"내 정보는 내가 지킨다는 생각부터 가져야"

◇ 황중연 한국정보보호진흥원(KISA) 원장이 25일 서울 송파구 가락동 IT벤처타워 KISA 사무실에서 정보보호 정책과 사용자 인식 제고 등을 통해 2012년 한국의 정보보호 수준을 세계 5위로 끌어올리겠다는 포부를 밝히고 있다.

중국 해커에 의한 옥션의 대규모 개인정보 유출에 이어 PC를 원격조종하는 악성 프로그램 ‘봇(Bot)’을 이용한 해킹 사건이 잇따라 발생하는 등 올해 들어 각종 사이버 범죄가 끊이질 않고 있다. 이제 국민들은 내 개인정보가 인터넷상에 떠돌다 어떤 용도로 쓰일지 매일 불안에 떠는 실정이다. 이에 따라 개인정보 보호와 해킹 침해 대응을 담당하는 한국정보보호진흥원(KISA)의 역할도 어느 때보다 중요해지고 있다. 지난 25일 서울 송파구 가락동 IT벤처타워 KISA 사무실에서 황중연 KISA 원장을 만나 사이버상의 개인정보를 지키기 위한 KISA 활동 등을 들어봤다. 황 원장은 “정보보호는 기술이 아닌 문화”라며 “내 정보는 스스로 지킨다는 인식을 가지고 정보보호를 위한 행동들이 자연스럽게 몸에 배야 한다”고 강조했다.

―현재 우리 사회의 정보보호 수준을 평가한다면.

“아직 우리 사회 정보보호 수준이 높지 않은 게 사실이다. 지난 1월 세계경제포럼(WEF)에서 보안서버 분야는 한국이 고작 51위에 그쳤다. 물론 이 순위가 한국의 정보보호 수준을 종합적으로 평가하고 설명해주는 공식적인 잣대는 아니지만, 정보보호 수준이 하위권이라는 것만은 분명히 보여준다. 정보화에 격차가 있다고 얘기한다. 정보보호 분야에서도 마찬가지다. 개인의 경우 대도시 인터넷 사용자와 소도시 인터넷 사용자 간 격차가 있고, 기업도 대기업과 중소기업 간에 정보보호 수준의 차이가 존재한다. 이를 극복하는 것도 우리 사회 정보보호 수준을 높이기 위한 숙제다.”

―정보 유출에 따른 경제적 피해가 어느 정도 규모인가.

“자연재해와 정보유출 사고의 피해액을 비교하면 이해하기 쉬울 것이다. 2004년 3만여명이 숨진 인도네시아 수마트라섬의 쓰나미(지진해일) 피해액이 1조원이고, 최근 발생한 중국 쓰촨성 지진 피해액이 22조원으로 추정된다. 반면 우리나라 2006년 한 해 인터넷 침해사고 피해액은 13조원에 달하는 것으로 조사됐다. 사이버상의 개인정보 유출 피해는 단순한 사건·사고로 치부할 수 없는 정도가 돼 버렸다. 기업들도 개인정보 관리에 단단히 대비하지 않으면 안 된다. 지난해 법원은 LG전자의 입사지원자 자기소개서 유출 사건에 대해 피해소송에 참여한 31명에게 1인당 70만원씩 배상하라는 판결을 내렸다. 지금은 법상 소송을 제기한 사람들에게만 배상을 했지만, 미국처럼 소송에 참여하지 않더라도 관련 피해를 입으면 모두 배상해줘야 하는 ‘일괄구제제도’가 적용되면 이 기업은 피해자 전원 20여만명에게 모두 1400억원을 배상해야 했을 것이다. 기업은 개인정보를 중요하게 다루고, 이에 대한 관리를 철저히 해야 한다.”

―일본 기업들은 ‘사회적 책임’으로 인식하고 고객정보보호에 힘쓴다는데 우리나라 기업들의 정보보호 수준을 평가해 달라.

“우리나라는 지난해 정보보호실태조사에 따르면 50%만이 정보보호 대책을 수립하고 있었다. 기업 전반에 걸친 보안 위협을 사전에 대비하고, 종합적인 정보보호 대책을 수립하는 역할을 하는 것이 최고정보보호책임자(CSO·Chief of Security Officer)다. 하지만 우리나라 민간기업 중 CSO 임명비율은 6.4%에 불과하다. 반면 일본 경제산업성의 2007년 기업 대상 실태조사 결과에 따르면, 전체 조사대상 기업 중 85.5%가 정보보호 대책을 마련해 실시하는 것으로 나타나 우리나라와 큰 차이를 보인다. 기준은 다르겠지만 국내 기업들의 보안에 대한 불감증이 심각한 상태다. CSO 임명 비율은 전 세계 평균 21%에 달한다.”

―개인의 정보보안 교육이 중요할 것 같다. KISA의 역할은 무엇인가.

