정보협, 4차 정총...김창훈 교수 "난립한 보안 평가 줄여야"

전국정보보호정책협의회(정보협)는 19일 킨텍스에서 개최된 세계 보안 엑스포 2026(SECON 2026) 현장에서 '제 4회 정기총회'를 열었다. 이날 현장에는 전국 지자체 및 공공기관 정보보호 책임자 약 150명이 참석했다. 정기총회에서는 정보보호 및 개인정보보호 관련 강의, 중앙정부 및 정보협 추진 정책 소개 등 2가지 세션을 중심으로 발표가 이어졌다. 행사에 앞서 김완집 정보협 회장은 인사말을 통해 "정보협이 조직된 지 오래되지 않았는데 많은 관심을 보내주시고 계신다"며 "최근 기술이 많이 변하고 공공기관 보안 책임자들의 어려움도 많아졌는데, 이 자리를 통해 해결 방안에 대해 함께 고민하고 인사이트를 얻어가는 자리가 됐으면 한다"고 말했다. "국내 보안 규제 과다…'보안 9단계' 갖춰야" 김창훈 대구대 IT융합학과 교수는 국내 보안 컴플라이언스에 대해 짚었다. "ISMS 등 우리나라 보안 규제는 평가가 너무 많다. 보안 담당자가 수행하기에 평가가 너무 많아 업무 의욕이 떨어진다"면서 "심지어 이 많은 평가들이 관점만 다를 뿐 기술을 쭉 나열해보면 대부분 똑같다. '보안 담당자에게 인센티브를 제공한다'와 같은 현실성 없는 대책 말고 보안 담당자의 업무를 과중시키는 난립하는 평가들부터 줄여야 한다"고 일침했다. 보안 규제가 해킹을 막는 데 도움이 되지 않으며, 보안 규제 강화가 오히려 보안 담당자들의 피로도 문제를 증가시킨다고 지적한 것이다. 김 교수는 "보안의 근간은 '분리'다. 등급에 따라 얼만큼 연계할지 정하는 것이 기본이다"라며 3단계 사이버 보안 프레임워크를 제시했다. 각 단계별로 3가지 항목을 준수해야 한다고 강의를 요약했다. 구체적으로 보안 준비·이행·점검별 각 3단계다. 각 단계별로 ▲자산식별 ▲위험평가 ▲분류 등 준비 단계를 거쳐 ▲접근제어 ▲인프라 보호 ▲데이터 보호 등 이행 단계, ▲탐지 ▲대응 ▲복구 등 점검 단계를 수행해 프레임워크를 구축해야 한다는 것이다. 그는 "이같은 보안 9단계를 갖추고 아주 안전한 AI 도입, AI를 이용한 보안 체계 구축 등을 종합해서 방어할 수 있는 체계를 만드는 것이 중요하다"고 강조했다.