.gif)
사이버보안 인재의 번아웃 해소와 지속가능한 보안 조직 구축이 핵심 과제
[보안뉴스= 김선효 기술사/한국지역정보개발원] 우리나라의 공공 IT 서비스는 다양성, 편의성, 개방성 등에서 높은 평가를 받고 있다. UN 전자정부 평가에서는 매년 3위권 안에 오르고 있으며, 2019년 신설된 OECD 디지털정부 평가에서도 2회 연속 종합 1위를 차지했다. 특히나 디지털 전환이 점차 가속화되면서 중앙행정기관 및 지방자치단체의 공공 IT 서비스가 확대되는 만큼 공공기관의 정보보안은 중요한 과제로 떠오르고 있다. 대국민 행정서비스 등 공공 정보화 서비스는 막대한 양의 행정정보와 개인정보를 처리하기 때문에 사이버 침해가 발생할 경우 국가 안보와 국민 생활에 심각한 영향을 미칠 수 있다.
[자료: gettyimagesbank]
최근 악화되는 국제 정세가 사이버 세상에서의 공격으로 이어져 대한민국 공공기관 및 행정부처를 향한 다양한 국제 조직의 사이버 침해 시도가 연일 발생하고 있다. 국가정보원에 따르면 2023년 공공 부문을 타깃으로 한 일평균 사이버 공격이 약 162만 건에 달했고, 이 가운데 80% 가량이 북한 소행으로 추정된다.
대표적인 공공 서비스 타깃 사이버공격 사례를 뽑자면 대법원 전산자료 유출 사건이 있다. 2024년 5월 북한으로 추정되는 해킹 조직이 법원 전산망에 침투하여 악성코드를 이용, 개인정보가 포함된 각종 법원 전산 자료 2년치, 총 1TB 분량을 유출했다는 것이 뒤늦게 밝혀졌다. 같은 해 11월 5일에는 국방부 및 합동참모본부 홈페이지가 디도스(DDos, 분산 서비스 거부) 공격으로 인해 17시간 가량 홈페이지 접속이 마비되기도 했다.
이렇듯 다양한 형태로 진화하고 있는 공공 대상 사이버 공격에 대비하여 전국 중앙행정기관 및 지자체의 정보시스템 정보보안은 잘 관리되고 있을까?
이에 대해서는 매년 국가정보원이 국가·공공기관을 대상으로 실시하는 ‘사이버보안 실태점검’ 결과가 그 답변이 될 수 있을 것이다. ‘사이버보안 실태점검’이란 국가정보원이 매년 국가·공공기관의 정보시스템의 정보보호 수준을 측정 및 평가하는 보안 예방활동이다. 점검 기준은 관리적 보안, 기술적 보안, 위기대응의 3개 분야 41개 항목을 기준으로 점검하고, 평가 점수에 따라 기관별로‘우수’, ‘보통’, ‘미흡’ 3단계 등급으로 관리된다.
국가정보원은 2024년도 하반기 ‘사이버보안 실태점검’을 통해 총 47개 중앙행정기관과 17개 광역 지자체를 대상으로 정보시스템의 정보보호 수준을 평가했다. 전체 결과를 보면 전년 대비 중앙행정기관과 광역 지자체 모두 점수가 소폭 하락했다(73.36 → 71.53광역 , 68.71 →67.82자치단체 ). 3개 등급별 결과를 살펴보면 중앙행정기관에서는 기획재정부 및 해양수산부, 환경부 등은 ‘우수’ 결과를 받았으나, 광역지자체 중에서는 ‘우수’ 기관이 한 곳도 존재하지 않았다. 대부분의 기관이 ‘보통’ 수준으로 나타났으며, ‘미흡’ 결과를 받은 기관도 중앙·광역지자체에서 총 6곳 존재했다.
분야별 상세 결과를 살펴보면 첫 번째 관리적 보안 부문에서는 ‘정보시스템 현황 관리 부족’, ‘비인가자 클라우드 접속’이 다수 발견됐다. 위급 상황 대처 및 휴먼 에러 예방을 위해 정보시스템 제·개정 사항 발생 시 이를 산출물 및 관리대장에 현행화하여 관리하는 것이 필수적이다. 또한, 공격 접점이 증가하는 클라우드 인프라의 특성상 비인가자 접근을 제한하도록 접근통제를 실시해야 하나, 사이버 보안 점검 결과 해당 부분이 미흡한 것으로 나타났다.
