우리는 운전 중에 자동차 속도, 남아 있는 연료량, 엔진 온도 등을 보여주는 계기판에서 자동차의 현재 상태와 역량을 파악한다. 이 같은 자동차 계기판에 해당하는 기업의 정보보호 계기판은 무엇일까?
바로 기업의 정보보호 역량 평가다. 기업의 정보보호 역량은 사이버 침해사고에 대한 사전 예방, 조기 탐지, 긴급 대응, 복구 능력 측면에서 평가할 수 있다.
기업의 정보보호 역량이 미흡하면 정보시스템 침해 사고로 이어져 대규모 개인 정보 유출 원인이 된다. 간간이 터져 나오는 대규모 개인 정보 유출도 우리 기업의 정보보호 역량이 공격 역량에 크게 모자라기 때문이다. 기업의 개인 정보 유출을 막기 위해서는 먼저 기업의 정보보호 역량이 강화돼야 한다.
정보보호 역량 평가는 여러 면에서 가치가 크다. 기업이 바로 평가 수혜자다. 기업 최고경영책임자(CEO)는 현재 기업 보안 수준을 알 수 있기 때문에 보안 투자가 필요한 시스템이나 부문을 파악, 적정한 투자를 할 수 있다. 기업 서비스 이용자는 기업의 정보보호 역량 정도와 신뢰 수준을 알 수 있어 자신의 개인정보 제공 여부를 결정할 수 있다. 해당 기업 투자자도 정보보호 역량 평가 결과에 따라 투자를 결정할 것이다. 정부도 기업 정보보호의 전반적인 수준을 파악, 투자가 미흡한 분야를 짚어 정책 지원 여부를 결정할 수 있다.
국제표준화기구(ISO/IEC JTC 1/SC 27)는 기업의 개인정보보호 역량 성숙도를 여섯 단계로 나눠 평가하는 모델을 개발하고 있다. 하지만 기업 정보보호 역량을 평가하기 위한 ISO 차원의 합의된 표준은 아직 없다.
미국 국토안보부는 에너지부와 함께 지난 4월 4개 등급으로 구성한 사이버보안 역량평가 모델을 제시했다. 일본은 민간 주도로 기업 보안 수준을 7개(AAA 등) 등급으로 나눠 부여하는 정보보호 등급제를 2009년부터 시행하고 있다. 유럽도 클라우드서비스 사업자에 기밀성, 무결성, 가용성 영역에서 5등급을 부여하는 제도를 운용하고 있다.
최근 우리 정부도 기업의 정보보호 역량 평가와 관련한 정보보호 준비도 시범 사업을 실시했고 본격 도입을 고려하고 있다. 정보보호 역량 평가제도 도입과 관련한 이슈는 △정보보호 관리체계와 어떤 수준으로 연계돼야 하나 △어떤 평가 기준과 인증 모델을 이용할 것인가 △인증 주체는 누가 돼야 하는가 등이다.
우리나라에도 정보보호 역량 평가 제도가 성공적으로 안착하려면 고려해야 할 몇 가지 조건이 있다.
먼저 역량 평가제도는 정보보호관리체계와 직간접적으로 연계돼야 한다. 또 평가 지표도 관리체계의 주요 영역에서 선정돼야 한다. 왜냐하면 정보보호 수준 평가는 기업의 정보보호를 위한 포괄적 차원의 대책을 제공하는 정보보호관리체계와 떼려야 뗄 수 없기 때문이다.
대부분의 선진국 역량 평가도 정보보호관리 체계의 주요 영역이나 한발 더 나아가 신규 영역에 기반을 두고 있다.
더불어 역량 평가 주체도 기업 스스로 하는 게 원칙이지만 기업이 신뢰하는 제3의 독립적 신뢰 기구에 의한 평가도 고려해야 한다. 여기에 역량 평가 제도가 성공적으로 도입되기 위해서는 정부, 기업, 공공기관 등 주요 주체들의 자발적 협업체계 구축이 선행돼야 하며 기업의 요구사항과 필요성을 수렴해 반영해야 한다.
지난해 3월 정보통신망보호법에 역량 평가제도 도입을 위한 법적 근거를 마련했으므로 관련 세부 지침이나 평가 기준 그리고 역량 평가 모델 개발에 근거를 둔 제도 시행을 준비해야 한다.
염흥열 순천향대 정보보호학과 교수 hyyoum@sch.ac.kr