속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
DR·재해복구AI 초안

공공 정보시스템 등급심의위원회 출범…구현모 전 KT 대표 위원장 선임, DR·BCM 체계 강화 본격화

2026년 정부가 공공 정보시스템 등급심의위원회를 발족하고 구현모 전 KT 대표를 위원장으로 선임했다. 공공·금융·제조 분야 정보시스템의 중요도 평가와 재해복구(DR) 체계 전환이 가속화될 전망이다.

백남정 기자
입력 2026년 7월 15일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/1e2930

핵심 요약

- 2026년 공공 정보시스템 등급심의위원회가 공식 출범하며, 구현모 전 KT 대표가 위원장으로 선임되어 공공·금융·제조 분야 정보시스템 관리 체계 고도화 주도 - KT의 대규모 IT 인프라 운용 경험을 기반으로 정보시스템 중요도 평가 및 재해복구(DR) 전환 프로세스 표준화 추진 - 공공기관의 업무연속성관리(BCM) 및 재해경감 체계가 민간 전문성과 결합되어 실효성 있는 재난대응 체계로 진화 예상

주요 내용

2026년 7월, 정부는 공공 정보시스템의 안정적 운영과 재난 대응 역량 강화를 위해 '공공 정보시스템 등급심의위원회'를 공식 발족했다. 위원장으로는 KT에서 대규모 IT 인프라 운용 경험을 보유한 구현모 전 대표가 선임되었다. 이번 위원회 출범은 단순한 자문기구 설치를 넘어, 공공·금융·제조 등 핵심 분야의 정보시스템에 대한 체계적 등급 분류와 맞춤형 재해복구(DR) 전략 수립을 목표로 한다.

구현모 위원장은 KT 재임 시절 공공 영역과 밀접한 대규모 IT 인프라를 운용하며 정보시스템 관리 및 효율화 실무 경험을 축적한 바 있다. 특히 정보시스템의 중요도를 평가하고 DR 체계로 전환하는 과정에서 실질적 성과를 도출한 경험이 이번 선임의 핵심 배경으로 작용했다. 위원회는 각 기관의 정보시스템을 중요도에 따라 등급화하고, 등급별로 차별화된 재해복구 요구사항을 제시할 예정이다.

이번 등급심의위원회의 핵심 과제는 공공기관이 보유한 방대한 정보시스템을 업무 중요도, 서비스 영향도, 복구목표시간(RTO)·복구목표시점(RPO) 등 객관적 지표를 기반으로 분류하는 것이다. 이를 통해 한정된 예산과 자원을 효율적으로 배분하고, 실제 재난 발생 시 우선순위에 따른 신속한 복구가 가능한 체계를 구축하게 된다. 또한 민간 전문가의 참여로 최신 DR 기술 동향과 클라우드 기반 백업·복구 솔루션 도입도 가속화될 것으로 보인다.

정부는 이번 위원회 운영을 통해 2027년까지 주요 공공기관의 정보시스템 등급 재분류를 완료하고, 각 등급별 DR 구축 가이드라인을 마련할 계획이다. 이는 「전자정부법」 및 「정보통신망법」상 재해복구 의무를 보다 구체화하는 동시에, ISO 22301(업무연속성관리시스템) 국제 표준과의 정합성을 높이는 방향으로 추진된다.

전문가 시각

재해경감 인증심사원으로서 다수의 공공기관 및 민간기업 DR 체계를 평가해본 결과, 가장 큰 문제는 '형식적 DR 구축'이었다. 많은 조직이 법적 요구사항 충족을 위해 DR 센터를 구축하지만, 실제 재난 시나리오 기반 테스트나 복구 우선순위 설정은 미흡한 경우가 대다수다. 이번 등급심의위원회가 정보시스템의 '업무 중요도'를 기준으로 등급을 재분류한다는 점은 매우 긍정적이다. 중요도가 낮은 시스템에 과도한 DR 자원을 투입하거나, 반대로 핵심 시스템의 DR이 부실한 왜곡된 자원 배분을 바로잡을 수 있기 때문이다.

특히 구현모 위원장의 민간 IT 인프라 운용 경험은 공공 부문에 실용적 관점을 도입하는 촉매가 될 것이다. 공공기관은 ISO 22301 인증 취득 시 '비즈니스 영향 분석(BIA)'과 '복구 전략 수립'을 필수로 수행하지만, 실제 운영 단계에서는 형식적 문서에 그치는 경우가 많다. 민간 전문가 참여로 클라우드 기반 자동 백업, 실시간 데이터 복제, 가상화 기반 신속 복구 등 최신 기술 도입이 활성화되고, 연례 '안전한국훈련' 같은 국가 재난대응 훈련과도 연계하여 실효성 있는 DR 체계로 발전할 것으로 기대된다. 다만 각 기관은 등급 재분류 결과에 따라 추가 예산 확보와 인력 재배치가 필요할 수 있으므로, 선제적 준비가 요구된다.

CPPG·ISMS-P 연계 포인트

1. 재해복구(DR) 등급 분류 및 RTO/RPO 설정 ISMS-P 인증 심사 시 '2.8.4 재해·재난 대비' 항목에서 정보시스템의 중요도에 따른 복구목표시간(RTO)과 복구목표시점(RPO) 설정을 요구한다. 공공 정보시스템 등급심의위원회의 등급 분류 기준은 ISMS-P 심사 대응 시 BIA(비즈니스 영향 분석) 문서화 및 DR 전략 수립의 실무 참고 자료로 활용 가능하다.

2. ISO 22301 업무연속성관리시스템(BCMS) 통합 ISO 22301은 재난 발생 시 핵심 업무의 연속성을 보장하기 위한 국제 표준이다. 정보시스템 등급심의위원회가 제시할 등급별 DR 가이드라인은 ISO 22301의 'Context of the organization(조직 상황 이해)' 및 'Risk assessment(리스크 평가)' 요구사항과 직접 연계되어, 공공기관의 BCMS 인증 취득 및 유지 시 핵심 증빙 자료로 활용될 수 있다.

#재해복구#DR#정보시스템등급심의#ISO22301#BCM
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사