두 번째 기술적 보안 분야에서는 ‘서버·네트워크 장비 사용자의 접근통제’와 ‘서버 장비에서의 잘 알려진 취약 포트번호 사용’이 미흡사항으로 지적됐다. 예를 들어, 시스템 장비 사용자 접근통제를 위해서는 사용자별로 계정을 분리하고, 관리자 계정명도 임의의 계정명으로 변경하여 사용해야 한다. 그러나 이러한 기본적인 보안 정책이 제대로 적용되지 않고 있었다. 또한, 잘 알려진(Well-known) 포트 번호를 변경하지 않고 사용하는 사례도 확인됐다. Well-known 포트는 공격자들이 자동화된 스캐닝 도구(nmap 등)로 가장 먼저 탐색하는 대상이기 때문에, 서비스 취약점이 노출된 공격 포인트로 무차별 대입(Brute Force), 백도어 설치 등 다양한 공격 시도에 노출될 위험이 높다. 따라서 반드시 임의의 포트 번호로 변경해 사용하는 것이 필요하나, 미적용된 사례가 이번 점검에서 도출됐다.
마지막으로 세 번째 위기대응 분야에서는 ‘비밀번호·고유식별정보 암호화 보안조치’가 미흡했고, ‘클라우드 관련 로그기록 관리’가 부실한 것으로 나타났다. 비밀번호와 고유식별정보는 반드시 암호화해 저장해야 하며, 암호화 조치를 통해 데이터 유출 시에 정보가 악용되는 상황을 예방할 수 있다. 또한, 클라우드 자원에 대한 접속 이력(로그)은 주기적으로 수집·분석되어야 하며, 비인가 접속 시도가 발생하면 관리자에게 즉시 통보되는 체계를 구축해야 한다. 그러나 이번 점검에서는 이러한 위기대응 조치가 제대로 이행되지 않은 것으로 확인됐다.
사이버 보안 실태점검 결과를 종합하면 중앙부처 및 지방자치단체의 정보시스템은 그 중요성에 비해 정보보안 측면에서는 ‘우수’하게 지켜지지 않고 있으며, 일부 기관의 경우 기본적인 보안 수칙조차 준수하지 못하고 있음을 알 수 있다. 그렇다면 이 같은 원인에는 어떤 것들이 있으며, 우리나라 중앙·지자체 정보시스템의 정보보호 수준을 상향 평준화시키기 위해서는 어떻게 해야 할까?
‘해답은 현장에 있다’는 말처럼, 정보보호 실무 담당자들의 설문조사에서 그 답을 찾을 수 있다. 2024년 국가정보원이 발간한 국가정보보호백서에 따르면, 중앙 및 지자체, 공공기관의 정보보호 실무자들을 대상으로 정보보호 업무에 관한 의견을 조사한 결과, 정보보호에 대한 부담과 업무 책임은 매우 크지만, 실제 정보보호 전문인력은 현저히 부족하다고 답했다. 또한, 정보보호 업무의 성과에 대한 적절한 평가가 이루어지지 않고 있으며, 업무 추진 시 조직 내에서 충분한 업무 협조를 받지 못해 애로사항이 있는 것으로 나타났다.
설문에 따르면 정보보호 전담부서를 운영한 국가·공공기관은 최근 감소 추세를 보였다. 정보보호·보안에 대한 부담과 업무는 증가하는 반면에 적절한 전문 인력 및 인원수는 배치되지 않았다. 정보보호 전담부서 인원에 대해서도 정보화 담당의 인원에 비해서 ┖30% 이하┖라고 응답한 곳이 대부분으로 나타나 정보보호 전문 인원 확충이 여전히 필요한 것으로 나타났다. 무엇보다 기관 내 정보보호 담당자들을 어렵게 하는 것은 조직 내 업무 평가절하와 동료들의 비협조적 태도였다. 정보보안 담당자들은 과반수가 넘는 57.5%가 업무에 만족하지 않았다. 불만족 이유로는 ‘업무 중요성 대비 평가절하’가 가장 많았고, ‘비협조적 태도와 경시하는 분위기’ 및 ‘전문성 부족에 따른 업무수행 어려움’도 많았다. 다른 업무에 비해 정보보호 담당자로서의 업무 부담이 크다고 답변한 기관은 91.2%에 달했다. 주요 원인으로는 ‘업무에 대한 무한책임의식과 처벌에 대한 두려움’이 및 ‘과도한 업무량’을 꼽았다.
