국민연금공단(이사장 김성주)의 정보보안 대응체계에 ‘적색등’이 켜졌다는 평가가 나온다. 올해 초 국민연금의 정보보안 책임자로 임명됐던 민간 전문가가 근무 약 4개월 만에 퇴사했기 때문이다.
최근 쿠팡, SKT 등 개인정보 유출 사례가 잇따르는 가운데, 국민연금의 정보보안 체계 전반에 대한 제도 개선이 필요하다는 지적이 나온다.
13일 전북일보 취재를 종합하면 지난 1월 인사혁신처의 정부 민간인재 영입지원(정부헤드헌팅) 제도를 활용해 국민연금공단에 채용됐던 A정보보안부장이 지난 4월 국민연금을 퇴사했다. 국민연금공단은 가입자 2180만명과 수급자 760만명 등의 개인정보를 관리하는 것으로 전해졌다. A부장은 타 기업으로 이직을 한 것으로 전해졌다.
공단은 채용 절차를 다시 진행하고 있다. 공공기관채용정보시스템에 따르면 국민연금은 지난 6일부터 개방형 직위(정보보안부장)의 채용을 진행하고 있다. 수행 업무는 정보보안 정책 수립 및 추진, 공단 정보보호 관리체계 수립 및 추진, 사이버침해 대응전략 수립 및 추진 등 국민연금 내 정보보안 분야의 대부분 업무를 맡아 책임자로 근무한다. 근무기간은 임용일로부터 2년이며, 재계약이 가능하다.
고용형태는 개방형 직위(일반직 2급 대우)이며, 보수수준은 경력에 따라 결정되나, 9400만원 내외로 알려졌다. 성과금은 별도로 지급된다. 특히 정보보안부장 보직은 개방형 직위로 외부 채용을 통해서만 임용되는 것으로 알려졌다.
정보보안 업계에서는 국민연금처럼 대규모 개인정보를 관리하는 기관에서 정보안전관리 부문 책임자가 단기간에 교체된 것을 두고, 보안 정책의 연속성과 대응체계 안정성이 흔들릴 수 있다는 우려가 나오고 있다. 또 잦은 교체로 인한 업무 전문성 하락 등의 염려도 있다.
국민연금도 당혹감이 큰 모습이다. 국민연금공단의 한 관계자는 “채용공고가 올라간 것을 보고 퇴사 사실을 알게 됐다”며 “공단은 물론 인사혁신처에서도 보도자료를 내는 등 기대감이 컸는데, 이렇게 짧은 시기만 근무를 하고 퇴사를 하시게 될 줄은 몰랐다”고 말했다.
또 다른 관계자는 “해당 자리를 계속 계약직으로 해야 하는지 내부적으로 인력을 키워야 할지 고민이 있다. 민간전문가의 퇴사는 본인의 선택이나 강제할 수 없는 것이 당연하다. 채용된 사람이 오래 근무하는 것이 공단 입장에서는 좋을 것이지만, 정보보안인 인력 특성상 어려운 점이 있다”고 했다.
전문가는 민간 전문가 채용 제도와 책임소재에 개선이 필요하다고 말한다.
김명주 서울여대 정보보호학부 교수는 “민간의 정보보안 전문가가 공무원이나 공공기관에서 적응하기 어려운 것이 사실이다”며 “민간 전문가를 채용하는 이유가 자유로운 발상이나 혁신 등을 기대하는데 수직적인 조직 사회로 어려움이 있다. 민간 전문가가 공공기관에 들어가서 오래 근무하지 못하고 그만두는 경우가 많은데, 민간인을 채용하려면 조직 전체의 문화 개선이나, 보호 조치 등이 필요하다”고 지적했다.
그러면서 “정보보안전문가의 경우 소모품처럼 사용되는 경우가 많다”며 “사고가 날 시 사고에 대한 책임을 지고 잘리는 경우가 문제다. 정보보안을 잘 운용하기 위해서는 정보보안책임자를 경영진 그룹에 넣고, 권한을 확대해주는 방법이 필요하다. 소모품처럼 계속 사용된다면 현재 고용 시장이 확대된 정보보안전문가가 해당 직장에서 오래 근무할 필요가 없다. 또한 개인정보 관련 문제가 발생할 시, CPO(개인정보보호책임자)나 CISO(정보보호최고책임자)가 아닌 최종적으로는 경영진이 책임을 지게하는 제도 개선도 필요하다”고 제언했다.