국가정보자원관리원.뉴스1



[파이낸셜뉴스] 지난달 26일 국가정보자원관리원(국정자원) 대전센터 화재로 한국 디지털 정부의 취약성이 드러난 가운데, 해외 각국은 어떻게 디지털 정부 컨트롤 타워를 구축해왔는지에 관심이 쏠린다.



국가 정보 방어는 '공동체 전체의 일'이라는 싱가포르

싱가포르의 컨트롤 타워는 'GovTech'다. GovTech는 유사시에도 공공서비스의 복원력을 높이기 위해 △'단발성에서 지속성으로' △'대응형에서 예방형으로' △'체크리스트 단순 준수형에서 위험 판단 역량형으로' 이 세 축을 중심으 중고차 전액할부 로 보안 전략을 마련해놨다.

이에 따라 GovTech는 정부 버그바운티 프로그램(GBBP)과 취약점 공개 프로그램(VDP), 다계층 보안 구조 등을 통해 지속적인 보안 검증 체계를 구축했다. AI가 로그를 자동 분석해 공격 징후를 선제 감지하는 시스템도 도입했다. 이 같은 과정에서 GovTech는 보안을 단순 규정 준 대출금이자계산 수에 국한시키지 않고 모든 공무원의 기본 역량으로 확장시켰으며, 국가 방어를 민관 협력 등 공동체 전체의 일로 탈바꿈시켰다.


소 잃고 외양간 고친 일본

일본의 컨트롤 타워는 디지털청이다. 코로나19 팬데믹 당시 정부의 IT 행정 대응 후진성이 드러나 법률사무소부민 2021년 통과된 디지털청 설치법에 근거하는 기관이다. 디지털청은 국가·지방행정의 IT화 추진을 목적으로 삼고 있으며, 정부기관과 지방공공단체 등의 정보시스템을 대상 업무로 상정하고 있다.

일본은 지자체 네트워크에 대한 '3계층 분리'도 시행하고 있다. 지난 2015년 연금기구 개인정보 유출 사건을 교훈 삼은 결과다 오릭스저축은행 . 이 시스템에 따르면, '개인번호 이용 네트워크'는 세금·연금 등 주민정보를 다루며, 다른 망과 완전히 분리돼 있다. 지자체정보시스템기구(J-LIS)에 의해 운영되는 '행정 정보통신 네트워크(LGWAN)'는 자치단체를 연결하는 행정 전용 폐쇄망으로, 방화벽, 경로 암호화, 침입탐지(IDS) 등이 적용된다. '인터넷 네트워크'는 메일·웹 접속 등 일반 용도 신한은행서민전세자금대출 로 한정된다.


복원력을 법제화한 유럽

유럽연합(EU)의 경우, 표준화된 관리 지침을 만들었다. 기존 NIS 지침을 보완한 NIS2를 제안해 2023년 발효시켰다. NIS2는 클라우드 서비스, 데이터센터, 공공기관을 '필수조직' 혹은 '중요조직'으로 지정해 보안 의무를 대폭 강화했다.

NIS2는 사이버 공격 대응에 초점을 두면서도 운영 연속성과 사고 복구 계획을 의무화했다. 해킹뿐 아니라 화재·정전 등 물리적 재해로 인프라가 중단돼도 서비스가 지속되도록 했다. 데이터센터가 각종 사고로 소실돼도 다른 지역에서 백업·이중화가 가동돼야 하고, 정기적인 복구 훈련과 우회 경로 확보 역시 의무화됐다. 이를 지키지 않으면 제재를 받는다.


달걀을 한 바구니에 담지 않는 미국

연방 기관만 수백개에 달하는 미국은 각 정부 기관의 서버 장치를 한 곳에 보관하지 않는다. 항공우주국(NASA) 및 일부 대형 정보기관들은 자체적으로 군 기지, 혹은 기밀 벙커에서 독립된 데이터센터를 운용한다. 일부 기관들은 연방 정부 차원에서 설치한 복합 데이터센터에 설비를 빌린다. 또 공공기관은 민간 사업자의 설비를 대여해 전산망을 꾸리기도 한다.

미국의 방식은 규격화된 정보처리 방식과 효과적인 컨트롤 타워로 유지되고 있다. 정부 전산망을 다루려면 '연방 위험 및 인증관리 프로그램(FedRAMP)' 인증을 획득해야 한다. 전국 각지에 흩어져 있는 소규모 전산망들은 설비 유지 및 보안 관리 부문에서 국토안보부(DHS) 산하 사이버보안·인프라보안국(CISA)의 통합 지휘를 받는다.
whywani@fnnews.com 홍채완 기자