[이젠 백업시스템이다-3] 재해복구, 마땅한 법체계가 없다

9.11 테러 후 전산시스템에 재난재해 안전장치를 마련하는 일이 시급하다는 목소리가 커지고 있다. 하지만 정작 이를 뒷받침해야 할 국가 차원의 재해복구전담부서는 없는 상태. 기업 역시 재해복구전담책임자(CRO) 제도를 찾기 힘들다.

이렇다 보니 우리나라의 재해복구 정책은 각 부처 이기주의와 시스템 벤더들의 무분별한 비영리 사단법인 출범으로 혼탁한 상황이다. 특히 ▲ 어느 수준까지 백업센터를 만들어야 하는지 ▲ 문제발생시 책임을 어떻게 져야 하는지 ▲ 그리고 이에 대한 관리 감독은 어디서 담당해야 하는지를 놓고 아직도 논란이 거듭하고 있다. 이 같은 문제가 발생하는 것은 바로 재해복구 관련 법체계가 일천하기 때문이다. 국가 차원의 테러방지법안을 만드는 국정원과 국가 정보화 추진 부서인 정통부의 갈등은 여전하다. 전자정부와 함께 행정전산망 백업센터 구축을 주도하는 행자부, 금융기관 재해복구센터 정책을 만드는 금감원도 ‘나 홀로’ 정책에만 여념이 없다.

이처럼 체계 없는 재해복구 정책은 엄청난 투자를 감행하고도 실익을 거두지 못할 우려도 있다. 자칫하면 ‘9.11사태 여론 땜질용’으로 전락할 가능성마저 제기되고 있는 상태다.

◆테러방지법안에서 소외 당하다

재해복구 문제가 이슈로 떠오른 것은 지난해 동원증권 물난리와 데이콤KIDC 정전사건이 발생하면서. 물난리로 서비스가 중단된 동원증권 고객들에 대한 피해 보상 문제와 KIDC 입주사들의 불만이 터져 나오면서 주요 전산시스템에 대한 ‘백업’문제가 이슈화되기 시작한 것이다.

하지만 국가적인 차원의 ‘백업센터’ 구축이 회자되기 시작한 것은 미국의 테러사태 때문이다.

비행기 2대의 자살테러로 모든 시스템이 망가졌음에도 불구하고 국가 전산시스템이 제대로 작동된 사실에 자극을 받은 것. 이 같은 사실이 전해지면서 국회는 긴급 추경예산 338억원을 집행해 정통부에 국가 중요 정보에 대한 백업센터를 만들어 내라고 요구했다. ‘미국 테러’가 전산재해 복구에 불을 당긴 셈이다.

그런데 어찌 된 일인지 ‘미국 테러’ 사태로 입법이 가속화된 국정원의 ‘테러방지법안’에는 사이버 테러 문제는 빠져 있다. ‘테러방지법안’의 경우 인권침해 논란에 관심이 집중된 채, 정보화 시대 테러의 한 줄기인 ‘사이버테러’ 문제는 기존 ‘정보통신기반보호법’을 준용하는 것으로 정리되고 있는 것이다.

물론 주요 정보통신 기반 시설(댐, 전력, 항공 등)에 대한 취약점 분석과 대 테러 방지 기술지원은 ‘정보통신기반보호법’에서 대체 가능하다. 하지만, 테러방지의 또 다른 분야인 ‘재해복구’문제는 기존법(정보통신기반보호법) 에도 담겨있지 않다.

정부부처 한 관계자는 “정통부의 사이버 테러 분야를 테러방지법안에 넣자는 주장은 부처 이기주의 측면도 있지만, 테러방지법안이 정보통신기반보호법에서 담은 대테러 ‘대응’을 뛰어넘는 예방 및 사후 문제(재해복구 문제)를 다뤄야 한다는 점에서 보면, 충분히 납득할 수 있는 일”이라고 말했다.

