정부가 개인정보 유출로 인한 피해를 예방하기 위해 기업의 보안 수준을 평가해 등급을 매기는 `보안평가등급제` 도입을 추진한다.
보안평가등급제는 기업 신용도를 등급으로 매겨 금융기관이나 투자가의 판단에 도움을 주는 신용평가제도처럼 기업 보안 수준을 등급화하는 제도다. 일종의 `기초보안준수율 체크리스트`로 보안 수준에 대한 기업 평가 잣대로 활용될 전망이다.
지식경제부는 이 제도 검토를 위해 고려대학교 정보보호대학원 이경호 교수팀에 `사이버안전지수개발` 프로젝트를 발주했다.
보안평가등급제는 이 프로젝트의 기준이 되는 안이다. 이 교수팀은 프로토타입을 개발, 5일 한국인터넷진흥원 주최 `개인정보 유출사고 피해구제 강화 세미나`에서 일부 소개했다.
보안평가등급제는 `정보통신이용촉진및정보보호등에관한법률`(정통망법)에 의해 올해 의무화한 `정보보호관리체계(ISMS)`에 상응하는 규모의 신시장을 열 것으로 전망됐다. 등급 평가를 위한 컨설팅 시장과 등급 수준을 높이는 관련 솔루션 도입 및 시스템 구축 시장 등이 광범위하게 열릴 것이라는 얘기다.
이 교수팀은 기업의 업종별, 규모별로 실시해 개인정보보호법을 차등 적용하는 방안도 제시했다. 이경호 교수는 “업종별, 규모별로 기업이 보유한 데이터의 중요도와 유출시 사회적으로 미칠 파장이 달라 동일한 법 조항으로 처벌하기가 쉽지 않다”고 말했다.
등급 산출 체계를 중요자산 보유율에 따른 사이버위험도와 기초보안 준수율(보안관리실태율) 등으로 계산하고 사고 발생 시에 반영하자는 의견도 나왔다. 예를 들어 신용평가제도가 AA+, B, C 등으로 평가되는 것처럼 보안등급평가제도도 최고 수준인 A등급(총점수 86점)부터 D등급(총점수 30점)까지 나눌 수 있다.
이 교수는 “신용평가 시 회계처리와 관리능력을 가진 대기업을 AA+ 등으로 평가하는 것처럼 개인정보보호 솔루션, 관리 인력, 정책 등 전반적인 보안현황을 평가해 A~D레벨 등으로 평가할 수 있다”고 설명했다. 이 등급제를 기업의 개인정보유출사고 발생 시 증빙자료 뿐만 아니라 기업의 협력업체 선정, 관리에도 쓸 수 있다.
이 교수는 “대기업이 보안등급평가제도에 따라 A를 받았다 해도 관련 협력업체가 모두 A등급을 받을 수 없다”면서 “협력업체의 보안현황을 파악해 C등급을 받은 경우 대기업과 월 거래액을 10억원 이하로 규정하고 A등급으로 올라갈 경우 100억원으로 증가한다든지 하는 조치를 취해 보안에 따른 기업리스크를 줄이는 방안으로 활용할 수도 있다”고 주장했다.
이날 세미나에선 개인정보유출 사고 발생시 일괄 기준으로 동일한 법 적용을 받는 기업의 피해를 줄이는 부분에 대한 의견과 함께 개인 피해를 구제할 방안도 제시됐다.
최경진 가천대학교 교수는 “다수의 개인정보보호 피해가 발생하지만 피해가 인정돼 보상된 경우는 거의 없다”면서 “정보통신망법을 중장기적으로 개선해 피해자손해배상제도를 피해자입장에서 개선하고 이용자 피해구제를 위한 실질적인 기금 조성 등을 통해 피해자 손해를 구제할 방안을 마련해야 한다”고 말했다.
장윤정기자 linda@etnews.com