“요즘 조기교육, 조기교육하는데, 정보보호도 조기교육이 중요하다. 인터넷을 시작하는 때부터 정보보호 습관이 자연스럽게 몸에 밸 수 있도록 해야 한다는 것이다. 초등학교 때부터 정규 교과과정 또는 교육교재의 한 부분으로 정보보호가 반영될 수 있도록 추진하고 있다. 23일 정부가 발표한 인터넷 정보보호 종합대책에도 이 부분이 원론적으로 포함돼 있다. 현재 구체적인 사안은 교육과학기술부를 포함해 범정부 차원에서 논의되고 있다.

KISA 차원에서는 매년 초중등 학생을 대상으로 정보보호 표어와 포스터, 올해는 UCC부문까지 추가로 반영해 공모전을 실시해 왔다. 또 사단법인 한국해킹보안협회와 연계해 초중고 학생들을 대상으로 보안 교육을 하고 있다. 올해는 여름방학에는 보안회사 한 곳과 함께 10대 청소년들을 위한 청소년 보안교실을 연다.

―세계일보가 최근 ‘국경없는 사이버 범죄’ 시리즈를 보도했는데.

“국민에게 정보보호에 대한 인식을 높이고, 정책 집행자들에게는 시사점을 제시해 줬다는 점에서 아주 인상깊었다. 세계 주요 국가들의 정보보호 현황과 정책에 대해 집중적으로 현장감 있게 다룬 시도는 처음인 것 같다. 세계일보 기사에서도 다뤘듯이 미국, 유럽, 일본 등 선진국의 정보보호 실태와 대책을 보면 국가별로 특징이 있다. 미국은 국가안보 차원에서, 일본은 민간자율 측면에서 접근하고 있다. 정보화도 그렇지만 정보보호도 그 사회 풍토에 따라 서로 다른 현상이 나타나고, 그에 따른 대책이 강구되기 때문일 것이다.”

―그렇다면 한국적 특성이 반영된 정보보호 대책이란 무엇인가.

“미국이 규제에 초점을 맞추고 있고, 일본이 시장에 정보보호를 맡기는 것처럼 우리나라는 어느 한 곳에 정보보호의 초점을 맞추기 어렵다는 것이 특징이다. 규제와 시장 기능 하나로만 다루기에는 우리나라 정보화가 너무 빠르게 진행돼 왔고, 정보화와 정보보호의 격차도 무척 크다. 이 때문에 정부의 규제와 민간자율 기능을 적절히 조화시키는 것이 중요하다.

한국은 ‘정보 관리’에 보다 초점을 맞추어야 할 필요성이 있다. 정보 유출을 막기 위한 접근 방법에는 기술과 관리 두 가지가 있다. 기술은 바이러스 백신 개발, 해킹 방지 기술 등이다. 100%라고 장담할 수는 없지만 그래도 지금의 기술로 70∼80%는 막아내고 있고, 계속 신기술이 개발되고 있다. 그러나 기업이건, 개인이건 개인정보 관리 부분에서 구멍이 너무나 많이 뚫려 있다.”

―정보보호를 위한 원칙을 소개해 달라.

“3가지 키워드를 제시하고 싶다. 첫 번째는 그린 시큐리티(Green Security)다. 다양하고 복잡한 네트워크를 정리하거나 서버를 고성능·초절전으로 해서 정보보호는 물론 환경도 생각해야 한다는 것이다. 두 번째는 펀 시큐리티(Fun Security)로, 일반인들이 정보보호를 재미있고, 간단히 실천할 수 있는 다양한 방법과 교육프로그램을 제공해 실천력을 높여야 한다. 마지막으로 라이프 시큐리티(Life Security)다. 인터넷 사용은 노소를 불문한 것이 됐다. 영유아기부터 노령기까지 정보보호를 생활 속에서 실천하고 보호받는 환경을 만드는 것이 중요하다.”

―앞으로의 정보보호 방향이 있다면.

“정보보호는 문화다. 우리가 쌀을 주식으로 하는 것과 마찬가지로 자연스럽고 당연한 일이 돼야 한다. ‘정보보호는 컴퓨터 사용자 각자의 책임’이라는 인식을 갖는 것부터 시작해야 한다. 10년 전 정보기술(IT) 산업이 한창 발전할 시기 슬로건이 ‘산업화는 늦었지만 정보화는 늦지 말자’였다. 나는 이제 ‘앞서간 정보화에 정보보호도 뒤처지지 말자’는 내용의 슬로건이 필요하다고 본다. 또 하나, 기술이 발전할수록 정보보호의 중요성도 커진다. 자동차, 건물, 휴대전화, 복사기 등 IT와 관련 없는 것이 없게 됐다. 그래서 ‘임베디드된 정보보호’, 이 방향으로 가야 한다. 임베디드된 정보보호란 다 만들어놓고 정보보호 장비 등을 도입하는 것이 아니라 설계 단계부터 정보보호 시스템을 도입해야 한다는 것이다. 그래서 지난해 정부 6개 정보화 시범도시 사업 설계를 할 때 KISA가 나서 설계 단계부터 정보보호를 신경 쓴 설계를 하도록 했다.”

이진경 기자 ljin@segye.com