`정보보호 안전진단제도`의 진단(수검) 대상 인터넷기업이 매출 50억원 이상에서 100억원 이상으로 크게 완화된다. 또 대상기업이 여러 사업을 동시수행할 때는 1번만 받도록 할 방침이다.
6일 정보통신부는 시행을 한달여 앞두고 인터넷 업계의 반발에 부딪혀 표류하고 있다는 지적을 받은 ‘정보보호 안전진단제도’의 쟁점 사항과 관련, 기업들의 부담을 덜어주는 내용의 수정안을 제시했다. 본지 7월 2일 1면 참조
정통부는 진단대상업체 선정기준을 ‘매출 50억원 이상 또는 일 평균 50만명 이상의 이용자에게 정보서비스를 제공하는 기업’에서 ‘매출 100억원 이상 또는 일 평균 100만명 이상의 이용자에게 정보서비스를 제공하는 기업’으로 변경하기로 했다.
단일기업이 여러 가지 사업을 동시에 수행하는 경우에 발생할 수 있는 중복 진단 문제에 대해서는 여러 사업을 병합해 1회만 진단을 받을 수 있도록 했다. 예컨대 IDC·ISP·쇼핑몰 사업을 영위하고 있는 기업은 스스로 계획서를 작성해 개별적으로 진단을 받거나 하나로 병합해서 진단을 받을 수 있게 한다는 것이다.
IDC 등 사업장이 여러 곳에 분산돼 있는 경우에도 개별·병합 진단 두 가지 방식을 기업 스스로 선택할 수 있도록 했다. 아울러 다른 법률에 의해 정보보호 관리체계 인증 및 취약점 분석 등 진단을 받은 경우에는 해당 분야 안전진단을 면제해 줄 계획이다.
정통부의 이번 수정안은 업계 반발에 부딪혀 법 시행이 한 달도 채 남지 않은 상황에서 관련 시행규칙 및 시행령 수정을 전제로 한 파격적인 내용으로 평가된다. 그러나 관련업계는 제도 자체의 수정을 요구하고 있다.
수검 대상 기업의 한 관계자는 “외국의 경우 안전 진단에 대해 가이드라인만 제시할 뿐, 사설 업체까지 대동해 돈을 받는 모델은 없다”며 “대상 업체 기준이 높아졌지만 몇 개 업체가 포함될지 시뮬레이션이 필요하며, 개별 업체의 비용 부담 최소화가 목표”라고 말했다.
정통부 정보보호정책과 안효범 서기관은 “현재 정보보호 진단 제도 시행을 위해 진단대상업체·컨설팅 업체와 전문가들이 참여하는 의견 조정 회의를 운영하고 있다”며 “대상 업체를 대형 업체로 최소화하고, 안전진단 관련 인력 등의 부담이 최대한 완화되도록 추진해 나갈 계획”이라고 밝혔다.
한편 정통부는 오는 30일까지 ‘정보통신망법이용촉진및보호에관한법률’ 시행규칙을 개정하고 이에 따라 진단절차·수수료 산정 기준·진단 대상 기관 등을 고시, 올해 안으로 안전진단을 실시할 예정이다.
조장은기자@전자신문, jecho@etnews.co.kr