한국정보보호산업협회, 정보통신기반보호법 개정 촉구

금융ISAC 취약점 분석 허용 조항 삭제 요구

한국정보보호산업협회(회장 안철수 www.kisia.or.kr)는 29일 서울 프라자호텔에서 안철수 회장, 백태종 컨설팅분과위원장 등이 참석한 가운데 기자간담회를 열고, 최근 논란이 일고 있는 금융 부문의 정보공유분석센터(Information Sharing and Analysis Center. 일명 ‘금융ISAC’)가 금융권 정보보호 취약점 분석 업무를 수행하는 데 따른 문제를 지적하고 그 해법으로 관련 법 개정을 촉구했다.

ISAC은 해킹이나 바이러스 같은 정보 침해사고를 분석하고 그 정보를 바탕으로 탐지와 대응, 나아가 예방까지 할 수 있는 조직을 의미한다. 금융ISAC은 정보통신기반 보호법 제 16조에 근거해 지난해 12월 설립되었으며 금융결제원이 은행권을, 한국증권전산이 증권 분야를 대상으로 업무를 수행하며, 금융감독원이 사무국을 맡고 있다.

정보통신기반보호법 제 9조에 따르면 금융ISAC은 정보통신부가 지정한 정보보호컨설팅 전문업체들과 마찬가지로 취약점 분석 업무를 수행할 수 있도록 되어있다. 실제 수행 업무가 정보 공유 및 분석 서비스(침해사고 관련 정보 제공), 취약점 분석 평가(보안 컨설팅), 실시간 모니터링(보안관제 서비스) 등으로,기존 정보보호전문업체들의 사업 영역과 중복되어 전문업체 지정 제도와 배치된다는 지적이 계속 나오고 있다.

안철수 회장은 이 날 기자간담회를 통해 “정보보호의 문제는 공공 부문과 민간부문이 공동 협력해 해결해야 할 사안인데 경쟁 구도로 왜곡되어 가고 있다”고 지적하며 "정보보호의 성공은 민간과 공공간의 협력관계에 좌우된다고 할 만큼 이미 미국 등 선진국에서도 이러한 방향으로 나아가고 있는데, 우리나라는 법률적인 문제점 때문에 이에 역행해서 국가차원의 경쟁력을 약화시키고 있다는데 위기감을 느끼고 있다"고 밝혔다.

이 같은 인식에 따라, 안 회장은 금융감독원과 한국증권전산 등 금융ISAC 관련 기관 방문을 통해 법 개정에 대해 긍정적임을 확인했고, 정보통신부도 문제 인식에 대해 공감대를 가지고 있는 것으로 확인했기에 조만간 정식으로 법 개정 요청 건의문을 보낼 것이라고 밝혔다.

또한, 안 회장은 “이미 1.25 대란 이후 정보보안이 범국가적 차원에서 대처할 중요과제로 대두됐음에도 불구하고 정부부처간 이견을 조정할 상급기관도 없는 실정”이라며 "미국이 9.11테러 이후 국토 안보부를 신설하고 국가안보 차원에서 해결책을 찾았듯이 빙산의 일각에 불과한 금융ISAC 문제 뿐 아니라 정보보호 전반에 대한 장기 관점에서 민간과 공공이 바람직한 역할을 정립할 수 있는 궁극적인 해결책 마련이 시급하다"고 말했다.

이를 위해 안 회장은 지난 23일 금융ISAC 사무국을 맡고 있는 금융감독원과 증권 분야 금융ISAC을 맡고 있는 한국증권전산을 방문하여 관계자들과 의견 교환을 통해 관련 법이 개정되는 것이 가장 바람직한 해결책이라는 데 인식을 같이한 바 있다.

한편, 한국정보보호산업협회의 조사에 따르면 2차 주요 정보통신기반시설로 지정된 54개 기관 (66개 시스템) 중 기관 수 기준 45%(시스템 수 기준 51%)가 금융ISAC을 통해 취약점분석·평가를 진행할 것으로 확정되었고, 추가 확정시 기관 수 기준 53%( 시스템 수 기준 58%)로 확대될 전망이다.

이에 따라 정보보호산업협회는 관련 법 개정을 추진하고 있다. 정보통신기반보호법 제 9조(취약점의 분석·평가) ③항에서 『...취약점을 분석·평가하고자 하는 경우에는 다음 각 호의 1에 해당하는 기관으로 하여금 ... 취약점을 분석·평가하게 할 수 있다. 1. 한국정보보호진흥원 2.정보공유분석센터 3.정보보호 컨설팅 전문업체 4. 한국전자통신연구원』으로 규정된 기관 중 정보공유·분석센터 부분을 삭제해 줄 것을 건의할 예정이다.

한국정보보호산업협회는 이러한 법개정의 논거로 ▶ 국가 경쟁력을 높일 수 있는 분야로서 정보보호산업 육성 필요성 ▶ 공공 부문과 민간 부문의 역할 정립▶ 감독 기관이 산하 금융기관의 취약점 점검을 담당하는 것은 해외 어느 나라에서도 유례가 없는 불합리한 제도라는 점 등 을 제시했다.

한편, 지난해 12월 설립된 금융ISAC이 지난 2월부터 본격적으로 업무를 개시하자 정보보호컨설팅전문업체협의회(현 컨설팅분과위원회)가 지난 2월 7일 기자회견을 통해 이의 문제점을 지적한 바 있다.

또한 지난 2월 한국정보보호산업협회가 안철수 회장 취임 이후 협회 차원에서 컨설팅분과위원회(위원장 백태종 부회장)를 두고 이 문제에 대해 공식 대응키로 하고 지난 3월 3일 금융감독원에 공문을 발송해 공정 경쟁을 통한 금융기관 정보보호 업무 지도 협조 건의를 했으나,이에 대해 금융감독원은 아무 문제가 없다는 입장을 밝힌 것으로 알려졌다