“모든 기업의 정보보호 수준 높아질 것”…정보보호 준비도 평가 시행

디지털데일리 이민형기자 민간이 주도하는 '정보보호 준비도 평가(SECU-STAR)'가 시행된다. 인증기관인 한국정보방송통신대연합(ICT대연합)은 최근까지 실시한 사전실험(파일럿) 평가를 시작으로 본격적인 제도 확산에 나설 계획이다.

정보보호 준비도 평가제는 보안투자 비율과 인력,조직 확충, 개인정보보호, 법규준수 등 기업의 보안역량 강화를 위해 정보보호 준비 수준(Readiness)을 평가하는 민간 인증 제도다. 기업들은 평가를 통해 B에서부터 AAA까지 다섯 단계(B-BB-A-AA-AAA) 중 한 등급을 부여받게 된다.

미래창조과학부와 ICT대연합은 제도 시행으로 민간기업의 정보보호 수준이 전체적으로 향상될 수 있으리라 기대하고 있다.

황중연 ICT대연합 부회장은 29일 열린 정보보호 준비도 평가 출범식에서 '빈번히 발생하는 정보보호 사고는 국민의 신뢰도 하락과 기업의 위기를 불러온다. 건강검진을 통해 병을 예방하듯이 정보보호 준비도 평가로 기업의 정보보호 사각지대가 해소되기를 기대한다'고 강조했다.

정보보호 준비도 평가는 미래부가 개발해 민간에 이전한 정보보호 평가 제도다. 미래부는 올해 초 정보보호 준비도 평가의 등급모델과 평가기준, 방법론 등을 개발해왔으며 이와 관련된 기술을 ICT대연합에 모두 이전했다.

ICT대연합은 제도의 인증기관이며, 실제 기업들을 대상으로 인증 심사를 진행하는 기관은 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT), 한국침해사고대응협의회(CONCERT) 등이 지정됐다.

◆'수수료는 500만원 이하, 접근성 높일 것'=정보보호 준비도 평가의 기본 수수료는 497만6000원으로 책정됐다. 여기에는 서면평가 1일, 현장평가 2일에 대한 수수료가 모두 포함돼 있으며, 기업 규모에 따라 평가일이 추가될 수 있다.

김민천 ICT대연합 차장은 '민간 자율 제도이고 보다 많은 기업들의 참여를 위해 수수료는 기존 인증제도에 비해 상대적으로 저렴하게 책정했다'며 '대부분의 기업들은 2일 안에 현장평가가 마무리 될 것으로 예상되며, 업무에도 지장이 없어 부담이 적을 것'이라고 강조했다.

심사원들은 기반지표(정보보호 리더십, 정보보호 자원관리), 활동지표(관리적,물리적,기술적 보호활동), 선택지표(개인정보보호활동) 등 30개 항목, 117개 세부지표에 따라 기업의 보안성을 평가하게 된다.

일각에서는 2일이라는 평가기간이 너무 짧다는 지적이 나왔다. 정보보호관리체계(ISMS) 인증이나 개인정보보호 관리체계(PIMS)의 경우 피평가기관의 업무 프로세스를 파악에만 하루에서 이틀이 걸린다는 점을 들었다.

이와 관련 김 차장은 '서류심사를 통해 각 항목에 대한 심사를 먼저 하게된다. 피평가업체들로부터 사전에 각 지표에 대한 보고서를 받기 때문에 현장평가에 그리 많은 시간이 소요되지 않는다'고 설명했다.

실제 파일럿 평가를 받은 하우리, 서울디지털대학교는 이틀만에 현장평가가 완료됐으며, 쿠팡은 하루만에 평가를 마쳤다.

염흥열 순천향대 교수는 '현장평가가 짧은만큼 평가의 질 향상과 유지를 위해 심사원 관리에는 힘써야한다'며 '심사원의 자질을 잘 관리하는 것이 평가의 품질로 이어질 것'이라고 말했다.

◆'현실과 맞지 않는 항목은 해소가 필요'=파일럿 평가를 받은 세 기업들은 평가의 취지와 기준, 지표 등에는 대체로 공감한다는 의견을 보였다. 하지만 모든 산업군을 대상으로 하는 평가인만큼 현실과 맞지 않는 부분을 해소해야 한다는 지적도 내놨다.

김의탁 하우리 연구소장은 '세부지표에 외부 보안전문가로부터 업무 프로세스 등을 검증받는 과정이 있다. 또 시큐어코딩과 같은 지표에서도 외부전문가로부터 감사를 받을 경우에만 점수가 주어지는 부분도 있다. 보안업체의 경우 이러한 지표는 스스로 해결할 수 있는 부분이 아닐까 싶다'며 '특히 지적재산권과 관련된 부분에 있어서는 외부전문가로부터 평가를 받기가 조금 난감한 부분도 있다'고 전했다.

평가 세부지표의 밸런스를 조율해야 한다는 의견도 나왔다. 매우 중요한 지표의 이행 점수와 상대적으로 덜 중요한 지표의 이행 점수가 동일한 것은 수정돼야 한다는 지적이다.

정보보호 준비도 평가의 등급 산정에는 각 영역의 점수를 합산해 산정하나, 특정 영역에서 과락이 발생할 경우 등급이 아예 나오지 않는다.

김창오 쿠팡 인증감사팀장은 '평가에 사용되는 세부지표는 기업들의 보안수준을 측정하기에 문제가 없다. 하지만 지표 이행 여부에 대한 점수 밸런스는 조금 조정이 필요하다고 생각한다'고 말했다.

평가 대상 확대를 위한 방안으로 염 교수는 '공통 평가 기준에서 섹터별 세부평가 기준으로 확대 방안을 개발해야 할 것'이라며 '다양한 인센티브를 통한 홍보활동도 병행하는 것이 좋을 것 같다'고 지적했다.

미래부와 ICT대연합은 보다 많은 기업들을 제도권 안으로 끌어들일 수 있는 방안을 모색 중이다. 미래부는 인증을 받은 기업에 대한 조세감면과 우수조달기업 지정 등을 고려하고 있으며 ICT대연합도 자체적인 혜택을 고민하고 있다.

<이민형 기자>kiku@ddaily.co.kr

기자 : 이민형

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -