필코 2010년까지 국내 정보보호 수준을 세계 5위권에 진입시키겠다"고 강조했다. 서울 가락동 KISA 원장실에서 그를 만나 향후 KISA 운영계획과 청사진을 들어봤다.
-한국정보보호진흥원(KISA) 원장으로 취임한 지 100일이 흘렀다. 소감을 말해달라.
▶전에 있던 우정사업본부와 지금의 한국정보보호진흥원(KISA)은 조직과 업무 성격이 많이 다르다. 그렇다고 그동안의 정체성을 버리고 새로운 조직에 100% 적응하는 것이 능사는 아니다. 거꾸로 지난 30여년간의 공직생활 경험을 적용해야할 부분이 많다.
취임 후 단기적으로 투명한 경영을 위해 경영공시를 했고, 직원들의 결속을 더욱 강화하기 위해 동호회 활성화와 입사동기 찾아주기 등을 추진했다. 또한 중장기적으로 KISA의 발전방향을 제시하는 중장기 사업과 경영전략을 마련하는데 주력해왔다.
KISA는 민간의 정보보호를 담당하는 전문기관이다보니 책임감이 더욱 무겁다. 30년전 공직에 첫발을 디뎠떤 초심(初心)으로 일할 것이다.
독자들의 PICK!
- 국내 정보보호 분야를 관장하는 기관장으로서 현재 국내 정보보호현황과 KISA의 역할을 설명해달라.
▶정보보호가 사회 전분야와 연계돼 확대되면서 굳이 KISA가 나서서 강조하지 않아도 사회 구성원 모두가 정보보호의 중요성을 인식하고 있다. 기관과 기업, 국민이 정보보호를 위해 지식을 쌓고, 실천하는 모습을 보여주고 있다.
아쉬운 점은 아직도 정보보호에 대한 체계적이고 종합적인 대책이 없다는 것이다. 과거에 비해 정보보호를 위한 각 기관과 기업의 마인드가 전환된 것은 사실이나, 여전히 임시방편적이고 체계적이지 않다는 게 문제다.
사고가 발생했을 때도 단기적인 처방에 급급하다. 정보보호는 정보화의 부산물이 아니며, 국가 안보와 기업경쟁력을 위해 가장 먼저 고려해야할 핵심사안이라는 점을 잊지않았으면 좋겠다.
KISA의 역할은 축구와 비교할때 골키퍼 역할과 같다. 골이 들어갈 모든 상황을 감안해 방어를 해 야한다. 평소 어떻게 훈련하든지 간에 한골도 통과시키지 않는 게 중요하다. 그러나 오프라인과 달리, 온라인에서는 방어해야할 범위가 무한대다. 그것이 숙제다.
- KISA가 최근 2010년까지 국가정보보호 수준 세계 5위 달성을 골자로 하는 중장기사업전략을 수립했다. 이같은 전략을 수립하게된 취지는 무엇인가.
▶우리나라는 디지털기회지수(DOI) 1위, 전자정부 순위 1위 등 세계 최고의 IT 강국 이미지를 구축했다. 그러나 필연적으로 정보화에 따른 역기능과 부작용 또한 만만치 않다. 이에 따라 정보보호 체계를 재정립하고, 정보보호 사업역량을 한층 고도화할 필요성이 제기되고 있다. 아울러 유비쿼터스 사회 도래에 따라 프라이버시 침해 등 사이버 위협이 증가하고, 국민들의 정보보호에 대한 관심과 요구가 높아지고 있는 상황이다. 이같은 환경변화에 적극 대처하고 KISA의 제2의 도약을 위한 초석을 다지자는 취지에서 이같은 중장기 전략을 수립했다.
내부적인 목적도 있다. 각자의 분야에서 책임감을 갖고 열심히 일해온 것은 사실이나, 조직 자체가 정체된 감이 없지않다. 이 전략이 조직을 새롭게 정비하고, 내부직원들에 대한 미래 비전도 새롭게 제공해줄 것으로 기대한다. 이번 비전을 수립하는데 300여명의 직원들이 다 함께 참여했다.
- 2010년에 정보보호 수준 세계 5위권 진입하겠다는 청사진을 제시했는데, 구체적인 기준이 무엇인가.
