김완집 정보협 회장 "회원기관 507곳 달해...산학관 협력 강화"

"산학관 등 유관기관과 협력 강화에 주력하겠습니다."

김완집 전국정보보호정책협의회(정보협, 영어명칭 NISPA, National Information Security Policy Association) 회장은 최근 지디넷코리아와의 인터뷰에서 이 같이 밝히며 "수준별 교육체계를 마련하는 등 회원기관과 회원들을 위한 교육체계도 구축하겠다"고 말했다.

김완집 서울시 정보보안과장이 지난 9월말 코엑스에서 열린 정보협 총회에서 인사말을 하고 있다.

"16개 광역시도, 124개 지자체, 364개 공공기관이 회원"

정보협(NISPA)은 2024년 10월 설립된 전국 최대 규모 공공 부문 정보보호(보안) 단체다. 중앙정부기관과 광역시도, 시군구, 공공기관들이 회원이다. 회원기관이 꾸준히 늘어 현재 507곳에 달한다. 충남도를 제외한 16개 광역시도가 모두 회원기관이고 기초지자체도 125곳(가입율 55%)이 회원으로 활동하고 있다. 이들 행정시도 외에 건강보험공단, 신용보증기금, 국민연금공단 같은 공공기관 364곳도 회원기관이다.

김 회장은 "생성형 AI 등 새로운 사이버위협이 고도화함에 따라 전국 지자체와 공공기관,중앙부처가 ‘정보보호 및 개인정보보호 역량’을 체계적으로 강화하고 최신 정책 및 경험을 공유하기 위해 정보협을 결성했다"면서 "앞으로 국내 뿐 아니라 국제 정보보호 전문기관(퀘벡주 프롬프트 등)과 정보보호 신기술에 대해 협력하는 방안(버그 바운티, 포럼 등)도 마련중이다"고 설명했다.

지자체 및 공공기관 실무자들은 정보보호와 개인정보보호 법·제도의 컴플라이언스 준수에 어려움을 겪고 있다면서 "사이버위협 대응에 대한 체계적 지원이 필요하다는 공통된 고민을 갖고 있다"고 전했다. 이런 문제를 해소하기 위해 정보협은 공공부문 전체의 정보보호 수준을 높이는 활동을 하는 한편 궁극적으로는 대한민국의 정보보호 수준을 한단계 끌어올리는데 기여할 계획이다.

운영 및 기술 분과 신설...AI보안에 체계적 대응

정보협은 앞으로 운영분과와 기술분과도 신설할 예정이다. 이와 관련 김 회장은 "회원기관이 많아지고 업무 역할 범위가 확대함에 따라 새 분과 신설 필요성이 제기됐다"면서 "운영분과는 중앙부처 등 공공영역과 협력하는 '공공분과'와 기업 등 산업계와 협력하는 ‘산학분과’, 회원기관 대상 수준별 교육·훈련체계 구축을 위한 ‘교육분과’를 만들 예정"이라고 말했다.

특히 기술분과의 경우 ▲응용서비스분과 ▲AI보안분과 ▲네트워크보안분과 등을 결서해 최신 보안위협과 기술에 대응할 수 있는 체계적 조직을 갖출 방침이다.

과기정통부와 개인정보위 등 유관기관과 협력 플랫폼 역할도 강화한다. "공공기관의 정보보호 업무매뉴얼 및 훈련프로그램을 중앙부처와 협력해 만들어 보고자 한다"면서 "아울러 공공부문 '우수사례 발표 및 시상식'을 매년 연말에 개최, 회원기관들이 추진하고 있는 우수 사례 및 정책을 공유하고, 특히 우수사례를 심사해 과기정통부와 개인정보위와 같은 중앙부처 기관장의 표창을 수여할 계획"이라고 밝혔다.

정부기관 뿐 아니라 유관기관과 업무 협약도 추진한다. 정보보호 신기술 도입과 개인정보 및 의료정보 관리 강화를 위해서다. 작년에 연세대학교 바른ICT연구소와 한국정보보호산업협회(KISIA)와 협력을 위한 MOU를 맺은데 이어 조만간 '한국제로트러스트보안협회'와 ‘개인정보전문가협회’와도 MOU를 맺을 계획이다. 병원정보보안협의회와도 협력할 예정이다.

정보협이 전국을 커버하다보니 회원기관간 정보보호에 차이가 있다. 이에 수준별 교육체계를 마련할 예정이다. 예를들어 초급반의 경우 정보협 회원으로 구성한 전문가 인력풀을 조성하고, 중급반과 고급반은 한국정보보호산업협회(KISIA) 같은 전문 교육기관과 협력해 교육 프로그램을 만들 계획이다. 이외에도연세대 바른ICT연구소와 협력해 국외 학술대회를 추진하는 등 회원기관이 최신기술과 정책을 자연스럽게 습득할 수 있는 행사도 마련할 예정이다.

오는 10월 설립 3년차를 맞는 정보협은 그동안 여러 활동을 해왔다. 과기정통부와 개보위 등 중앙부처와 협력해 정책포럼과 세미나를 5회 이상 개최했는데, 누적기준 1029개 기관(1714명)의 정보보호 및 개인정보보호 책임자 및 담당자들이 참여했다.

김완집 정보협 회장 등이 작년 연세대 바른ICT연구소와 협력을 위한 MOU를 맺고 있다.