이러한 설문 조사 결과는 국제적 IT 컨설팅 기업인 가트너가 발표한 2025년 주요 사이버 보안 트렌드와도 일맥상통한다. 가트너는 2025년 사이버 보안 트렌드 6가지 중 하나로 ‘사이버 보안 번아웃 문제 해결’을 꼽았다. 가트너는 정보보안 인재 부족과 끊임없이 진화하는 사이버 공격 위협, 그리고 제한된 권한과 자원, 경영진의 지원 부족 등이 복합적으로 작용해 보안 담당자와 조직 전체에 만성적인 스트레스를 유발한다고 지적했다. 이러한 번아웃은 시스템 정보보안의 효과성에도 직접적인 영향을 미치기 때문에, 효과적인 보안 리더들은 자신의 스트레스 관리뿐 아니라 팀 전체의 웰빙을 위한 다양한 지원과 복원력 강화 프로그램에 적극 투자하고 있다고 밝혔다.
현재 공공기관 정보보호 담당자들이 겪는 어려움은 글로벌 IT 컨설팅 기업 가트너가 지적한 ‘사이버 보안 번아웃’ 현상과 정확히 일치한다. 실제로 정보보호와 개인정보보호의 중요성이 높아지면서 지켜야 할 규정과 가이드라인은 늘어나고 있지만, 공공시스템의 정보보호 인력과 인프라는 여전히 부족해 현장에서 한계에 부딪히고 있다. 인력과 예산 부족, 과도한 업무 부담, 조직 내 협조 미흡 등으로 인해 번아웃이 심화되고 있는 것이다. 가트너 역시 앞으로 사이버보안 인재의 번아웃 해소와 지속가능한 보안 조직 구축이 핵심 과제가 될 것이라고 전망한다. 그렇다면, 현장에서 실질적으로 적용할 수 있는 개선 방안은 무엇일까?
첫째, 정보보호 전문 인력과 예산 지원 확대가 필수적이다. 실제 공공기관의 정보보호 담당자들은 전문성 부족과 인력 부족을 가장 큰 애로사항으로 꼽고 있다. 정부 및 지자체에서 정보보호 전문직 공무원 임용, 전담부서 신설, 정보보호 예산 증액 등 구조적 지원을 강화해야 한다. 현재 기관별로 정보보호 책임자 및 담당자를 지정하도록 체계화되어 있으나, 이들이 실질적으로 역량을 발휘할 수 있도록 전문성 강화, 지속적 교육, 인센티브 등 실효성 있는 지원책 제공이 반드시 병행되어야 한다.
둘째, 인력 충원과 더불어 자동화 솔루션 도입으로 업무 효율과 보안 수준을 동시에 높여야 한다. SIEM(Security Information and Event Management)과 SOAR(Security Orchestration, Automation and Response) 같은 자동화 도구는 보안 이벤트 탐지와 대응을 자동화해 담당자의 반복 업무 부담을 줄이고, 탐지 정확도와 대응 속도를 높인다. 실제로 인천광역시 사례를 보면 2024년 지자체 데이터센터 내에 SOAR 솔루션을 도입해 보안관제 업무를 자동화하고, 관제 인력이 고위험 사고 분석 등 핵심 업무에 집중할 수 있도록 개선하기도 했다. 특히, 기초 지자체 등 소규모 기관이나 인력이 적은 조직일수록 자동화의 효과가 더욱 크다.
세 번째로 기본 보안 수칙 준수와 취약점 관리 강화가 필요하다. 클라우드 환경에서의 비인가자 접근 차단, 취약 포트 변경, 암호화 조치 등은 여전히 가장 기본적이면서도 효과적인 보안 대책이다. 장비 노후화 및 인력 부족 등의 사유로 일부 기관에서 기본적인 보안 수칙이 지켜지지 않고 있지만, 기본을 지켰을 때 정보보호의 효과는 커진다. 또, 정기적인 취약점 진단, 모의해킹, 보안 교육과 훈련을 통해 반복적으로 발견되는 취약점을 근본적으로 개선하는 노력도 잇따라야 할 것이다.
