보안협단체가 민간기업을 대상으로 정보보안감사 제도를 도입하는 방안을 검토 중이지만 실효성에 문제가 있다는 지적이 잇따르고 있다.
29일 관련기관 및 업계에 따르면 정보보안감사 제도는 정보보안 업체로 구성된 한국지식정보보안산업협회(KISIA) 주도로 도입이 검토되고 있는 만큼 기업 내 정보보안을 IT 영역이 아닌 전사 컴플라이언스(규제준수) 이슈로 확대시키는 데 한계가 있다는 지적이 나오고 있다.
기업 회계감사처럼 정보보호를 기업의 컴플라이언스 이슈로 확대하기 위해서는 행정안전부와 금융위원회, 회계법인 등이 모두 참여해서 관련 규정과 집행 방안 등을 만들어야 하는데 그렇지 못하다는 것이다.
우선 감사제도의 평가 대상부터 잘못 논의되고 있다는 평가다. 정보보안감사 제도는 회계감사처럼 투명성과 안정성을 높이기 위해 보안시스템이 아닌 프로세스나 체계 등 전체적인 관점에서 평가가 이뤄져야 한다는 것이다. 이를 위해 기업 정보보안 체계가 재무건전성 등 경영에 리스크가 있는지 없는지 파악해 제3자 기관으로부터 인증받도록 해야 한다고 전문가들은 지적한다.
기업에 정보보안감사 제도를 적용하는 방식에 대해서도 한계가 있다는 지적이다. 정보보안만을 별도로 분리해 감사를 실시, 공시하게 하는 것은 현실적으로 불가능하다는 것이다. 보안전문가들은 회계감사 시 정보보안을 일부 항목으로 포함시키는 방안을 제시했다. KISIA 주도로 추진되면 회계감사를 수행하는 회계법인과 협의가 쉽지 않다는 우려가 나오고 있다.
제도화 자체에 대한 우려도 있다. 회계감사에 정보보안 항목을 추가하기 위해서는 금융위 고시인 `기업회계기준`을 수정해야 한다. 해당 부처인 금융위와 협의가 필수인데 금융위는 기업 부담을 확대시킬 수 있다는 이유로 부정적 입장을 보이고 있다.
행안부는 정보보안감사 제도 도입을 위해 이제부터라도 보안업체는 물론이고 회계법인 등 다양한 곳에서 의견을 들어보고 KISIA와도 협의를 계속하겠다는 입장이다. 이후 정리된 입장을 가지고 금융위와 논의를 시작할 방침이다.
한순기 행안부 개인정보보호과장은 “정보보안감사 제도 핵심 취지는 기업 내 보안을 경영진 이슈로 확대하자는 것”이라며 “올해까지 제도 도입을 위해 다양한 의견을 듣고 내년까지 제도를 만들 방침”이라고 말했다. 한 과장은 “감사제도가 정보보안 시장 논리로 제품 도입 여부에 초점이 맞춰지면 도입 취지가 무색해진다”고 덧붙였다.
KISIA 관계자는 “아직은 초기 검토단계”라면서 “일본 정보보호감사제도를 그대로 도입하기는 한계가 있어 다양한 방안을 고민 중”이라고 전했다.
신혜권기자 hkshin@etnews.com