작년 '대한민국 사이버보안 컨퍼런스' 성황리 첫 개최...올해도 10월 6일 열어

또 정보협은 작년에 이어 올해도 '대한민국 사이버보안 컨퍼런스'를 오는 10월 6일 코엑스에서 개최한다. 작년 처음 주관한 '대한민국 사이버보안 컨퍼런스'는 서울시가 주관하는 2박 3일 행사로 스마트시티 등 첨단 ICT 기술박람회인 '서울스마트라이프위크(SLW)’와 국내 최대 AI 행사인 'AI페스타'의 부대행사로 열린다. 작년 '제 1회 대한민국 사이버보안 컨퍼런스'에는 하루 단일 행사임에도 698개 기관에서 957명이 참석했다. 중앙부처(과기정통부, 개인정보위)와 학계(KAIST), 산업계(티오리, 안랩)가 함께 참여해 ‘정책, 정보보호 기술, 개인정보보호’ 등 3개 분야의 최신 동향 및 정부 정책을 공유했다. 뿐만 아니라 'AI시대 공공영역 정보보호 대응정책'을 주제로 KAIST, 성균관대학교, 한국인터넷진흥원 전문가를 초청, 강연하는 시간도 가졌다.

특히 작년 7월부터 회원기관을 대상으로 ‘카카오톡 오픈채팅방’을 개설, 이를 통해 정보협의 행사 계획부터 최신 정책 및 기술 동향을 공유하는 한편 정보보호 관련 업무에 대해 궁금하거나 어려운 사항을 회원 간 서로 질문과 답변하는 공간도 마련했다.

개인정보위에 따르면 작년 1월부터 11월까지 공공기관 개인정보 유출 111건 중 59%가 업무 과실로 발생했다. 민간 사고(18%)와 비교해 약 3배 이상 높은 수치다. 지난해 공공 분야 유출 신고 건수도 2020년 이후 5년 만에 10배 이상 증가했다. 현재 공공 분야는 약 1만2000개의 시스템을 통해 국민 개인정보 약 775억건을 처리하고 있다.

김 회장은 생성형 AI 등 신기술 발전으로 공공과 민간을 구분하지 않고 사이버공격 빈도가 지속적으로 증가하고 있다면서 "중요하게 관리해야 하는 정보에 대한 암호화 미실시, 기본적인 정보시스템 자산 및 권한관리 미흡, 단일인증 암호체계로 인한 인증서 유출 등 우리가 평소에 기본적으로 지켜야 하는 기본 수칙을 지키지 못해 예방하지 못한 사례들이 많다"면서 "우리 정보협은 가장 기본적인 정보보호 기본수칙부터 준수할 수 있도록 컴플라이언스 준수체계를 구축하고 각급기관의 책임자 및 담당자들의 수준별 교육방안을 마련해 제공하는 한편 각급기관의 우수사례 등을 공유하는 자리를 마련하는 등 안전한 안정보보호 활동을 확대해 추진하겠다"고 강조했다.

이어 국정원, 개보위 등 중앙부처에서 요구하는 법적 의무사항들이 현실에서 적용 가능한 것인지 서로 논의하고 현장에 적용하는데 어려움을 해소할 수 있게 국정원, 개보위 등 중앙정부 협력 설명회를 적극 개최할 예정이라고 덧붙였다.

AI가 발전하면서 올해도 공공분야 해킹은 더 기승을 부릴 전망이다. 김 회장은 "현재 506개 회원기관 중 16개 광역, 30여개 준정부기관을 제외한 약 460여개 회원기관은 조직규모가 작은 기초지자체 및 기타공공기관에 해당한다"면서 "설문조사를 바탕으로 현황조사를 실시해 정부에 만성적인 인력부족 문제를 해소할 수 있는 정책방안을 요구할 예정"이라고 밝혔다. 이어 ""회원기관 간 보안관제 위협정보, AI 공격동향 및 AI보안관제 학습데이터 공유 등 기술적 협력 방안도 마련해 공공분야 사이버보안 강화 및 해킹 사전 예방체계를 마련하겠다"고 말했다.

서울시 정보보호 과장으로 재직..."EDR 확대 등 제로트러스트 기틀 마련"

정보협 창설 주역인 김 회장은 현재 서울시 정보보호과 과장으로 재직하고 있다. 정보보호 분야를 단독 과(科)로 만든 광역시도는 서울시가 유일하다. 서울시의 보안에 대해 김 회장은 "대한민국 수도로서 중요 데이터 및 기반시설을 보유하고 있어 이에 대한 안전한 보호가 반드시 필요하다"면서 "우리 시는 사이버위협을 차단하고 안전한 정보보호 환경을 조성하기 위해 지난 1월부터 '서울특별시 사이버보안 개선 종합대책'을 수립해 정보보호 활동을 적극 추진하고 있다"고 말했다.

서울시는 여러 정보보호 정책을 추진하고 있는데 구체적으로 첫째, 정보보호에 대한 전 기관의 관심도 제고를 위해 관리자급 공무원의 개인평가에 정보보안 항목을 새로 도입했고, 기존 기관평가 지표에 평가 비율도 확대할 계획이다. 아울러 각급기관 및 부서의 정보보호 인식 제고을 위한 보안감사도 연 1회 추진할 예정이다.

둘째, 생성형 AI 등 사이버공격 기술 고도화에 따라 시 내외의 정보보호 체계 강화를 위해 제로트러스트 보안모델을 적용한 ‘서울시 5개년 사이버보안 기본계획’을 수립할 예정이다. 오는 2027년부터 2031년까지 제로트러스트 보안모델 도입을 위해 연도별 추진목표를 설정하고 효과성 높은 '핵심 6요소(사람 및 신원, 기기 및 앤드포인트, 네트워크 및 세그멘테이션, 시스템 및 애플리케이션,데이터, 가시성 및 모니터링)’를 선정해 우선 도입할 계획이다.