마지막으로, 조직 전체가 정보보호의 중요성을 인식하고 협력하는 문화 조성이 필요하다. 보안이 IT 부서만의 일이 아니라 모든 구성원이 함께 동참하고, 책임져야 하는 조직의 핵심 가치로 인식되어야 한다. “사슬은 가장 약한 고리만큼만 강하다”는 보안 격언처럼, 조직 전체가 한마음으로 보안에 참여해야 전체적인 정보보호 수준이 높아질 수 있다.
결론적으로, 공공 정보시스템의 정보보호 수준을 높이기 위해서는 전문 인력과 정보보호 예산 지원, 자동화 솔루션 도입, 기본 보안수칙 준수, 조직문화 개선 등 다각적인 층위에서의 노력이 병행되어야 한다. 최근 정부는 정보보호 강화를 위해 새로운 정책과 제도를 도입하고 있다. 개인정보보호위원회는 2024년 공공기관 개인정보 보호수준 평가제를 실시하여 공공의 개인정보보호 현황을 점검하고 우수사례 등을 공유하는 등 선제적인 개선작업을 추진했다. 또한, 신기술 대응을 위해 다층보안체계(MLS, Multi-Layer Security) 도입, 생성형 AI 보안 가이드 제정 등 법제도 개편도 활발하게 진행되고 있다. 새로운 정보보호 정책과 제도 변화는 현장의 실질적인 개선 노력이 더해질 때 비로소 효과를 발휘할 수 있다. 이를 통해 사이버 위협에 대한 예방적 대응력을 높이고, 국민에게 안전하고 신뢰받는 디지털 행정 서비스를 제공할 수 있을 것이다.
[글_ 김선효 기술사/한국지역정보개발원]
필자 소개_
- 정보관리기술사, 정보시스템 수석감리원, 정보통신공사 특급감리원
- 한국정보공학기술사회 미래융합기술원 보안분과 위원
- 한국정보공학기술사회 G-포럼 위원
[보안뉴스= 김선효 기술사/한국지역정보개발원] 우리나라의 공공 IT 서비스는 다양성, 편의성, 개방성 등에서 높은 평가를 받고 있다. UN 전자정부 평가에서는 매년 3위권 안에 오르고 있으며, 2019년 신설된 OECD 디지털정부 평가에서도 2회 연속 종합 1위를 차지했다. 특히나 디지털 전환이 점차 가속화되면서 중앙행정기관 및 지방자치단체의 공공 IT 서비스가 확대되는 만큼 공공기관의 정보보안은 중요한 과제로 떠오르고 있다. 대국민 행정서비스 등 공공 정보화 서비스는 막대한 양의 행정정보와 개인정보를 처리하기 때문에 사이버 침해가 발생할 경우 국가 안보와 국민 생활에 심각한 영향을 미칠 수 있다.
[자료: gettyimagesbank]
최근 악화되는 국제 정세가 사이버 세상에서의 공격으로 이어져 대한민국 공공기관 및 행정부처를 향한 다양한 국제 조직의 사이버 침해 시도가 연일 발생하고 있다. 국가정보원에 따르면 2023년 공공 부문을 타깃으로 한 일평균 사이버 공격이 약 162만 건에 달했고, 이 가운데 80% 가량이 북한 소행으로 추정된다.
대표적인 공공 서비스 타깃 사이버공격 사례를 뽑자면 대법원 전산자료 유출 사건이 있다. 2024년 5월 북한으로 추정되는 해킹 조직이 법원 전산망에 침투하여 악성코드를 이용, 개인정보가 포함된 각종 법원 전산 자료 2년치, 총 1TB 분량을 유출했다는 것이 뒤늦게 밝혀졌다. 같은 해 11월 5일에는 국방부 및 합동참모본부 홈페이지가 디도스(DDos, 분산 서비스 거부) 공격으로 인해 17시간 가량 홈페이지 접속이 마비되기도 했다.
이렇듯 다양한 형태로 진화하고 있는 공공 대상 사이버 공격에 대비하여 전국 중앙행정기관 및 지자체의 정보시스템 정보보안은 잘 관리되고 있을까?