◆민간단체가 국가 재해복구 정책 주도한다?

국가차원의 법 제도와 재해복구 전담부서가 없다 보니, 발 빠른 민간단체(비영리 재단법인)가 국가 재해복구 정책을 주도하려는 야심을 드러내고 있다.

이 달 12일 인터콘티넨탈 호텔에서 창립총회를 갖는 한국ITC기술원(가칭)은 정통부 산하단체로 등록할 예정이다. 대형 SI 및 통신업체, 국내외 하드웨어 및 네트워크 업체 등이 주축이 돼 설립된다. 사업자들이 출연금을 받아 10억원 안팎의 기금을 마련하게 된다.

한국ITC기술원은 공공기관 백업시스템에 등급을 매기고, 전산재해시스템에 안전 신뢰성 인증마크를 부여하겠다는 계획이다.

민간 단체가 국가 전산재해시스템 등급이라는 구체적 평가제도를 만들겠다는 것은 실질적인 재해복구를 유도하고 촉진한다는 점에서 의의가 크다.

하지만 동시에 국가적인 차원의 재해복구 법체계와 전담부처 논의가 이뤄지지 않은 상태에서 부처 이기주의나 사업자들의 영리목적으로 변질될 우려가 제기되고 있다.

한 관계자는 “재해복구에 대한 민간지원이란 측면에서 그 의의를 모두 저버릴 수는 없지만, 이들이 건의문을 통해 정통부가 국가적 전산재해복구체계 전담부서가 돼야 된다고 주장하면서, 초대 기술원장으로 정통부 출신 관료 영입을 추진하는 등 자칫 각 부처 이기주의에 편승할 수 있다”고 우려했다.

중요한 것은 한국ITC기술원이라는 민간 단체를 창립하는 게 아니라, 국가 차원의 전산재해복구체계 구성과 이를 위한 법제도 정비란 설명이다.

국정원과 다른 중앙 부처가 관계하고 있는 공공기관 재해복구 문제는 시스템 벤더들 혼자서 해결할 수 없는 중차대한 문제이기 때문이다.

행자부 시도백업센터와 정통부 국가 주요 전산망 백업센터 구축에서 보듯이 혈세를 낭비하는 특수가 더 이상 있어선 안 된다는 지적이다.

금융권 한 관계자는 “금감원 백업센터 권고안 발효 후 코스닥 증권시장이나 새마을금고 같은 금융 유관기관에 대한 백업센터 구축 범위에 논란이 일고 있다"며 "이제부터라도 백업이 대세다라는 당위론에서 벗어나 국가차원의 계획을 만들고 부처간 논의를 통해 전담부서를 만드는 일이 시급하다”고 말했다.

◆피해 보상 제도 구체화하려면, 법제도 정비 시급

법제도 정비가 시급한 또 한가지 이유는 당장의 피해보상 문제와도 직결된다.

현재 대부분의 전산 아웃소싱 업체들의 경우 고객사 데이터 망실에 따른 보상기준이 모호하다. 또한 배상책임보험에 가입한 업체도 한 두 곳에 지나지 않는다.

이런 문제가 발생하는 것은 각 부처별로 백업센터 권고안을 만들고, 이에 대한 기준도 모호하기 때문이다.

국내 전산시스템에 대한 등급을 매기고, 백업 기준을 만드는 일, 그리고 소비자 피해 보상 규정을 만드는 일에는 정부가 나서야 한다는 지적이 제기되고 있는 것도 이 때문이다.

IT정책의 주무부서인 정통부가 담당할 것인지, 대테러방지 분야 책임자인 국정원이 나서야 하는지, 아니면 행자부나 금감원 같은 분야별 정책 담당자가 나서야 하는지는 고심해야 할 문제다.

그러나 이 모든 것을 총체적으로 규정할 법 제도를 정비하는 일은 반드시 선행돼야 할 문제다.

김현아 기자의 다른 기사 보기