기업 정보보호 담당자가 개선 규제로 '망 분리'를 꼽았다. 현실을 고려하지 않은 일률적 적용으로, 비효율을 초래하고 글로벌 기업과 경쟁에서도 불리하게 작용한다고 지적했다.
정보보호 최고책임자(CISO) 제도와 관련해서도 일부 개선이 필요하다는 의견을 내놓았다.
한국침해사고대응팀협의회가 발간한 '2022년 기업 정보보호 이슈 전망' 보고서에 따르면, 기업 정보보호 담당자는 망분리 규제 완화가 시급하다고 판단했다.
보고서는 협의회 회원사 정보보호 담당자를 대상으로 한 설문조사를 기반으로 작성됐다. SK텔레콤, 카카오, 구글 클라우드 등 국내외 정보통신, 금융, 플랫폼 기업 등 다수가 포함됐다.
정보보호 담당자는 망분리 규제가 기업 현실에 부합하지 않는다고 주장했다. 오픈소스 기반 서비스 환경이 증가함에 따라 지속적 패치가 필요하지만, 망분리 규제로 수작업 패치에 따른 속도 저하는 물론이고 업무 비효율을 초래한다고 분석했다.
대형 금융사에 적용하는 물리적 망분리를 기업은 물론, 데이터 규모를 감안하지 않은 채 일률적으로 적용함에 따라 막대한 인프라 구축·운영 비용 소요로 투자에 걸림돌로 작용하고 있다고 주장했다.
세계에서 유일하게 우리나라만 적용, 클라우드와 빅데이터 등을 활용해 무한경쟁을 펼치는 세계 추세에도 역행한다고 지적했다.
보고서는 “보안체계 구축 필요성은 인정하지만 개발과 혁신을 고려해야 할 시점”이라며 획일화된 보안통제 방식에 대한 재검토 필요성을 역설했다.
한국침해사고대응팀협의회 관계자는 “망분리 필요성을 인정하는 의견도 있지만 현재 일률적 적용 방식은 개선해야 한다는 공감대가 분명하다”고 설명했다.
CISO 제도와 관련해 우려도 제기됐다.
과학기술정보통신부는 지난해 12월 정보통신망법 시행령을 개정, 획일적이던 기존 정보보호 최고책임자의 임원급 지위를 기업 규모에 따라 지정해 신고 가능하도록 허용했다.
기업 정보보호 담당자는 개인정보 숫자와 서비스 규모에 따라 규제해야 한다는 대안을 제시했다.
대기업이 아니더라도 엄청난 숫자의 개인정보를 처리하거나 대기업 이상 중요한 서비스를 수행하는 스타트업에 보안 조직이 없거나 CISO를 일반 직원으로 운영해 있으나 마나 한 직책으로 운영되는 경우가 많다는 사례도 언급했다.
기업 정보보안 담당자는 “정보보안 중요성이 커진 만큼 제도 개선 과정에서 이해관계자 의견이 현실적으로 반영되는 구조가 갖춰져야 한다”고 말했다.
정보보호 규제 개선 방안
최호기자 snoop@etnews.com