이에 대해서는 매년 국가정보원이 국가·공공기관을 대상으로 실시하는 ‘사이버보안 실태점검’ 결과가 그 답변이 될 수 있을 것이다. ‘사이버보안 실태점검’이란 국가정보원이 매년 국가·공공기관의 정보시스템의 정보보호 수준을 측정 및 평가하는 보안 예방활동이다. 점검 기준은 관리적 보안, 기술적 보안, 위기대응의 3개 분야 41개 항목을 기준으로 점검하고, 평가 점수에 따라 기관별로‘우수’, ‘보통’, ‘미흡’ 3단계 등급으로 관리된다.
국가정보원은 2024년도 하반기 ‘사이버보안 실태점검’을 통해 총 47개 중앙행정기관과 17개 광역 지자체를 대상으로 정보시스템의 정보보호 수준을 평가했다. 전체 결과를 보면 전년 대비 중앙행정기관과 광역 지자체 모두 점수가 소폭 하락했다(73.36 → 71.53광역 , 68.71 →67.82자치단체 ). 3개 등급별 결과를 살펴보면 중앙행정기관에서는 기획재정부 및 해양수산부, 환경부 등은 ‘우수’ 결과를 받았으나, 광역지자체 중에서는 ‘우수’ 기관이 한 곳도 존재하지 않았다. 대부분의 기관이 ‘보통’ 수준으로 나타났으며, ‘미흡’ 결과를 받은 기관도 중앙·광역지자체에서 총 6곳 존재했다.
분야별 상세 결과를 살펴보면 첫 번째 관리적 보안 부문에서는 ‘정보시스템 현황 관리 부족’, ‘비인가자 클라우드 접속’이 다수 발견됐다. 위급 상황 대처 및 휴먼 에러 예방을 위해 정보시스템 제·개정 사항 발생 시 이를 산출물 및 관리대장에 현행화하여 관리하는 것이 필수적이다. 또한, 공격 접점이 증가하는 클라우드 인프라의 특성상 비인가자 접근을 제한하도록 접근통제를 실시해야 하나, 사이버 보안 점검 결과 해당 부분이 미흡한 것으로 나타났다.
두 번째 기술적 보안 분야에서는 ‘서버·네트워크 장비 사용자의 접근통제’와 ‘서버 장비에서의 잘 알려진 취약 포트번호 사용’이 미흡사항으로 지적됐다. 예를 들어, 시스템 장비 사용자 접근통제를 위해서는 사용자별로 계정을 분리하고, 관리자 계정명도 임의의 계정명으로 변경하여 사용해야 한다. 그러나 이러한 기본적인 보안 정책이 제대로 적용되지 않고 있었다. 또한, 잘 알려진(Well-known) 포트 번호를 변경하지 않고 사용하는 사례도 확인됐다. Well-known 포트는 공격자들이 자동화된 스캐닝 도구(nmap 등)로 가장 먼저 탐색하는 대상이기 때문에, 서비스 취약점이 노출된 공격 포인트로 무차별 대입(Brute Force), 백도어 설치 등 다양한 공격 시도에 노출될 위험이 높다. 따라서 반드시 임의의 포트 번호로 변경해 사용하는 것이 필요하나, 미적용된 사례가 이번 점검에서 도출됐다.
마지막으로 세 번째 위기대응 분야에서는 ‘비밀번호·고유식별정보 암호화 보안조치’가 미흡했고, ‘클라우드 관련 로그기록 관리’가 부실한 것으로 나타났다. 비밀번호와 고유식별정보는 반드시 암호화해 저장해야 하며, 암호화 조치를 통해 데이터 유출 시에 정보가 악용되는 상황을 예방할 수 있다. 또한, 클라우드 자원에 대한 접속 이력(로그)은 주기적으로 수집·분석되어야 하며, 비인가 접속 시도가 발생하면 관리자에게 즉시 통보되는 체계를 구축해야 한다. 그러나 이번 점검에서는 이러한 위기대응 조치가 제대로 이행되지 않은 것으로 확인됐다.
