.gif)
설문에 답한 중앙행정기관 23곳 중 69.57%가 정보보호 전담부서 ‘없다’
녹록지 않은 보안 업무, 업무 만족도 낮고 업무 부담 높아
공공기관, 정보보호 인력 확보와 예산 지원 확대돼야
[보안뉴스 박은주 기자] 2023년 기준 국가·공공기관에서 정보보호 전담부서가 줄어들었다. 2022년 72.73%에서 2023년 61.96%로 약 11% 감소했다. 전담부서를 운영하지 않는 이유를 묻자 69.77%가 ‘예산 및 인력 부족’ 때문이라고 답했다.
▲전담조직을 신설하지 않은 이유[자료=2024 국가정보보호백서]
뒤이어 18.60%는 ‘기관장의 인식 부족’을 꼽았다. 이는 국가정보원이 2023년 중앙행정기관을 비롯한 113개 기관(중앙행정기관 23곳, 지방자치단체 31곳, 공공기관 59곳) 정보보호 담당자를 대상으로 정보보안 실태에 관해 진행한 설문조사 결과다.
▲정보보호 전담부서의 필요성[자료=2024 국가정보보호백서]
보안팀 여부에 상관없이 전체 응답기관은 보안팀의 필요성을 인식하고 있었다. 그중 88.89%는 조직 발전을 위해 보안팀이 ‘필수적이며 반드시 필요하다’고 답했다. 그러나 설문에 응한 중앙행정기관 69.57%가 정보보호 전담부서(이하 보안팀)가 없었다. 국가 정책을 시행하고, 임직원과 국민 다수의 개인정보를 취급하는 중앙행정기관에 보안팀조차 없다는 사실이 드러나자 우려 섞인 목소리가 이어지고 있다.
익명을 요청한 보안전문가는 “IT와 보안은 특정 업무에만 적용되는 것이 아니라 모든 분야에서 필수적 요소”라며, “공공기관을 대상으로 한 사이버 위협은 국가안보에도 영향을 미칠 수 있다”며 우려를 나타냈다.
▲정보보호 담당자의 업무 부담감 발생 사유[자료=2024 국가정보보호백서]
녹록지 않은 보안팀...“업무 부담 크다” 90%에 달해
정보보호 업무 환경에 관한 설문에서 2022년 설문결과와 유사하게 보안 담당자 57.52%가 업무에 만족하지 않는다고 답했다. 그 이유는 △업무 중요성 대비 평가 절하(50%) △비협조적인 태도와 경시하는 분위기(30.30%) △전문성 부족에 따른 업무수행 어려움(13.64%)으로 집계됐다.
보안팀을 보유한 기관의 보안 담당자 10명 중 9명꼴로 업무에 대한 부담이 큰 것으로 드러났다. 그중 가장 큰 이유가 무한 책임 의식과 처벌에 대한 두려움(38.46%)이다. 이밖에 △과도한 업무량(29.81%) △각종 통제와 감시 등 규제(19.23%) △전문지식 부족(7.69%) 순으로 드러났다.
업무 부담과 책임감으로 인해 피로가 누적되면 스트레스가 쌓이고 번아웃 상태에 이를 수 있다. 실제 보안담당자들의 경우 업무적으로 탈진 상태에 이른 경우가 빈번하다고 알려져 있다. 가트너가 2023년에 발표한 자료에 따르면 업무 부담과 업무 불균형 등의 이유로 2025년까지 사이버보안 분야 리더(CISO) 25%가 보안 분야를 떠날 수 있다고 예측하기도 했다.
보안팀 실제 구성 인원과 희망 인원 사이에도 괴리가 존재한다. 보안팀이 있는 기관의 전담부서 인원은 3~4명이라고 답한 비중이 30%로 가장 높았고, 정보보호 전담인력 규모는 9명 이상을 희망한다는 비율이 41.43%를 차지했다. 현재 근무하는 인원에 비해 2배 이상 충원을 원하고 있는 셈이다. 인력이 부족한 채 업무를 처리하다 보니 부담이 더해지는 것으로 보인다.
또한, 공공기관은 순환보직이라는 특성에 따라 개인정보보호책임자(CPO) 등 책임자에게 관련 경력은 요구하지 않는다. 지정 급수가 맞으면 누구나 맡을 수 있다는 허점이 존재한다. 일손이 모자른 데다 정보보호 전문 지식까지 부족하다면 업무 부담이 가중될 수밖에 없는 상황이다.
토스증권 지정호 CISO는 “급변하는 IT 기술과 함께 사이버 위협이 다양화·고도화되는 상황”이라며 “정보보호 관리체계의 유지 활동에서 더 나아가 보호 대상과 자산을 위협하는 본질을 이해할 필요가 있다”고 설명했다. 이어 “위협 대응전략을 선제적으로 수립할 수 있는 창의적 인재가 필요한 상황”이라며 “민간에서도 역시 보안인재를 확보하는 데 어려움이 따른다”고 토로했다.
▲국가 전체의 정보보호 우선순위[자료=2024 국가정보보호백서]
정보보호 인력 충원 문제는 3개년 동안 여전히 가장 높은 비중을 차지하고 있으며, 예산 증액의 중요성 또한 지속적으로 증가하고 있다. 민관을 아울러 국가 전체적인 정보보호 우선순위로 정보보호 담당 인력 확충이 42.86%로 역대 가장 높은 수치를 나타냈다. 뒤이어 △전문부서 확대(15.18%) △예산 증액(11.61%) △보안교육 및 인식제고(9.82%) 등의 순으로 집계됐다.
