민간 주도로 운영되던 ‘정보보호 준비도 평가’ 제도가 허술한 법적근거 마련으로 인해 유명무실화될 위기다. 지난해 12월 시행된 ‘정보보호산업의 진흥에 관한 법률’에 관련 내용이 담겼지만 제도 활성화와 기업 참여를 유도할만한 실질적 방안이 부족하다는 지적이다.
미래창조과학부와 한국인터넷진흥원(KISA)은 최근 정보보호 준비도 평가 업무를 수행할 평가기관 등록 신청 접수를 시작했다.
정보보호 준비도 평가는 보안에 노력한 기업을 평가하는 제도다. 준비 정도를 B에서 AAA등급으로 표시한다. 기업은 이를 바탕으로 자체 정보보호 수준과 노력을 고객사와 소비자 등 외부로 알릴 수 있다.
대기업이 외주 협력업체 보안 수준을 확보하는 방안으로도 활용 가능하다. 평가 진행 과정에서 기업 시스템 해킹과 개인정보 유출 등 사이버 위협을 제거하는 사전 컨설팅 효과도 있다.
일정 요건에 해당하는 기업이 의무적으로 받는 ‘정보보호 관리체계(ISMS)’ 인증과 달리 민간 자율이다. 보안 사각지대에 놓인 중소·영세 기업이 건강검진을 받듯 스스로 평가에 참여하는 것이 골자다.
문제는 평가 참여를 유도할 혜택 부재다. 당초 고려되던 세제감면과 공공사업 입찰 우대 등도 실현되지 않았다. 정보보호산업 진흥법 제12조에 ‘평가를 받은 기업 평가 결과에 따라 포상 등 필요한 지원을 할 수 있다’고 명문화했으나 구체적 지원책은 없는 상황이다.
ISMS와 개인정보보호 관리체계 인증(PIMS) 등 기존 인증에 비해 비용이 상대적으로 저렴하지만 의무나 혜택이 없다. 평가기관 등록에도 논란이 적지 않다. 평가 공정성·독립성을 위해 정보보호 제조·유통·판매 업무를 수행하는 기업은 평가기관으로 등록할 수 없다. 정보보호 관련 평가 또는 인증을 위한 컨설팅 업무를 수행하는 기업도 마찬가지다. 예컨대 인적·기술적 요건을 갖춘 정보보안 관련 컨설팅사라면 기존 사업을 접고 평가기관 업무에만 매달려야 한다.
ISMS 컨설팅 업체 관계자는 “정부가 제시한 요건대로라면 평가업무가 가능한 전담 조직과 인력을 갖춘 업체 중 평가기관 등록이 가능한 곳은 한 곳도 없을 것”이라고 꼬집었다. 법적 근거에 따라 정부에서 기술적·재정 지원이 가능하지만 할당된 예산 자체가 미미한 수준이다.
ICT대연합이 제도를 주관하며 전문 평가인력 양성을 위해 도입한 ‘정보보호 준비도 평가사’도 문제다. 평가기관 등록을 위한 인적·기술적 요건 중 평가사는 5명 이상이 보유해야 하는 전문자격으로 인정받지 못한다. 민간자격이기 때문이다. 미래부에서는 자격 인정을 검토했지만 법제처에서 막혔다.
지난 1년간 3차에 걸쳐 300여명이 평가사 양성교육을 받았다. ICT대연합은 향후 평가기관과 평가사 활용 방안을 지속 논의할 계획이다.
미래부 관계자는 “법안 추진 과정에서 미처 고려하지 못한 부분이나 다소 부족한 부분이 없지 않다”며 “평가 참여 기업에 대한 포상이나 평가기관 지원 방안 등 개선책 마련을 위해 노력 중”이라고 말했다.
박정은기자 jepark@etnews.com