사이버 보안 실태점검 결과를 종합하면 중앙부처 및 지방자치단체의 정보시스템은 그 중요성에 비해 정보보안 측면에서는 ‘우수’하게 지켜지지 않고 있으며, 일부 기관의 경우 기본적인 보안 수칙조차 준수하지 못하고 있음을 알 수 있다. 그렇다면 이 같은 원인에는 어떤 것들이 있으며, 우리나라 중앙·지자체 정보시스템의 정보보호 수준을 상향 평준화시키기 위해서는 어떻게 해야 할까?
‘해답은 현장에 있다’는 말처럼, 정보보호 실무 담당자들의 설문조사에서 그 답을 찾을 수 있다. 2024년 국가정보원이 발간한 국가정보보호백서에 따르면, 중앙 및 지자체, 공공기관의 정보보호 실무자들을 대상으로 정보보호 업무에 관한 의견을 조사한 결과, 정보보호에 대한 부담과 업무 책임은 매우 크지만, 실제 정보보호 전문인력은 현저히 부족하다고 답했다. 또한, 정보보호 업무의 성과에 대한 적절한 평가가 이루어지지 않고 있으며, 업무 추진 시 조직 내에서 충분한 업무 협조를 받지 못해 애로사항이 있는 것으로 나타났다.
설문에 따르면 정보보호 전담부서를 운영한 국가·공공기관은 최근 감소 추세를 보였다. 정보보호·보안에 대한 부담과 업무는 증가하는 반면에 적절한 전문 인력 및 인원수는 배치되지 않았다. 정보보호 전담부서 인원에 대해서도 정보화 담당의 인원에 비해서 ┖30% 이하┖라고 응답한 곳이 대부분으로 나타나 정보보호 전문 인원 확충이 여전히 필요한 것으로 나타났다. 무엇보다 기관 내 정보보호 담당자들을 어렵게 하는 것은 조직 내 업무 평가절하와 동료들의 비협조적 태도였다. 정보보안 담당자들은 과반수가 넘는 57.5%가 업무에 만족하지 않았다. 불만족 이유로는 ‘업무 중요성 대비 평가절하’가 가장 많았고, ‘비협조적 태도와 경시하는 분위기’ 및 ‘전문성 부족에 따른 업무수행 어려움’도 많았다. 다른 업무에 비해 정보보호 담당자로서의 업무 부담이 크다고 답변한 기관은 91.2%에 달했다. 주요 원인으로는 ‘업무에 대한 무한책임의식과 처벌에 대한 두려움’이 및 ‘과도한 업무량’을 꼽았다.
이러한 설문 조사 결과는 국제적 IT 컨설팅 기업인 가트너가 발표한 2025년 주요 사이버 보안 트렌드와도 일맥상통한다. 가트너는 2025년 사이버 보안 트렌드 6가지 중 하나로 ‘사이버 보안 번아웃 문제 해결’을 꼽았다. 가트너는 정보보안 인재 부족과 끊임없이 진화하는 사이버 공격 위협, 그리고 제한된 권한과 자원, 경영진의 지원 부족 등이 복합적으로 작용해 보안 담당자와 조직 전체에 만성적인 스트레스를 유발한다고 지적했다. 이러한 번아웃은 시스템 정보보안의 효과성에도 직접적인 영향을 미치기 때문에, 효과적인 보안 리더들은 자신의 스트레스 관리뿐 아니라 팀 전체의 웰빙을 위한 다양한 지원과 복원력 강화 프로그램에 적극 투자하고 있다고 밝혔다.
현재 공공기관 정보보호 담당자들이 겪는 어려움은 글로벌 IT 컨설팅 기업 가트너가 지적한 ‘사이버 보안 번아웃’ 현상과 정확히 일치한다. 실제로 정보보호와 개인정보보호의 중요성이 높아지면서 지켜야 할 규정과 가이드라인은 늘어나고 있지만, 공공시스템의 정보보호 인력과 인프라는 여전히 부족해 현장에서 한계에 부딪히고 있다. 인력과 예산 부족, 과도한 업무 부담, 조직 내 협조 미흡 등으로 인해 번아웃이 심화되고 있는 것이다. 가트너 역시 앞으로 사이버보안 인재의 번아웃 해소와 지속가능한 보안 조직 구축이 핵심 과제가 될 것이라고 전망한다. 그렇다면, 현장에서 실질적으로 적용할 수 있는 개선 방안은 무엇일까?
