[이데일리 함지현 이영민 기자] 460만건으로 추정되는 서울시 공공자전거 ‘따릉이’ 회원 개인정보가 10대 청소년을 통해 유출되는 사이 정보보안 전문가는 서울시설공단에 없었다. 서울시설공단은 공공자전거, 장애인콜택시, 공영주차장 등 시민의 일상과 밀접한 다양한 서비스를 운영하다보니 보안 위협에 언제나 노출돼 있다. 하지만 따릉이 시스템관리팀은 팀장 1명, 일반직 4명 등 총 5명에 불과하다. 이들은 팀원 모두 컴퓨터 및 시스템 관련 전공자인 ‘전산직’ 직원이다. 공단측은 “시스템 운영에 필요한 일반적인 기술적 전문성을 보유하고 있다”고 항변하지만 이번 정보 유출 사태는 이 팀이 보안 업무에 최적화돼 있지 않다는 점을 방증한다.

이는 비단 서울시설공단에 국한한 문제가 아니다. 대부분의 공공분야는 정보보안 인력 수급에 목말라 있다. 정보보안 업무와 공공직의 특성이 겹쳐지며 오랫동안 쌓여온 구조적 문제다. 공공기관에서는 많은 보수를 기대하기 어려울 뿐만 아니라 순환 근무로 인해 관리직이 전문성을 갖추기 힘든 환경이다. 이런 환경 탓에 사고가 발생하지 않도록 관리해도 본인의 공으로 인정받기 어렵지만 사고가 발생하면 책임을 져야한다는 점도 부담이다.

전담 부서 구성·인력 배치 미흡…처우 낮고 업무는 과부하

18일 정부와 학계 등에 따르면 우리나라 국가·공공기관들은 정보보호 전담부서의 필요성에는 공감하면서도 실제 조직 구성이나 인력 충원은 기대에 못미치는 상황인 것으로 나타났다. 정보보안은 외부의 해킹 시도를 차단하는 방어 활동뿐만 아니라 기관이 보유한 유·무형의 자산을 안전하게 관리토록 하는 광범위한 행정·기술적 체계를 의미한다.

국가정보원이 발간한 ‘2025 국가정보보호 백서’에 따르면 중앙행정기관을 비롯한 82개 기관 담당자를 대상으로 설문을 실시한 결과 정보보호 전담조직을 운영하는 기관 중 정보보호 전담 인력이 9명 이상 필요하다는 답이 39.0%로 가장 많았다. 하지만 실제 인원은 3~4명이라는 응답이 28.8%, 1~2명은 25.4%로 나타나 현실과의 괴리를 보였다. 9명 이상이 근무하고 있는 곳은 18.6%에 불과했다.

전담조직 필요 여부에 대해서는 10곳 중 9곳이 반드시 필요하다고 보고 있었다. 실제로 정보보호 전담부서를 운영하는 기관은 67.1%로 집계됐다. 지방자치단체는 85%, 공공기관은 75%가 정보보호 전담부서를 두고 있지만 중앙행정기관은 44.4%에 그쳤다. 전담부서를 운영하지 않는 기관은 55.8%가 예산·인력 부족을, 20.9%는 기관장의 인식 부족을 사유로 꼽았다.

이같은 모습은 현장의 전문성 결여와 업무 과부하로 이어진다. 단순한 인원 부족뿐만 아니라 보안 전문가들이 공공 부문을 기피하거나 떠나게 만드는 구조적 악순환이 반복되고 있어서다.

가장 근본적 원인은 낮은 처우와 경력 단절에 대한 우려다. 민간기업이라고 대우가 모두 좋은 것은 아니지만 각종 성과급이나 스톡옵션 등 공공의 영역에서는 사실상 불가능한 보상방법이 있다. 동종업계 이직시 일회성 보너스인 ‘사이닝 보너스’를 많이 받기도 한다.

학계 관계자는 “취업을 준비하는 과정에서 공공 정보보안 분야는 급여가 낮고 자기 경력 관리가 어렵다는 소문이 많이 나 있어 지원을 하지 않는 추세”라며 “사명감으로 설득을 하기에는 격차가 너무 벌어져 있다”고 지적했다.

(그래픽= 김정훈 기자)

숙련도 키우기 어려운 구조…처벌에 대한 두려움도

공공 특성상 순환근무를 하는 조직적인 문화도 전문성을 키우기 어려운 이유로 꼽는다. 정보보안은 고도의 기술적 숙련도와 조직의 인프라에 대한 장기적인 이해가 필수적이다. 하지만 일반직 중심의 순환보직제는 새로 부임한 비전문가 관리직이 업무를 파악하는 동안 보안 공백이 발생하고 이 과정에서 발생하는 실무적 부담은 고스란히 남겨진 기술직이나 임기제 공무원에게 전가되는 현실이다.

광역지방자치단체 한 관계자는 “해킹 시도 여부를 판단할 때 인공지능(AI) 기술을 이용할 수도 있지만 결국 담당직원의 경험과 배경지식이 있어야 한다”며 “교육을 하더라도 순환보직이다 보니 주기적으로 같은 문제가 반복될 수밖에 없다”고 토로했다.

소위 말하는 ‘잘하면 본전, 못하면 독박’인 구조도 문제로 꼽힌다. 실제로 정보보호백서에서 정보보호 담당자들이 느끼는 상대적 부담감은 ‘매우 크다’가 51.2%, ‘크다’가 40.2%로 10명 9명 이상(91.4%)이 부담을 느끼는 것으로 조사됐다. 가장 큰 이유로는 업무에 대한 무한 책임 의식과 처벌에 대한 두려움(46.7%)을 꼽았다.

수도권 지자체의 공공보안 담당자는 “매일 수만 건의 해킹 시도를 탐지·차단하고 있지만 눈에 보이는 성과로 평가되기 어렵다”며 “반면 단 한 건이라도 사고가 발생하면 그간의 예방 노력과 무관하게 비난과 책임이 집중되는 구조”라고 푸념했다. 이어 “높은 전문성과 위험관리 책임을 요구받으면서도 이에 상응하는 보상이나 인센티브는 충분하지 않아 상당한 부담을 느끼고 있다”고 했다.

인력 부족은 과도한 업무 부담을 넘어 외주화 의존도를 높이기도 한다. 이를 감독해야 할 공무원은 전문성이 부족할 가능성이 높다. 외주 업체 직원이 사고를 내더라도 최종 책임은 공무원이 지도록 하고 있어 능동적인 보안 강화보다는 보수적인 현상 유지에 급급해지기도 한다. 직접 시스템을 분석하고 문제를 해결할 수 있는 ‘기술적 자생력’이 약화될 수 있다는 우려가 나오는 이유다.

일련의 사태를 개선하기 위해서는 정부의 적극적인 역할이 필요하다는 목소리가 나온다. 노병규 연세대 정보대학원 산학협력중점 교수는 “공공 인력이 부족해 외주를 주다보니 공무원들은 전문성을 쌓기보다 관리자에 머물 수밖에 없다”며 “정부에서 전향적으로 정보보안 직군을 확대해 전문성 있는 인재를 흡수하는 등 발상의 전환을 해야한다”고 강조했다.