지방공공기관의 사이버 보안
디지털 행정의 기반, 보안이 무너지면
디지털 행정이 빠르게 확산되면서 지방공공기관의 사이버 보안 중요성도 그만큼 커지고 있다. 주민 개인정보와 공공서비스 인프라는 해커들의 주요 공격 대상이 되어, 한 번의 침해 사고가 공공 서비스 전반의 마비와 기관에 대한 신뢰 하락으로 이어질 수 있다. 하지만 많은 지방공공기관은 정보보호 인력과 예산이 부족해 체계적인 대응에 어려움을 겪고 있다. 사이버 보안은 단순한 기술적 문제가 아닌, 행정 신뢰와 국민 안전을 지키기 위한 필수 과제로 자리 잡았다. 따라서 지방공공기관의 보안 역량을 강화하고, 전문 인재를 양성하기 위한 종합적이고 장기적인 전략 마련이 무엇보다 필요하다.
글. 편집실
사이버 보안
일상화된 사이버 위협, 지방공공기관은 안전한가
최근 3년간 행정안전부가 발표한 자료에 따르면, 지방자치단체와 산하기관을 대상으로 한 사이버 공격은 매년 평균 1,000건 이상 보고되고 있으며, 특히 중소 규모 지방공공기관을 대상으로 한 랜섬웨어 감염 사례가 급증하고 있다. 이는 기관의 상대적인 보안 취약성과 연관이 깊다. 대다수 기관에서는 여전히 윈도우 보안 업데이트가 미비하거나 외부 저장장치 제어가 미흡한 상태에서 운영되고 있으며, 악성코드 탐지 시스템 또한 실시간 대응 능력이 떨어지는 경우가 많다.
실제 2022년 전북의 한 시청에서는 업무용 이메일을 통해 침투한 악성코드로 인해 인사자료와 예산 파일 수십 건이 유출된 사례가 있었다. 이 사건은 보안 관제 인력이 주말 근무를 하지 않아 조기 대응에 실패하면서 피해가 확산되었다. 또, 2023년 경북의 한 지방공기업은
외부 위탁 서버를 통해 민원 데이터가 유출된 사실이 뒤늦게 확인돼 해당 서버 관리의 책임 소재를 두고 논란이 일기도 했다.
이처럼 보안 사고는 단지 ‘기술적 오류’가 아니라 인력 부족, 운영 구조의 불균형, 책임 소재의 모호함 등이 복합적으로 얽힌 결과물이다. 무엇보다 사이버 위협이 ‘언제든 발생할 수 있는 일상적 위험’이라는 인식이 부족한 것이 문제다. 사이버 보안은 예방이 최우선이라는
점에서 사후 대응보다 선제적인 점검과 문화 조성이 절실하다.
기술 중심에서 사람 중심으로: 보안 문화 정착이 핵심
사이버 보안은 더 이상 특정 부서나 IT 전문가만의 영역이 아니다. 모든 조직 구성원이 보안의 주체로서 역할을 자각할 수 있는 ‘보안 문화’의 형성이 핵심이다. 특히 지방공공기관은 타 조직에 비해 고령화된 인력 구성, 정형화된 업무방식, 낮은 변화 수용성 등으로
인해
새로운 보안 환경에 적응하는 데 시간이 오래 걸리는 구조적 한계를 안고 있다.
보안 문화 정착을 위해서는 첫째, 실효성 있는 교육 프로그램이 필수이다. 대부분의 기관에서 실시하는 보안 교육은 연 1회, 그것도 형식적인 온라인 이수로 끝나는 경우가 많다. 이는 ‘교육을 위한 교육’에 그칠 뿐 실제 행동 변화로 이어지지 않는다. 효과적인 교육은
현실
기반의 시나리오, 예를 들어 피싱 이메일 실습, 악성 파일 탐지 훈련 등을 중심으로 구성돼야 한다.