첫째, 정보보호 전문 인력과 예산 지원 확대가 필수적이다. 실제 공공기관의 정보보호 담당자들은 전문성 부족과 인력 부족을 가장 큰 애로사항으로 꼽고 있다. 정부 및 지자체에서 정보보호 전문직 공무원 임용, 전담부서 신설, 정보보호 예산 증액 등 구조적 지원을 강화해야 한다. 현재 기관별로 정보보호 책임자 및 담당자를 지정하도록 체계화되어 있으나, 이들이 실질적으로 역량을 발휘할 수 있도록 전문성 강화, 지속적 교육, 인센티브 등 실효성 있는 지원책 제공이 반드시 병행되어야 한다.
둘째, 인력 충원과 더불어 자동화 솔루션 도입으로 업무 효율과 보안 수준을 동시에 높여야 한다. SIEM(Security Information and Event Management)과 SOAR(Security Orchestration, Automation and Response) 같은 자동화 도구는 보안 이벤트 탐지와 대응을 자동화해 담당자의 반복 업무 부담을 줄이고, 탐지 정확도와 대응 속도를 높인다. 실제로 인천광역시 사례를 보면 2024년 지자체 데이터센터 내에 SOAR 솔루션을 도입해 보안관제 업무를 자동화하고, 관제 인력이 고위험 사고 분석 등 핵심 업무에 집중할 수 있도록 개선하기도 했다. 특히, 기초 지자체 등 소규모 기관이나 인력이 적은 조직일수록 자동화의 효과가 더욱 크다.
세 번째로 기본 보안 수칙 준수와 취약점 관리 강화가 필요하다. 클라우드 환경에서의 비인가자 접근 차단, 취약 포트 변경, 암호화 조치 등은 여전히 가장 기본적이면서도 효과적인 보안 대책이다. 장비 노후화 및 인력 부족 등의 사유로 일부 기관에서 기본적인 보안 수칙이 지켜지지 않고 있지만, 기본을 지켰을 때 정보보호의 효과는 커진다. 또, 정기적인 취약점 진단, 모의해킹, 보안 교육과 훈련을 통해 반복적으로 발견되는 취약점을 근본적으로 개선하는 노력도 잇따라야 할 것이다.
마지막으로, 조직 전체가 정보보호의 중요성을 인식하고 협력하는 문화 조성이 필요하다. 보안이 IT 부서만의 일이 아니라 모든 구성원이 함께 동참하고, 책임져야 하는 조직의 핵심 가치로 인식되어야 한다. “사슬은 가장 약한 고리만큼만 강하다”는 보안 격언처럼, 조직 전체가 한마음으로 보안에 참여해야 전체적인 정보보호 수준이 높아질 수 있다.
결론적으로, 공공 정보시스템의 정보보호 수준을 높이기 위해서는 전문 인력과 정보보호 예산 지원, 자동화 솔루션 도입, 기본 보안수칙 준수, 조직문화 개선 등 다각적인 층위에서의 노력이 병행되어야 한다. 최근 정부는 정보보호 강화를 위해 새로운 정책과 제도를 도입하고 있다. 개인정보보호위원회는 2024년 공공기관 개인정보 보호수준 평가제를 실시하여 공공의 개인정보보호 현황을 점검하고 우수사례 등을 공유하는 등 선제적인 개선작업을 추진했다. 또한, 신기술 대응을 위해 다층보안체계(MLS, Multi-Layer Security) 도입, 생성형 AI 보안 가이드 제정 등 법제도 개편도 활발하게 진행되고 있다. 새로운 정보보호 정책과 제도 변화는 현장의 실질적인 개선 노력이 더해질 때 비로소 효과를 발휘할 수 있다. 이를 통해 사이버 위협에 대한 예방적 대응력을 높이고, 국민에게 안전하고 신뢰받는 디지털 행정 서비스를 제공할 수 있을 것이다.
[글_ 김선효 기술사/한국지역정보개발원]
필자 소개_
- 정보관리기술사, 정보시스템 수석감리원, 정보통신공사 특급감리원
- 한국정보공학기술사회 미래융합기술원 보안분과 위원
- 한국정보공학기술사회 G-포럼 위원
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
