[인터뷰] 근정포장 수상한 신 호 중 기획재정부 정보화담당관

[보안뉴스 김태형] 기획재정부 신호중 정보화담당관은 기획재정부의 신규 정보화 사업 진행, 개인정보보호 정책 수립, 사이버안전센터 구축과 사이버공격 대응방안 마련 등의 정보보호에 관한 전반적인 실무를 이끌어왔다. 이러한 공로를 인정받은 그는 지난 10일 정보보호의 날 기념식에서 근정포장을 받았다.

이와 관련 신호중 정보화담당관은 “정보보호의 날에 이렇게 뜻깊은 상을 받게 되어 큰 영광으로 생각한다. 특히, 이 상을 받을 수 있었던 것은 저보다 더 열정적으로 일을 하면서 이끌어주었던 선배들과 그런 선배들을 위해서 최선을 다해 주었던 후배들이 있었기에 가능했다”고 밝혔다.

이어서 그는 “아울러 몸담고 있는 우리 부의 장·차관님을 비롯한 동료직원들과 산하기관의 보안업무 관련 직원들의 도움이 있었기에 가능했다. 그동안 망분리사업, 재정경제 사이버센터 구축, 각종 사이버 훈련 등에 불평 없이 적극적으로 참여하고 따라와 주지 않았더라면 지금의 성과를 낼 수 없었을 것”이라고 덧붙였다.

기획재정부 정보화담당관으로 그는 기획재정부 부내의 신규 정보화사업의 발굴 및 개발·구축, 정보사업의 중복개발방지 및 상호연관성 확보를 위한 EA의 운영관리, 기존 시스템 기능 개선을 통한 기획재정부의 행정업무 효율성 제고, 정보화시행계획의 수립 및 추진, 개인정보보호정책의 수립, 국가기반체계보호계획 수립 등 기획재정부의 업무정보화 및 IT 서비스를 지원하고 있다.

아울러 정보시스템 및 PC에 대한 사이버공격에 대응한 실시간 관제체계 구축(2010년 8월 한은, 수출입은행, 투자공사 등 7개 기관을 관제하는 재정경제사이버안전센터 개소)을 통해 24시간 대응하고 있다. 이 외에도 그는 DDoS 훈련 및 모의 해킹훈련을 통한 사이버공격 대응 체계를 강화하는 등 사이버 공격 대응능력 제고 및 예방활동 강화 등의 업무를 추진하고 있다.

현재 기획재정부의 정보보안 주요 현안과 해결방안에 대해 신호중 담당관은 “보안 업무를 추진하는 데 있어 많은 전문인력과 조직이 필요하다. 하지만 현재의 인력으로는 모든 보안업무를 추진하기가 쉽지 않다. 이를 해결하기 위해 보안인력을 확충하고 양성하는 문제가 주요 현안 중에 하나”라며 “이러한 문제를 해결하기 위해 전 직원 교육과 보안관제 전문교육 등 다양한 보안관련 교육을 실시하고 있다”고 설명했다.

이 외에도 기획재정부는 보안업무·관리의 자동화 체계를 구축해 보안업무 추진과정에서 쌓이는 노하우와 업무프로세스를 체계화하고 이를 통해 누구나 쉽게 보안업무를 수행할 수 있도록 업무를 고도화하고 있다.

또한, 기획재정부는 망분리 이후 보안이 한층 강화됐으나 빨라진 무선통신 속도와 정보화기기의 발달로 인해 가장 큰 위협으로 발전하고 있는 모바일기기에 대한 보안강화에 관심을 가지고 향후 중점 추진사업으로 준비하고 있다.

신호중 담당관은 최근 국가기관의 정보보호 강화와 관련해서는 “최근 들어 국가 중요 시스템을 대상으로 해킹 시도 및 DDoS 공격, 고도화된 APT 공격 등 다양한 공격이 증가하고 있다. 기관들은 최신 해킹시도 및 APT 공격에 대응하기 위해 첨단장비 등을 도입하고 사이버공격으로부터 방어하고 있다”고 말했다.

그는 “하지만 아무리 첨단장비라도 그 장비를 제대로 활용하지 못하면 보안위협에 항상 노출될 수 밖에 없다. 또한, 관리부서 및 직원들의 보안의식이 낮다면 직원들의 PC를 통한 침입이나 공격에 당할 수 밖에 없다”면서 “이러한 문제를 개선하기 위해서는 국가기관의 보안을 담당하는 주무부서에 힘을 실어줘야 한다. 그래야 해당 부서에서 보안관련 정책을 추진할 때 해당 부서 직원들이 따라주게 된다”고 강조했다.

즉, 아무리 좋은 정책과 보안대책을 내놓아도 직원들이 따라주지 않으면 결국 무용지물이 된다는 것. 보안조직의 힘이 커지고 보안정책이 강화되면 부서 직원들의 보안의식 또한 개선된다는 것이 신 담당관의 생각이다.

그는 “보안정책을 바탕으로 직원들에 대한 지속적인 보안교육을 실시하고 보안수준 평가 등을 통해서 직원들의 보안수준이 올라갈 수 있다. 기획재정부에서 현재 구축하고 운영하고 있는 ‘나의 정보보안 수준평가 시스템’이 좋은 예”라고 말했다.

해당 시스템을 통해서 직원들의 보안수준을 평가하고 연말에 성과에 반영함으로 인해서 직원들의 보안의식이 많이 향상됐다는 평가다. 이전에는 수동적으로 임했던 보안의식이 이제는 능동적으로 바뀌어서 스스로 보안을 몸에 익히고 행동한다는 것.

그렇다면 공공기관에서 가장 중요하게 생각하는 보안은 무엇일까? 공공기관은 중요 문서와 개인정보가 많이 있다. 그렇기 때문에 공공기관 직원들을 대상으로 중요 자료를 탈취하기 위한 APT 공격은 점점 증가하고 있다.

신 담당관은 “이러한 공격으로부터 공공기관의 중요 자료와 개인정보를 지키려면 기관 메일이 아닌 상용 메일의 사용을 원천적으로 금지시켜야 하며, 기관 메일로 온 메일도 의심스러운 메일은 열어보지 말아야 한다. 또한 의심스러운 메일은 사이버안전센터로 바로 신고해야 한다”고 강조했다.

또한 그는 “공공기관에는 여러 외주업체 직원들이 근무를 하고 유지보수를 하기 위해서 들어오기도 하기 때문에 이러한 외부업체 직원들로부터 중요자료가 외부로 반출되지 않도록 외부인력 관리도 철저히 해야 한다”고 덧붙였다.

특히, 외부직원들의 PC는 철저히 격리시켜 사용하도록 해야 하며 유지보수를 위해 들어오는 직원의 경우 노트북 등 휴대용 저장매체를 절대 사용하지 않도록 해야 한다는 얘기다. 이러한 것을 가능하게 하려면 관리적, 물리적, 기술적 보안 정책을 수립해 효과적으로 관리해야 한다고 신 담당관은 설명했다.

끝으로 그는 “올해 3.20 사이버테러와 6.25 사이버공격 등 두 차례에 걸친 큰 사이버 공격으로 인해 국가주요시설의 전산망이 마비되면서 큰 혼란이 발생했다. 다시는 이러한 피해를 입지 않도록 민·관·군 모든 분야 전문가들과 담당자들이 힘을 합쳐 하나 하나 대응해야 할 필요가 있다”며, “‘소 읽고 외양간 고친다’라는 속담이 있듯이 이제는 우리나라 사이버 보안체계도 사후 대응에서 벗어나 유비무환의 정신으로 대비해야 할 때”라고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>