공공 보안 사고는 반복되는데 …책임자는 왜 없나

최근 법원 전산망에서 2년여 동안 국민 개인정보가 포함된 A4용지 26억 장 분량의 자료가 북한 해커조직 손에 넘어갔다. 고용노동부와 교육부 산하 워크넷과 한국장학재단에서도 각각 23만여명, 3만 2000여명의 개인정보가 유출됐다.

공공기관 개인정보 유출건수는 2019년 5만 2000건에서 지난해 8월 기준 339만 8000건으로 크게 늘었는데, 전문가들은 공공에 최고정보보호책임자(CISO)가 없는 탓이 크다고 지적하고 있다.

사이버해킹 그래픽 / 제공=뉴시스

국회는 2021년 발의됐다 폐기 예정인 '전자정부법 개정안'에 대해 다시 논의할 방침이다. 공공기관에도 CISO를 의무화해야 한다는 내용이 담긴 법안이다.

20일 이해식 더불어민주당 의원은 "공공기관 전산망 해킹 문제나 정보보안 취약성 문제 관련한 시스템을 재구축하는 방식의 법안 발의를 한번 해보려고 한다"며 "공공기관 CISO 지정 의무화 관련해서도 재검토를 해야 할 것"이라고 말했다.

당시 국회 행정안전위원회 소속이던 이해식 의원은 2021년 1월 공공기관에도 정보보호와 보안대책을 총괄하는 CISO를 지정하는 내용이 담긴 '전자정부법 개정안'을 발의했던 바 있다. 하지만 당시 법안은 통과되지 못했다.

현행 정보통신망법에 따르면 일정 규모 이상의 민간 기업은 개인정보를 총괄하고 책임지는 CISO를 의무적으로 지정해야 한다.

반면 공공기관에는 이 같은 의무가 없다. 공공이 관리하는 국민들의 개인정보 유출을 방지하기 위한 총괄 책임자가 없는 것이다.

특히 최근 북한 해커 집단에 해킹 당한 개인정보는 법원의 개인회생과 관련된 문서 5171개, 개인정보가 포함된 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 포함 있는 것으로 알려졌다.

이외에도 법원에서는 성범죄 피해자 신상 등 민감정보를 많이 관리하고 있어 이번 유출로 파생될 국민 피해가 우려되고 있다.

이에 국회에서도 공공기관에도 CISO를 의무화해야 한다는 내용이 담긴 '전자정부법 개정안' 재발의를 검토하겠다는 입장이다.

정보보안업계 한 관계자는 "그간 사고가 터져야 보안에 투자한다고 민간 기업들을 향한 질타가 많았는데 이를 국가에서도 똑같이 답습한 모습이다"며 "큰 사고가 많이 터졌으니 정부 차원에서 공공의 개인정보 보호 시스템을 대대적으로 손 볼 필요가 있다"고 말했다.

이인애 머니투데이방송 MTN 기자