▶정보보호 지수를 평가할 수 있는 객관적인 기준은 아직 마련되지 않았다. 그러나 OECD에서 국가별 정보보호 수준을 평가할 공통 지수를 만들기 위한 논의를 시작했고, 내년 초에는 구체적인 안이 나올 것으로 기대된다. 중요한 점은 이 과정에서 우리나라 KISA가 주도적인 역할을 하고 있다는 점이다.
그동안 세계경제포럼(WEF)과 국제경영개발원(IMD) 등에서 보안서버 보급률 등을 지표로 국가 보안수준을 평가해왔으나,아직 매우 미흡한 수준이다. 이번에 마련될 국가정보보호 평가지수는 백신, 패치, 공인인증서, 방화벽 등 보안제품 보급수준과 정보보호 예산과 전문인력 비율, 해킹, 바이러스 신고비율, 스팸메일 신고비율 등 정보보호 기반과 환경, 역기능 등이 종합적으로 고려됐다.
- 이번 KISA의 중장기 사업전략 중 가장 역점을 두고 추진할 사안은 무엇인가.
▶유비쿼터스 사회의 안전을 책임지는 전문기관으로서 정보보호 미래를 설계하고 준비하는 사업이다. 이를 위해 정보보호 영역을 IT 전부문으로 확대해 유비쿼터스 사회의 정치, 경제, 사회, 문화, 인프라 등 국가사회 전반의 안전성을 강화하기 위한 대규모 정보보호 프로젝트를 발굴, 추진할 계획이다.
사업부문에서는 광대역융합네트워크에서의 침해사고에 대비한 예방과 대응체계를 고도화하고, 신규 융복합 IT서비스의 개인정보 침해 및 보안위협에 대처하기 위해 사전 안전체계를 조기에 확립할 계획이다.
-영세성을 면치 못하고 있는 국내 정보보호 산업에 대한 지원과 육성도 시급하다. 어떤 방안을 모색중인가.
▶무엇보다 정보보호 산업규모를 키우기 위해선 수요가 확대돼야한다. 지난해 공공기관 전체 IT예산 가운데 정보보호 예산은 4.6%에 불과하다. 이에 반해 미국 정보보호 예산은 8%나 된다.
KISA는 정보보호 제품 수요확대와 신규 수요 창출을 위한 제도를 마련할 계획이다.물론 산업계도 변해야한다. 정보보호 시장이 연착륙하기 위해서는 각 분야의 대표선수들이 나와줘야 한다. 정부의 지원도 중요하지만 기술 경쟁력을 확보하고 스스로 덩치를 키워나가기 위한 노력이 필요하다.
- 온라인 게임이용자들의 정보획득을 위한 중국발 웹해킹과 보이스해킹 등 최근 중국발 사이버 위협이 크게 늘고 있는 실정이다. 이에 대한 KISA의 구체적인 대응방안이 있는가.
▶국외에서 국내 사이트를 공격하는 경우, 공격국가의 협조가 없으면 국외의 해커를 찾아 처벌하는 것이 사실상 매우 어렵다. KISA는 사고발생 후 대응보다 사고전에 미리 차단하는 예방 쪽에 더 주력하고자 한다. (중국발) 공격자들이 주로 공격하는 인터넷 서비스와 웹애플리케이션 공격에 대한 대응체계를 강화하고, 사고원인의 상관관계 분석을 통해 원인을 파악해 제거할 수 있도록 종합해킹대응시스템을 구축해 운영할 것이다.
- 마지막으로 인터넷 침해사고를 미연에 방지하기 위해 기업이나 개인에게 당부하고 싶은 말씀이 있다면.
▶정보보호는 종종 양치질에 비유된다. 우리가 매일 반드시 이를 닦듯이 컴퓨터에 대해서도 정보보호를 생활화해야한다. 특히 최근 해킹이나 바이러스로 인해 피해를 입은 사람이 다시 다른사람의 컴퓨터에 피해를 입히는 가해자가 되는 현상이 일반화되고 있다. 이를 감안할 때 정보보호는 해도좋고 안해도 그만인 선택이 아니라 필수라는 점을 잊지 않았으면 좋겠다.