둘째, 직원 참여 기반의 보안 제안 제도 도입도 고려할 수 있다. 예컨대, 서울시 산하의 한 공기업은 직원 아이디어 공모를 통해 민원인용 노트북을 별도로 운영하고 내부망과 완전히 분리하는 제안을 채택함으로써 보안성과 민원 편의성을 동시에 확보한 바 있다.
셋째, 보안 준수에 대한 책임성 부여가 필요하다. 공무원 성과평가에 정보보안 항목을 정량적으로 반영하거나, 특정 부서에 ‘정보보안 담당관’을 지정해 상시 점검체계를 구축하면 조직 전체의 경각심이 높아질 수 있다.
보안 인재, 내부 육성과 지역 연계가 관건
전문 보안 인력을 확보하기 어려운 지방공공기관은 대부분 IT 담당자가 보안 업무를 겸직하는 구조다. 이로 인해 담당자의 업무 과중은 물론, 보안 전문성 부족 문제도 발생하고 있으며, 위기 상황에서의 대응 속도와 정확성을 크게 떨어뜨리는 요인이 된다. 따라서 기관 내부의
인재 양성과 더불어 외부 전문가와의 협업, 지역 자원 연계를 통한 보안 역량 강화가 필요하다.
우선, 지방공공기관은 정보보안직렬을 신규 채용하거나 기존 직원 대상의 보안 전문 교육 이수 후 자격제도(예: CPPG, CISSP) 연계 승진 시스템을 운영함으로써 보안 역량 강화와 인사제도를 연계할 수 있다. 일부 기관에서는 사이버 보안 관련 ‘직무교육 장려금’을
지급하고, 교육 이수자를 중심으로 보안 실무 TF를 구성하여 업무 전문성과 실효성을 동시에 높이고 있다.
또한, 지역 내 대학 및 사이버보안 관련 특성화 고등학교와의 협력을 통해 실무형 인재를 육성하고, 지역 청년 인턴십 프로그램으로 연계하는 방식도 효과적이다. 예컨대 경남의 한 지역은 도내 국립대학 정보보호학과와 협약을 맺고, 학기 중 캡스톤 프로젝트를 공공기관 실무와
연계하여 학생들에게 실제 보안 점검 및 리포트 작성 경험을 제공하는 프로그램을 운영하고 있다. 이처럼 지역 중심의 보안 인재 순환 생태계를 조성하는 것이 중장기적으로 지속 가능한 보안 역량 강화로 이어질 수 있다.
지속 가능한 보안 체계가 지역 신뢰를 만든다
사이버 보안은 일시적인 예산 투입이나 외부 컨설팅으로 해결될 문제가 아니다. 무엇보다 지속가능한 보안 시스템 구축과 이를 뒷받침할 조직문화, 제도, 인재가 함께 작동하는 체계적 전략이 필요하다. 이를 위해서는 중장기 보안 전략 수립, 단계별 위험 분석, 예산 확보 계획 등이 사전에 구체화되어야 하며, 이 과정을 전 직원이 공유하고 이해할 수 있도록 ‘보안 거버넌스’를 내재화할 필요가 있다.
예산 측면에서는 정보화 예산 대비 보안 예산의 비율이 일정 수준
(최소 7~10%) 이상 확보되도록 지침을 강화하고, 국비 지원사업과 연계해 보안 인프라 공동구축 모델을 시범 운영할 수도 있다. 예를 들어 강원도 소재 시·군은 2023년부터 도청 단위의 통합 정보보안관제센터를 구축해 산하 10여 개 지자체와 보안 위협 정보를
실시간 공유하고 있다. 이러한 협업 모델은 예산과 인력의 한계를 극복할 수 있는 하나의 해법이 될 수 있다.
결국, 사이버 보안은 기술이 아닌 신뢰의 문제다. 주민들이 안심하고 서비스를 이용할 수 있는 디지털 행정 기반을 만드는 일은 곧 지방공공기관이 존재하는 가장 큰 이유이기도 하다. 이제는 단기 대응이 아니라, 지속가능한 보안 체계와 사람 중심의 보안 문화를 함께
구축하는 것이 지방행정의 미래 경쟁력을 좌우하게 될 것이다.
