[아이티투데이 이경탁 기자] 2016년 국정감사를 통해 국내 사이버보안 정책 및 투자가 정부나 민간 할 것 없이 여전히 부실한 것으로 드러났다. 보안업계에서는 이번 국정감사를 계기로 정부 당국과 민간 기업들이 사이버보안에 대한 중요성을 다시 깨닫고 총체적인 점검 및 투자에 나설 것을 주문하고 있다.

우리 생활에 있어 사이버 세계에 대한 비중은 점점 높아져가고 있다. PC뿐 아니라 모바일이 대중화되며 유비쿼터스 시대를 맞이한 것이다. 특히 우리 주변의 사물들이 네트워크와 연결되는 사물인터넷(IoT) 기술 또한 빠른 속도로 상용화되며 사이버 보안에 대한 중요성은 점차 켜져 간다.

하지만 그동안 매년 터진 사이버 해킹 사례에서 볼 수 있듯이 사이버보안에 대한 국내 조직들의 인식은‘소 잃고 외양간 고치기’식이었다. 투자보다는 재정 효율성을 위해 최대한 줄여야 할 매몰비용으로 치부했다.

국회 미래창조과학방송통신위원회 소속 신용현(국민의당) 의원이 한국인터넷진흥원(KISA)로부터 제출받은 자료에 따르면 지난 2013년부터 분석된 악성코드는 약 1만 2000여 건 이상에 달하는 것으로 확인됐다.

신 의원은 “인터넷진흥원 확인 결과 개인 뿐 아니라 군 사령부 등 정부기관까지 악성코드가 유입되었다”며 “사이버 보안은 국가안보에 직결되는 만큼 국정감사에서 악성코드 문제에 대하여 지적하고 대응체계 강화를 위해 노력해야 한다”고 말했다.

국회 안전행정위원회 소속 이재정 국회의원(더불어민주당)은 행정자치부의 ‘2016 개인정보보호 연차보고서’를 분석한 결과 모든 공공기관이 개인정보보호 담당 부서를 두고 있는 반면, 조사대상 민간사업체 중 절반 이상은 해당 업무를 맡은 부서 자체가 없는 것으로 나타났다.

이 의원은 “사업체 중 개인정보보호에 예산을 배정한 곳은 10곳 중 1곳에 불과했다. 정보 보호에 대한 미흡한 투자는 결국 국민들의 소중한 개인정보 유출로 이어질 수 있어 보완이 시급하다”고 밝혔다.

실제 2008년 옥션, 2011년 네이트, 2014년 KT와 카드 3사(롯데카드·NH농협카드·KB국민카드)에 이어 지난 7월 또 다시 발생한 인터파크 개인정보 유출은 대량의 개인정보를 수집하는 업체들의 ‘개인정보 불감증’을 여실히 보여준다.

국회 미래창조과학방송통신위원회 소속 오세정(국민의당)의원은 정보통신서비스제공자가 미래부에 정보보호최고책임자(CISO)를 신고하도록 되어 있는 제도가 부실하게 운영되고 있다고 비판했다.

CISO는 기업에서 정보보안을 위한 기술적 대책과 법률대응까지 총괄하는 최고 책임자로, 정보통신서비스 제공자는 CISO를 지정하고 미래부에 신고하도록 되어다.

하지만 미래부가 받고있는 CISO 신고서에는 성명, 전화번호, 휴대전화번호, 전자우편주소 만 기재하도록 되어 있는 것이다. 오세정의원은 “금융위 또한 전자금융거래법을 통해 금융회사들의 CISO 지정의무를 부여하고 있는데, 카드사 해킹사고 이후 관련 규정을 대폭 강화해서 운영하고 있다.”고 지적했다.

보안업계 관계자는 “그동안 대형 보안 사고가 터질 때마다 말로만 의식 전환을 외치고 이제 맞는 투자는 잘 이뤄지지 못한 측면이 있다”며 “보안에 대한 의식 수준은 선진국과 비교해 아직 많이 부족하고, 국정감사에서 미흡한 점이 드러났듯이 이번 기회를 통해서라도 개인정보보호법 강화 등 사이버보안에 대한 수칙을 더욱 강화해야 한다”고 주장했다.  

한편, 최근 보안 업계의 골치덩어리인 랜섬웨어에 대해 국회 미래창조과학방송통신위원회 소속 송희경(새누리당) 의원은 정부가 무방비 대응하고 있다고 지적, “사이버 테러 공격의 진원지에 대한 파악 없이 계속해서 벙커만 파고 있는 형국이다”며 “랜섬웨어 특징상 온라인으로 실시간 복제되는 백업은 파일이 암호화되는 순간, 암호화된 파일이 백업되기 때문에 데이터를 보호할 수 없다. 단순 처방식 대응에 앞서 보다 근본적인 대책마련이 시급하다”고 밝혔다.