[스마트 융합 시대를 열자]<3>정보보호 생태계 조성을 위한 정책과제

모바일·클라우드컴퓨팅·SNS 환경 등 신규 서비스로 인한 보안 위협과 공격 대상이 확대되고 공격 기법도 지능화하고 있다. 이로 인한 기업과 개인 피해 규모도 점차 확대되고 있다. 개인정보보호법 및 정보통신망법 개정 등 국내외 정보보호 관련 법규의 제정 및 시행 강화 등 제반 환경이 변화함에 따라 국가 정보보호 활동의 자생적 발전을 가능하게 하는 생태계 조성이라는 정책 과제를 제안한다.

생태계 조성을 위해서는 생태계를 구성하는 주체 차원에서 유기적인 역할 수행을 위한 아래와 같은 네 가지 차원에서의 과제와 해결방안을 도출해야 한다. 생태계 조성을 위해서는 우선 민간기업과 공공기관에서 정보보호 수준 제고를 위한 자발적 노력이 중요하며 이를 가능하게 하기 위한 정보보호산업의 경쟁력 강화가 시급하다.

민간기업과 정보보호산업에서 실제로 정보보호 관리 또는 개발 업무를 수행할 수 있는 양질의 전문인력을 배출해야 할 필요가 있다. 마지막으로 국가 정보보호 활동을 계획하고 통제 역할을 수행하는 정부의 거버넌스 체계 구축과 법·제도 정비 등의 과제를 수행해야 한다.

첫째, 기업 보안수준 제고를 위해서는 과거 일률적인 체크리스트 방식의 평가제도에서 기업 특성을 반영한 위험 관리에 기초하고 자율 통제 활동을 유도할 수 있는 정보보안 관리체계 구축과 인증제도를 확대할 필요가 있다. 이를 위해 인센티브 제공을 포함한 활성화 정책과 관련 교육 및 지침 제공 등 자체 역량을 함양할 수 있도록 지원정책이 요구된다.

최고경영층의 정보보안 역할과 책임을 강조하는 정보보안 거버넌스 지침 개발과 보급으로 자율적 보안활동을 가능하게 해야 한다. 참고로 일본은 이미 2008년 관련 지침을 개발 보급해 자율 통제 환경을 조성하고 있다. 이를 위한 방법으로 이미 해외 선진국에서 운영하고 있는 정보보호 공시제도도 도입할 필요가 있다. 즉 주식시장에 상장한 기업들은 정보보호 활동의 결과를 객관적이고 독립적으로 공시함으로써 주주 및 일반 사용자들에게 신뢰감을 제공하고 기업의 사회적책임 수행을 투명하게 보여줄 필요가 있다.

둘째, 국내 정보보안산업의 대내외 경쟁력 강화를 위한 정책 대안으로는 `선택과 집중` 전략을 채택해 기업의 역량을 제고하고 또 해외시장 진출에 도움을 주어야 한다. 국내 기술 여건을 고려해 볼 때 정보보호 원천기술의 경쟁력보다는 상대적으로 경쟁력이 높은 SI(Security Integration)산업에 보다 집중적인 지원과 기술개발 정책이 요구된다. 특히 국제적으로 인정받고 있는 전자정부 보안 등과 같은 분야를 육성하고 지원해야 한다. 급속한 시장 성장이 예견되는 보안관제, 보안컨설팅, 보안운영 등 정보보호 서비스 제공업체 지원정책을 검토할 만하다.

셋째, 양질의 정보보안 전문인력 부족은 매우 시급하며 중대한 이슈다. 정보보안 필수요구지식(EBK:Essential Body of Knowledge) 개발과 이를 기반으로 한 정보보안 융합전공 인증 프로그램을 도입해 대학 등 교육기관에서 양질의 전문인력을 공급할 필요가 있다. 특히 융합전공 인증 프로그램은 이미 미국에서 지난 5년 동안 수행하고 있는 제도로 학제간 성격을 갖는 정보보호 교육 프로그램을 개발하고 이를 인증해 인력양성을 위한 기반 구조를 구축하고 있다.

넷째, 생태계의 인프라 역할을 수행하는 정부의 정보보호 거버넌스 체계 구축은 많은 전문가가 강조하는 사안으로서 정부부처간 정보보호 업무의 중복성 제거, 국가 기반구조 보호업무의 통합, 정보보호와 개인정보보호의 융합 등을 가능하게 하는 정부조직 개편이 요구된다. 정보보호 일반법 제정과 유사 인증제도의 통폐합 등 법·제도 정비 노력도 수행되어야 할 것이다.

김정덕 위원장(부활IT강국운동연합 정보보호GRC연구회·중앙대 교수 jdkimsac@cau.ac.kr)