 |
9일 서울 삼성동 코엑스에서 진행된 '정보보호 준비도 평가 세미나'에서 참석자들이 토론을 하고 있다./ 사진=정보보안국제협력센터 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
해킹의 증가 등 정보보호 중요성이 높아지고, 정보유출 사고로 기업이 입는 타격이 커지면서 정보보호 준비도 평가를 활성화할 필요가 있다는 주장이 나왔다. 다만 활성화를 위해서는 각기 다른 업종의 특성과 규모 등을 고려해 제도를 손질하고 정부 차원의 중소기업 유인책 등이 필요하다는 지적이다.
조원진 한국정보통신진흥협회(KAIT) 정보통신 ISAC 팀장은 9일 서울 삼성동 코엑스에서 진행된 '정보보호 준비도 평가 세미나'에 참석해 "기업 비즈니스에 인터넷이 선택이 아닌 필수가 되면서 정보보호 사고 발생 가능성도 커지고 있다"며 "정보보호에 대한 진단과 평가가 가능한 정보보호 준비도 평가가 활성화 시켜야하는 시점"이라고 말했다.
정보보호 준비도 평가 인증제도는 2014년 10월29일 미래창조과학부에 의해 도입된 제도다. 기업이 자발적으로 시행하는 정보보호 검진으로 개인이 겅간검진을 하듯 기업 내 정보보호 수준을 진단하고 평가할 수 있다. 기업 시스템 해킹이나 개인정보 유출 등 위협 요소를 제거하는 사전 컨설팅인 셈이다. 높은 비용과 복잡한 준비 과정 때문에 적절한 평가를 받지 못하고 있는 중소기업을 위해 마련됐다.
문제는 준비도 평가가 활발히 이뤄지지 않는다는 점이다. KAIT에 따르면 도입 첫 해인 2014년 정보보호 준비도 평가 수는 19건이었지만 이듬해 9건으로 줄었다. 이후 수행 건 수가 조금씩 증가하기는 했지만 기대에는 미치지 못하는 수준이다. 지난해 기준 41건 평가에 그쳤다. 국내 기업들이 정보보호에 인색하다는 점을 고려하면 더욱 우려스러운 수치다. 한국인터넷진흥원(KISA)의 2014년 8월 조사에 따르면 우리나라 기업 중 79.2%는 정보보호 정책을 수립하지 않았을 정도로 정보보호에 취약하다.
전문가들은 정보보호 준비도 평가의 활성화를 위해서는 기업의 업종 특성별로 정보보안 등급을 부여해 정보보안 지수의 신뢰도를 높이고 시장에 정착시키는 데 중점을 둘 필요가 있다는 지적이다. 마치 회사의 신용등급이 거래 대상에 대한 신뢰도로 여겨지듯 정보보안의 신뢰도를 바탕으로 거래가 이뤄지는 시스템을 구축해야한다는 것이다.
황보원규 KT 정보보안단 마이스터는 "기존의 인증제도가 지속적 보안수준 제고를 유도한다면 정보보호준비도평가는 기본적인 보안원칙에 대해 베이스라인이 돼 보안수준을 보증할 수 있는 제도로 자리매김 해야 할 것"이라며 "특히 보안관리 경험이 있는 대기업이 앞장서서 자사와의 거래를 원하는 기업들의 경우 정보보호 준비도 평가를 받도록 하는 등의 행동이 필요할 것"이라고 말했다.
평가의 품질관리에 신경써야한다는 지적도 있었다. 현재 한국인터넷진흥원이 평가기관 등록, 평가기준 관리 등의 역할을 하고 있지만 평가 운영과 관련된 부분은 평가기관의 재량으로만 두고 있다. 이 때문에 평가기관에 따라 품질관리가 되고 있지 못하다는 지적이다.
김성진 한국침해사고대응팀협의회 팀장은 "한국인터넷진흥원이 ISMS(정보보호관리체계)와 PIMS(개인정보보호관리체계)에 온 신경이 집중돼 있어 현실적으로 정보보호 준비도평가에 대해 신경쓸 여력이 없다면 제3의 독립적인 기관에 제도 운영의 주도적인 역할을 부여하거나 평가 기관간의 협의체를 통해 집단의사결정을 하는 것을 시도해 볼 필요가 있다"며 평가기준의 수준도 기초부터 최상급까지 너무 광범위한데 주 타깃인 중소사업자들의 눈높이에 맞춰 평가기준도 바꿔야할 것"이라고 꼬집었다.
정보보고 사각지대에 놓인 중소기업들을 끌어들이기 위한 정부 차원의 유인책이 필요하다는 의견도 나왔다. 이기욱 롯데면세점 정보전략팀 책임은 "애초 고려되던 세제감면과 공공사업 입찰 우대를 명문화하기는 했지만 구체적 지원책이 미흡한 상황"이라며 "법적 근거에 따라 관련기관에서의 기술적, 재정 지원에 대해 적극적인 투자가 필요하다"고 말했다.
이해인 기자 hilee@mt.co.kr
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
