[정책제안] 공공기관 정보보안은 왜 순환 근무제를 적용해서는 안 되는가 — 전문성 붕괴가 만드는 구조적 위험

By PLURA

요약 한 줄
원칙: 정보보안은 순환 보직 대상이 아니다.
문제: 2년 순환 근무는 보안 전문성·책임·연속성을 파괴한다.
결론: 공공 정보보안은 장기 직무 고정 + 전문가 육성 체계로 전환해야 한다.

Protect the Castle

0) 정책 제안 요지

  • 정책 목표: 공공기관·지자체 정보보안 영역에서 전문성·책임·지속성 확보

  • 적용 대상:

    • 정보보안 기획·운영
    • 보안관제(SOC), 침해대응(CERT/CSIRT)
    • 웹·시스템·클라우드 보안, 개인정보 보호

  • 핵심 제안:

    1. 정보보안 직무 순환 근무제 배제
    2. 최소 5~10년 이상 장기 직무 고정
    3. 전문직 트랙(보안직렬) 제도화
    4. 사고·위험 관리에 대한 명확한 개인·조직 책임 부여

1) 공공기관 순환 근무제의 현실

공공기관과 지자체의 일반적인 인사 구조는 다음과 같다.

  • 2년 내외 보직 순환
  • 행정·기획·시설·보안·민원 업무 간 이동
  • “특정 업무 장기 담당 = 조직 리스크”라는 인식

이 구조에서 정보보안 담당자는 보통 다음 과정을 거친다.

  1. 보안 업무 배정
  2. 시스템·위협·규정 파악에 1~2년 소요
  3. 이제 이해가 깊어질 시점에 보직 이동
  4. 다음 담당자는 다시 1번부터 시작

👉 전문성은 축적되지 않고, 업무는 항상 ‘초기화’된다.

2) 정보보안은 왜 순환 근무가 불가능한가

정보보안은 다음과 같은 특성을 가진다.

  1. 학습 곡선이 매우 길다

    • 공격 기법(TTP), 취약점, 로그 해석, 아키텍처 이해
    • 단기간 매뉴얼 숙지로 대체 불가

  2. 과거 사고 경험이 핵심 자산

    • 침해 사고는 “한 번 겪은 사람이 다시 막는다”
    • 담당자가 바뀌면 조직은 기억을 잃는다

  3. 보안 실패는 즉각적인 국가·국민 피해

    • 개인정보 유출
    • 행정 서비스 마비
    • 대국민 신뢰 붕괴

👉 이런 영역에 2년 순환 근무는 구조적 무책임이다.

3) 순환 근무제가 만드는 보안 실패의 공식

순환 근무제가 반복되면 다음 공식이 고착화된다.

전문성 부족
→ 외부 컨설팅·용역 의존
→ 벤더 중심 의사결정
→ 형식적 보안 구축
→ 사고 발생
→ 담당자 이미 이동
→ 책임 공백
→ 동일 사고 반복
  • 내부에 “이 시스템을 처음부터 끝까지 아는 사람”이 없다
  • 정책·보안·운영 결정이 외부 업체 말에 의해 좌우
  • 사고 후 남는 말은 “규정은 지켰다”

4) “왜 신규 업무를 계속 하나?”

순환 근무제 하에서 정보보안은 항상 신규 업무다.

  • 기존 보안 정책의 배경을 모른다
  • 과거 예외·사고·위험 판단의 맥락이 사라진다
  • 이미 실패했던 시도를 다시 검토한다

즉,

조직은 같은 비용을 반복 지불하면서도 경험을 축적하지 못한다.

5) 진정성은 개인 문제가 아니라 구조 문제다

공무원들이 열정이 없다”,
공무원이 보안에 진정성이 없다”는 평가는 정확하지 않다.
문제는 진정성을 가질 수 없는 구조다.

  • 곧 다른 부서로 이동할 것을 아는 상황
  • 장기적 책임을 지지 않는 구조
  • 깊이 파고들수록 “왜 일을 키우느냐”는 평가

👉 진정성은 개인의 태도가 아니라, 장기 책임 구조에서 나온다.

6) 미국은 순환 근무제를 하는가?

결론부터 말하면:

미국은 정보보안 분야에 순환 근무제를 적용하지 않는다.

미국 공공 정보보안의 특징

  • 전문직(Job Series) 체계

    • Cybersecurity Specialist
    • Information Security Analyst

  • 장기 직무 고정

    • 한 분야에서 10~20년 근무 일반적

  • 보안 전담 조직

    • CISA, NSA, DoD Cyber Command

  • 사고 대응 인력은 순환이 아닌 ‘축적’ 대상

미국에서는 다음 질문 자체가 성립하지 않는다.

“보안 담당을 2년만 하고 다른 부서로 옮길까?”

정보보안은 회계·법무·의료처럼 전문직 영역으로 인식된다.

7) 정보보안은 행정이 아니라 ‘전문직’이다

정보보안을 일반 행정 순환 구조에 넣는 것은 다음과 같다.

  • 외과 의사를 2년마다 내과·정형외과로 이동
  • 항공 관제사를 2년마다 민원 창구로 이동
  • 원자력 안전 담당을 2년마다 총무로 이동

👉 어느 것도 허용되지 않는다.
👉 정보보안만 예외일 뿐이다.

8) 정책 권고안 (체크리스트)

  • 정보보안 직무 순환 근무 대상 제외
  • 장기 직무 고정(최소 5~10년) 제도화
  • 보안 전담 직렬 또는 전문 트랙 신설
  • 사고·위험 관리에 대한 실명 책임 구조
  • 외주·용역은 보조 수단으로 제한
  • 내부 전문가 중심의 의사결정 구조 확립

맺음말

정보보안은 배워서 잠시 하는 업무가 아니라, 평생 축적하는 전문 영역이다.

순환 근무제는 공정함을 위한 제도일 수 있으나,
정보보안에서는 전문성 파괴 장치로 작동한다.

전문가가 없는 조직은
보안을 운영하는 것이 아니라
사고를 기다리고 있는 조직이다.

공공 정보보안은 이제 선택의 문제가 아니다.
순환 근무를 멈추고, 전문가를 키워야 할 시간이다.

Tags