101개 철통 방어벽 세웠다… 공무원연금공단 최고 권위 'ISMS-P' 획득
작성일
의무 대상 아님에도 선제적 심사 자청해 엄격한 기준 전면 통과
연금·재해보상 등 핵심 대국민 서비스 디지털 신뢰도 극대화

공공기관의 보안 취약성이 종종 도마 위에 오르는 현실 속에서, 법적 의무가 없음에도 스스로 혹독한 검증 무대에 올라 국가 최고 권위의 정보보안 인증을 따낸 공무원연금공단의 파격적인 행보가 관가와 IT 업계의 이목을 집중시키고 있다.
■ 깐깐하기로 소문난 국가 공인 '보안 훈장' 당당히 패스
29일 공무원연금공단(이사장 김동극)은 과학기술정보통신부와 개인정보보호위원회가 공동으로 주관하는 범국가적 보안 표준인 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 최종적으로 취득하는 쾌거를 달성했다고 공식 발표했다.
ISMS-P 인증은 현행 정보통신망법과 개인정보 보호법에 뿌리를 둔 국내 최고 수준의 종합 정보보호 인증 제도다. 단순히 서류 몇 장을 검토하는 수준이 아니라, 해당 기관이 정보 보안과 개인정보 보호를 위해 수행하는 일련의 모든 물리적, 기술적, 관리적 조치들이 국가가 요구하는 가혹하리만치 엄격한 가이드라인에 한 치의 오차도 없이 들어맞는지를 현미경처럼 들여다보고 종합적으로 심사하여 부여된다. 이 인증을 획득했다는 것은 곧, 외부의 악의적인 해킹 공격은 물론 내부의 관리 부실로 인한 정보 유출 가능성까지 완벽하게 차단할 수 있는 ‘철통 방어 시스템’을 공인받았다는 것을 의미한다.
■ "시켜서 한 게 아니다" 선제적 방어 자청한 혁신 마인드
이번 공무원연금공단의 인증 취득이 유독 빛을 발하는 이유는 타 기관과의 뚜렷한 차별점 때문이다. 사실 공무원연금공단은 현행법상 반드시 ISMS-P 인증을 받아야만 하는 이른바 '법적 의무 대상 기관'에 속하지 않는다. 굳이 수많은 시간과 막대한 예산, 그리고 전사적인 인력을 투입해 까다로운 심사 과정을 자처할 이유가 없었던 셈이다.
하지만 공단 경영진과 실무진의 판단은 달랐다. 고객의 소중한 정보를 지키는 데 있어 '의무'와 '선택'의 잣대를 들이대는 것 자체가 어불성설이라는 확고한 철학이 자리 잡고 있었다. 이를 증명하듯, 공단은 자발적으로 심사대에 올라 ▲관리체계 수립 및 운영에 관한 16개 항목 ▲실질적인 보호대책 요구사항 64개 항목 ▲개인정보의 수집부터 파기까지 이르는 처리 단계별 요구사항 21개 등 도합 101개에 달하는 까다로운 심사 기준을 단 하나의 결점도 없이 '올 패스(All Pass)'로 충족해 냈다. 이로써 공단은 겉치레가 아닌 뼈대부터 튼튼한 정보보호 및 개인정보보호 관리체계의 압도적인 우수성과 실효성을 대내외에 객관적으로 입증하게 되었다.
■ 연금부터 주택까지… 요람에서 무덤까지 민감 데이터 사수
공무원연금공단이 관리하는 데이터는 단순한 이름이나 연락처 수준을 훌쩍 뛰어넘는다. 평생 국가에 헌신한 공직자들의 노후 자금인 연금 관련 데이터부터, 예기치 못한 사고에 대비하는 재해보상 내역, 그리고 가장 내밀한 자산 정보라 할 수 있는 주택사업 관련 정보까지 그야말로 개인의 일생과 직결된 초민감 정보들이 공단의 정보시스템 서버 안에서 쉴 새 없이 돌아가고 있다. 만약 이 시스템에 아주 작은 구멍이라도 뚫린다면 그 피해는 걷잡을 수 없는 국가적 재난 수준으로 번질 수 있다.
이러한 막중한 책임감을 깊이 인식한 공단은 일찍부터 정보시스템의 근본적인 보안성을 극한으로 끌어올리기 위한 마스터플랜을 가동해 왔다. 보안 업무만을 전담하는 독립적이고 전문적인 부서를 신설하여 운영의 묘를 살렸고, 갈수록 교묘해지는 최신 사이버 위협을 실시간으로 포착하고 즉각 차단하는 고도화된 탐지 방어 체계를 전면 재구축했다. 나아가 일부 IT 부서만의 업무라는 낡은 인식을 깨고, 전 임직원이 일상 업무 속에서 보안 수칙을 체화할 수 있도록 사내 정보보호 문화 확산 캠페인을 끈질기게 전개해 온 땀방울이 이번 쾌거의 든든한 밑거름이 되었다.
■ 강석주 센터장 "AI 시대, 기관의 존폐 가르는 핵심은 철벽 보안"
최근 챗GPT 등 인공지능(AI) 기술의 폭발적인 발전과 클라우드 중심의 디지털 대전환(DX)이 공공 부문 전반으로 확산하면서, 데이터를 어떻게 활용하느냐 못지않게 이를 어떻게 안전하게 지켜내느냐가 조직의 존폐를 가르는 가장 중요한 화두로 떠올랐다.
공무원연금공단은 이번 ISMS-P 인증을 끝이 아닌 새로운 도약의 출발점으로 삼아, 더욱 견고하고 촘촘한 디지털 방어막을 구축해 나간다는 강력한 방침을 세웠다.
이번 보안 인프라 혁신을 최일선에서 성공적으로 진두지휘한 강석주 공무원연금공단 사이버안전센터장은 벅찬 소회와 함께 굳은 각오를 내비쳤다. 강 센터장은 “숨 가쁘게 진행되는 디지털 대전환의 물결과 AI 등 신기술의 접목이 일상화되는 현 시점에서, 정보보호와 개인정보보호는 더 이상 선택적인 기술적 요건이 아니라 공공기관 운영의 존립을 담보하는 절대적이고 핵심적인 최우선 가치”라고 힘주어 역설했다. 이어 그는 “국가 최고 권위의 인증 획득에 결코 안주하거나 자만하지 않고, 앞으로도 사이버 위협 트렌드에 발맞춘 지속적인 관리체계 개선 고도화와 선제적인 보안 역량 강화를 통해, 우리 공단의 서비스를 이용하는 모든 고객과 국민에게 가장 안전하고 깊이 신뢰받는 1등 공공기관으로 우뚝 서기 위해 혼신의 노력을 다하겠다”고 굳은 다짐을 밝혔다. 공무원연금공단이 쏘아 올린 '보안 혁신'의 신호탄이 대한민국 공공부문 디지털 생태계 전반에 어떤 긍정적인 메기 효과를 불러일으킬지 귀추가 주목된다.