표 1. 사이버 공격 유형별 발생 건수(2021~2023년)
| 공격 유형 | 2021년 | 2022년 | 2023년 |
|---|---|---|---|
| 랜섬웨어 | 45 | 62 | 78 |
| 피싱/스피어피싱 | 38 | 54 | 69 |
| 내부자 위협 | 12 | 18 | 25 |
| 웹사이트 변조 | 26 | 31 | 40 |
| 기타 | 15 | 20 | 22 |
표 2. 지방공공기관 정보보호 실태 점검 결과 요약(2023년)
| 점검 항목 | 미흡 기관 수 | 주요 지적 사항 |
|---|---|---|
| 보안 정책 수립 및 이행 | 120개 기관 | 보안 정책 미비, 주기적 갱신 미이행 등 |
| 접근 통제 관리 | 95개 기관 | 관리자 계정 공유, 비인가 접근 통제 미흡 등 |
| 교육 및 훈련 | 150개 기관 | 정기적인 보안 교육 미실시, 인식 부족 등 |
| 사고 대응 체계 | 80개 기관 | 사고 대응 매뉴얼 부재, 대응 훈련 미흡 등 |
지방공공기관에 사이버 보안이 중요한 이유와 필요성
공공정보의 안전한 관리
지방공공기관은 주민등록, 복지, 세금, 건강 등 국민의 개인정보와 공공서비스 관련 민감한 데이터를 다룬다. 이러한 정보가 유출되거나 변조될 경우 개인의 사생활 침해뿐 아니라 행정 신뢰도 하락, 사회 혼란으로 이어질 수 있다. 따라서 정보의 안전한 관리가 최우선 과제다.
행정 서비스의 안정적 제공
지방공공기관은 주민에게 행정서비스를 제공하는 핵심 역할을 한다. 사이버 공격으로 시스템이 마비되면 주민등록 발급, 민원 처리, 복지 지원 등 필수 서비스가 중단되어 주민 불편이 발생한다. 사이버 보안은 행정서비스의 연속성과 신뢰성을 확보하는 데 필수적이다.
국가 안보 및 사회 안전 확보
지방공공기관은 국가 행정 체계의 한 축으로, 사이버 공격은 국가 안보에 직결될 수 있다. 중요 인프라와 연결되어 있거나 대규모 데이터가 집적되어 있기에 해킹, 랜섬웨어 등 공격은 사회 혼란과 경제적 피해로 확산할 위험이 크다. 이를 예방하기 위한 보안 강화가 필요하다.
법적·윤리적 책임 준수
개인정보 보호법, 정보통신망법 등 관련 법령이 강화되고 있어 지방공공기관은 법적 의무를 준수해야 한다. 보안사고 발생 시 막대한 과징금, 소송, 기관 신뢰도 하락 등의 불이익이 발생할 수 있다. 따라서 법적 책임 이행을 위한 보안 체계 구축이 필수다.
디지털 전환과 스마트 행정 대응
지방공공기관은 지역 주민의 삶과 직결된 공공서비스를 제공하는 중요한 주체로, 디지털 행정 환경이 확산되면서 사이버 보안의 중요성이 더욱 커지고 있다. 클라우드, 빅데이터, IoT 등 신기술 도입이 활발해지는 만큼, 보안 위협도 복잡하고 정교해지고 있는 실정이다.
이러한 환경 속에서 정보자산 보호는 더 이상 선택이 아닌 필수 과제가 되었다.
이를 위해서는 체계적인 보안 인프라 구축뿐 아니라, 전문 인재의 지속적인 양성과 실무 중심 교육의 확대가 병행되어야 한다. 나아가 보안을 단순한 기술 문제가 아닌 행정 신뢰와 연결된 핵심 요소로 인식하고, 장기적이고 전략적인 대응이 필요하다.
지방공공기관의 보안 역량 강화는 주민의 개인정보 보호와 공공서비스의 안정성 확보, 그리고 안전한 디지털 사회로 나아가기 위한 핵심 기반임을 명확히 인식해야 한다.