“새해 정보보호 건강검진 하세요!”
지난해 말 ‘정보보호 산업의 진흥에 관한 법률(정보보호산업진흥법)’이 시행됐다. 이에 따라 정보보호에 자발적으로 투자한 기업이 어느 곳인지 알 수 있는 길이 열렸다.
한국정보방송통신대연합(ICT대연합)은 새해 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT), 한국침해사고대응팀협의회(CONCERT)와 함께 ‘정보보호 준비도 평가’ 활성화에 주력한다. TTA, KAIT, CONCERT가 평가한다.
정보보호 준비도 평가는 보안에 노력한 기업을 평가하는 제도다. 자발적으로 정보보호 역량을 높이는 노력과 투자를 확산한다. 정보보호 준비도 평가를 받은 기업은 등급을 외부로 알릴 수 있다. 기업 정보보호 준비 정도를 B에서 AAA 등급으로 표시한다. AAA는 ‘우량’으로 침해 위협 예방부터 대처가 가능한 기업을 나타낸다. A는 대처능력이 제한적 기업이며 B는 기본 정보보호 관리활동이 준비된 상태다. 이용자는 등급을 보고 기업 제품이나 서비스를 선택한다.
정보보호 준비도 평가는 기업 시스템 해킹, 개인정보 유출 등 사이버 위협을 제거하는 사전 컨설팅 효과가 있다. 대기업이 협력사 정보보호 수준을 파악하고 높이는 방법이다.
평가 대상은 개인정보를 취급하는 통신, 포털, 의료, 금융기관이다. 입찰에 참여하는 정부와 민간 조달기업도 포함된다. 기존 정보보호관리체계(ISMS) 인증 사각지대에 놓인 기업과 ICT 분야가 아닌 기업도 대상이다. 매출액 100억원 이상, 이용자수 100만명 이상에 해당하는 기업은 ISMS가 의무다.
정보보호 준비도 평가는 전 산업 군을 대상으로 저렴한 비용으로 기업 보안 상태를 점검한다. 정보보호 준비도 평가 등급유효기간은 1년이며 신청 기업은 자가진단평가서를 작성해 평가기관에 제출한다. 평가기관은 서면 평가 1일, 현장 평가 2일로 마무리한다. 1년에 한 번 받는 건강검진과 유사하다. 인증기관에서 운영하는 심의위원회를 거쳐 최종 등급이 정해진다.
황중연 ICT대연합 부회장은 “2014년 한국수력원자력 원전도면 유출 사고 원인은 협력사 정보보호 소홀에서 비롯됐다”며 “정보보호 준비도 평가는 기업 협력사 보안을 강화하는 기반”이라고 설명했다. 황 부회장은 “지난해 정보보호산업진흥법 시행으로 법적 기반을 마련한 정보보호 준비도 평가 활성화에 나설 것”이라며 “범국가적 정보보호 인식 수준을 높여 기업 경쟁력을 높일 것”이라고 덧붙였다.
김인순기자 insoon@etnews.com