한편, 공공기관 정보보호 실태에 관한 보다 세부적인 설문조사 결과는 국가정보원, 과학기술정보통신부 등 6개 기관에서 발간한 ‘2024 국가정보보호백서’에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]
녹록지 않은 보안 업무, 업무 만족도 낮고 업무 부담 높아
공공기관, 정보보호 인력 확보와 예산 지원 확대돼야
[보안뉴스 박은주 기자] 2023년 기준 국가·공공기관에서 정보보호 전담부서가 줄어들었다. 2022년 72.73%에서 2023년 61.96%로 약 11% 감소했다. 전담부서를 운영하지 않는 이유를 묻자 69.77%가 ‘예산 및 인력 부족’ 때문이라고 답했다.
▲전담조직을 신설하지 않은 이유[자료=2024 국가정보보호백서]
뒤이어 18.60%는 ‘기관장의 인식 부족’을 꼽았다. 이는 국가정보원이 2023년 중앙행정기관을 비롯한 113개 기관(중앙행정기관 23곳, 지방자치단체 31곳, 공공기관 59곳) 정보보호 담당자를 대상으로 정보보안 실태에 관해 진행한 설문조사 결과다.
▲정보보호 전담부서의 필요성[자료=2024 국가정보보호백서]
보안팀 여부에 상관없이 전체 응답기관은 보안팀의 필요성을 인식하고 있었다. 그중 88.89%는 조직 발전을 위해 보안팀이 ‘필수적이며 반드시 필요하다’고 답했다. 그러나 설문에 응한 중앙행정기관 69.57%가 정보보호 전담부서(이하 보안팀)가 없었다. 국가 정책을 시행하고, 임직원과 국민 다수의 개인정보를 취급하는 중앙행정기관에 보안팀조차 없다는 사실이 드러나자 우려 섞인 목소리가 이어지고 있다.
익명을 요청한 보안전문가는 “IT와 보안은 특정 업무에만 적용되는 것이 아니라 모든 분야에서 필수적 요소”라며, “공공기관을 대상으로 한 사이버 위협은 국가안보에도 영향을 미칠 수 있다”며 우려를 나타냈다.
▲정보보호 담당자의 업무 부담감 발생 사유[자료=2024 국가정보보호백서]
녹록지 않은 보안팀...“업무 부담 크다” 90%에 달해
정보보호 업무 환경에 관한 설문에서 2022년 설문결과와 유사하게 보안 담당자 57.52%가 업무에 만족하지 않는다고 답했다. 그 이유는 △업무 중요성 대비 평가 절하(50%) △비협조적인 태도와 경시하는 분위기(30.30%) △전문성 부족에 따른 업무수행 어려움(13.64%)으로 집계됐다.
보안팀을 보유한 기관의 보안 담당자 10명 중 9명꼴로 업무에 대한 부담이 큰 것으로 드러났다. 그중 가장 큰 이유가 무한 책임 의식과 처벌에 대한 두려움(38.46%)이다. 이밖에 △과도한 업무량(29.81%) △각종 통제와 감시 등 규제(19.23%) △전문지식 부족(7.69%) 순으로 드러났다.
업무 부담과 책임감으로 인해 피로가 누적되면 스트레스가 쌓이고 번아웃 상태에 이를 수 있다. 실제 보안담당자들의 경우 업무적으로 탈진 상태에 이른 경우가 빈번하다고 알려져 있다. 가트너가 2023년에 발표한 자료에 따르면 업무 부담과 업무 불균형 등의 이유로 2025년까지 사이버보안 분야 리더(CISO) 25%가 보안 분야를 떠날 수 있다고 예측하기도 했다.
보안팀 실제 구성 인원과 희망 인원 사이에도 괴리가 존재한다. 보안팀이 있는 기관의 전담부서 인원은 3~4명이라고 답한 비중이 30%로 가장 높았고, 정보보호 전담인력 규모는 9명 이상을 희망한다는 비율이 41.43%를 차지했다. 현재 근무하는 인원에 비해 2배 이상 충원을 원하고 있는 셈이다. 인력이 부족한 채 업무를 처리하다 보니 부담이 더해지는 것으로 보인다.
또한, 공공기관은 순환보직이라는 특성에 따라 개인정보보호책임자(CPO) 등 책임자에게 관련 경력은 요구하지 않는다. 지정 급수가 맞으면 누구나 맡을 수 있다는 허점이 존재한다. 일손이 모자른 데다 정보보호 전문 지식까지 부족하다면 업무 부담이 가중될 수밖에 없는 상황이다.
토스증권 지정호 CISO는 “급변하는 IT 기술과 함께 사이버 위협이 다양화·고도화되는 상황”이라며 “정보보호 관리체계의 유지 활동에서 더 나아가 보호 대상과 자산을 위협하는 본질을 이해할 필요가 있다”고 설명했다. 이어 “위협 대응전략을 선제적으로 수립할 수 있는 창의적 인재가 필요한 상황”이라며 “민간에서도 역시 보안인재를 확보하는 데 어려움이 따른다”고 토로했다.
▲국가 전체의 정보보호 우선순위[자료=2024 국가정보보호백서]
정보보호 인력 충원 문제는 3개년 동안 여전히 가장 높은 비중을 차지하고 있으며, 예산 증액의 중요성 또한 지속적으로 증가하고 있다. 민관을 아울러 국가 전체적인 정보보호 우선순위로 정보보호 담당 인력 확충이 42.86%로 역대 가장 높은 수치를 나타냈다. 뒤이어 △전문부서 확대(15.18%) △예산 증액(11.61%) △보안교육 및 인식제고(9.82%) 등의 순으로 집계됐다.
한편, 공공기관 정보보호 실태에 관한 보다 세부적인 설문조사 결과는 국가정보원, 과학기술정보통신부 등 6개 기관에서 발간한 ‘2024 국가정보보호백서’에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
