조영철 한국정보보호산업협회 명예회장(사진=한국정보보호산업협회)
조 명예회장은 “정보보안의 중요성과 필요성은 충분히 인식하고 있지만 현장에서는 다른 현안보다 후순위로 밀리는 경우가 더 많다”며 “특히 공공기관과 중소기업에서는 보안이 여전히 비용, 규제 대응, 감사 대비의 관점에서만 다뤄지면서 조직 운영의 핵심 과제가 아닌 부수적 부담으로 인식되고 있다”고 진단했다.
그러면서 “보안을 단순한 비용지출의 문제로 치부할 게 아니라 기관과 기업의 신뢰를 지키고 지속가능성을 뒷받침하는 핵심 경쟁력으로 생각을 바꿔야 한다”며 “인식 개선 뿐만 아니라 예산 확보와 전문 인력 양성·배치가 조직의 운영원칙으로 자리잡아야 한다”고 강조했다.
특히 제도적 사각지대에 놓인 국회와 사법부의 보안 문제에 대해서는 독립성을 존중한 해법을 제시했다. 조 명예회장은 “권력분립 원칙상 행정부의 평가 체계에 편입되기 어려운 만큼 통제가 아닌 독립성을 유지한 별도의 보안 거버넌스를 구축해야 한다”며 “자체 정보보호 최고책임자(CISO) 기능을 강화하거나 외부 전문기관의 점검 등을 통해 최소한의 공통 기준과 정보 공유 체계를 확보하고 이것이 잘 작동하는 지 점검하는게 필요하다”고 제언했다.
정부의 정보보안 정책 인식에 대해서는 ‘75점’이라고 평가했다. 그는 “정부는 정보보안을 단순 기술 문제가 아니라 국가 신뢰와 디지털 경제의 핵심 과제로 인식하고 있다는 점은 매우 긍정적”이라며 “공약 단계에서 보안 체계 구축을 별도 과제로 제시하고 징벌적 배상제와 같은 강력한 책임 강화 의지를 보였다”고 호평했다.
정책의 방향성은 정립했지만 이를 뒷받침할 실행 기반은 여전히 미흡하다고 진단했다. 경직된 예산구조로 보안투자가 지연되는 사례가 많을 뿐만 아니라 전문 인력 부족, 낮은 서비스 대가, 경직된 조달 구조 등이 해결해야 할 과제라고 지적했다.
공공분야의 고질적인 보안 인력난에 대해서는 “사고 발생 시 책임 부담은 매우 크지만 민간 수준의 처우나 인사 유연성을 확보하기 어려운 구조적 한계가 있다”며 “보안 담당자가 기술 대응뿐 아니라 감사와 보고 업무까지 도맡아야 하는 환경에서는 인력유입도 유지도 어렵다”고 했다. 인력부족의 본질은 ‘구조적으로 버티기 어려운 환경’이라는 지적이다.
