[ET단상]정보보호 준비도 평가제 안착하려면

기업 정보보호 상태를 가늠하는 ‘정보보호 준비도 평가’가 시행된다. 정보보호 준비도 평가는 중소기업에 적합한 새로운 정보보호 수준 진단 체계로, 기업 스스로 정보보호 역량을 구축하고 인증기관이 수준을 평가해 정보보호 등급을 부여하는 제도다.

정보방송통신대연합이 등급을 부여하는 인증기관의 역할을 수행하고, 한국침해사고대응팀협의회(CON-CERT), 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT)가 평가기관으로 참여한다.

한국인터넷진흥원 자료에 따르면, 종업원 5인 이상 사업장 가운데 45.6%만이 정보보호에 투자하고, 이 중 39.4%가 정보화 예산 대비 정보보호 예산을 3% 미만으로 투자하고 있다.

또 국정원 산업기밀보호센터 조사에 의하면 2013년 해외로 산업기밀이 유출된 건수는 49건인데 31건이 중소기업에서 발생했다. 중소기업이 아직 정보보호 사각지대로 남아 있음을 시사한다.

이 같은 문제를 해소하고 중소기업의 정보보호 대응 역량을 개선하기 위한 정책 추진이 필요한 시점에 이르렀다. 중소기업에 적합한 새로운 평가제도가 필요한 이유는 무엇일까. 대표적 정보보호관리체계 인증은 정부 주도로 수행되고 있으며 인증 및 체계 운영 비용이 중소기업에 적지 않은 부담을 주고 있다.

이에 비해 정보보호 준비도 평가는 평가 항목도 기존 체계의 3분의 1 수준이고, 평가 비용도 적고 평가 기간도 상대적으로 짧아 중소기업에 적합하다. 중소기업이 반드시 지켜야 할 필수 보호대책만을 대상으로 평가하기 때문이다. 요약하면, 정보보호관리체계는 종합병원의 종합 검진에 비유할 수 있고, 정보보호 준비도 평가제도는 국민건강보험공단에서 시행하는 건강 검진에 비유할 수 있다.

새로운 평가 제도를 통해, 정보통신 이용자는 해당 기업의 정보보호 등급을 근거로 자신의 개인정보 처리를 허락할 지와 정보통신서비스 이용 여부를 결정할 수 있고, 기업은 거래 상대 기업의 정보보호 등급을 근거로 비즈니스 거래의 시작 및 지속 여부를 판단할 수 있게 된다.

더불어, 기업 투자자는 정보보호 등급을 기준으로 해당 기업의 투자 여부를 결정할 수 있으며, 정부는 국가 차원의 기업 정보보호 수준을 평가해 새로운 정보보호 정책을 수립하는 데 도움을 얻을 수 있다.

중소기업의 미흡한 정보보호 대응 역량은 우리나라만의 문제가 아니어서 민간 자율 기반의 평가 제도는 일본, 영국 등 주요국에서도 운영하고 있다.

대표적으로 일본은 민간 평가기관 중심으로 금융기업을 대상으로 2009년부터 민간 기준에 근거해 정보보호 등급을 부여하고 있으며, 영국에서도 2014년 4월부터 ‘사이버 핵심 기법’이라는 인증 제도를 운용했으며, 사이버공격을 막기 위한 몇 가지 핵심 기술 역량을 평가해 3등급의 정보보호 등급을 부여하고 있다.

따라서 미래창조과학부가 민간 자율 평가라는 글로벌 추세를 반영해 민간 자율의 정보보호 준비도 평가 체계와 평가 기준 등의 새로운 정보보호 평가 모델을 개발하고 이를 민간에 기술 이전해 새로운 민간 자율 정보보호 준비도 평가제도로 출범케 한 것은 시기적절한 조치로 볼 수 있다.

아직 이 새로운 평가 제도에 회의적 시각도 존재한다. 따라서 일각의 우려를 불식하고 이 평가 제도가 성공적으로 조기에 정착하기 위해서는 기업의 자발적 참여 유도, 인증기관의 제도 운용의 효율성, 평가기관의 평가 과정의 투명성과 객관성 확보, 평가 항목의 지속적 개선, 평가 데이터의 신뢰성 확보 그리고 정부의 인센티브 제공 등이 뒷받침돼야 한다.

지금까지 모의 평가과정에서 나타난 여러 이슈들도 향후 평가 체계 개선과 평가 과정에 반영해야 한다.

또 정보보호 준비도 평가는 의료, 에너지, 국방 등 다양한 산업군으로 확대돼야 하며 각 산업군에 적합한 평가 항목의 개발도 필요하다. 지금까지 대기업과 공급자 체인을 유지하고 있는 중소 규모의 협력 기업의 최소한 신뢰성을 보증하는 유효 수단으로 활용될 수 있다고 생각된다.

정보보호 준비도 평가 제도도 기존의 인증 제도와 긴밀하게 연계돼야 하며, 기존 정보보호 인증 체계와는 차별화되면서도 독자적 목표 영역 확보가 필요하다.

더불어 외국에도 유사한 제도가 있음을 고려해 평가 모델에 대한 글로벌화를 추진하고 장기적으로 글로벌 차원에서 운영될 수 있는 평가 제도로 발전하도록 정부의 역할과 활동도 중요하다.

이제 걸음마를 시작하는 정보보호 준비도 평가 제도를 위한 정부의 적극적인 지원과 지속적인 관심, 기업의 적극적 참여 유도 그리고 인증기관과 평가기관의 제도 홍보 등의 활동이 필요하며, 이로써 우리나라의 정보보호 수준이 한 단계 향상하는 계기가 마련될 것으로 기대한다.

염흥열 순천향대 교수 hyyoum@sch.ac.kr