정부가 그동안 규제 위주 정책을 집행하고 있는데도 불구하고, 보안사고가 끊이지 않자 민간에서 보안 문화를 확산시키기 위한 방안을 마련했다.
각종 규제만으로 해결하기에는 한계에 따르기 때문이다. 정보보호를 하나의 문화로 정착시켜야만 전반적인 보호수준을 높일 수 있다는 것이다. 글로벌 환경에서도 정보보호 자율규제에 대한 중요성이 부각되고 있는 만큼 국내에서 얼마나 성공적으로 제도가 안착할지 주목된다.
미래창조과학부는 한국인터넷진흥원(KISA)과 함께 '정보보호 준비도 평가' 제도를 새롭게 도입했다. 13일 서울 양재동 엘타워에서 개최된 기술설명회에서 강성주 미래부 정보화 전략국장은 자동차 연비나 가전제품 전기소모량을 표시하는 것처럼 기업 정보보호 수준을 자율적인 등급으로 매기도록 하는 방안을 마련했다고 밝혔다.
이 제도는 정보통신망법상 주요 사업자들에게 의무화 된 정보보호관리체계(ISMS)와 달리 민간에서 자율적으로 도입을 유도한다는 방침이다. 기존에 ISMS인증 의무 대상인 주요 ICT 기업들 외에 영세, 중소기업, 비ICT기업 등 정보보호 사각지대에 놓여있는 기업들까지 보호 수준을 높일 수 있도록 한다는 계획이다.
현재 KISA가 제안한 안에 따르면 B~AAA등급까지 기업정보보호 준비 정도를 5등급으로 표시할 수 있게 했다. 마치 자동차 연비처럼 소비자들 입장에서 더 보안에 관심을 기울이고 있는 기업의 제품, 서비스 등을 받을 수 있도록 한 것이다.
강 국장은 연비가 높은 차에 혜택을 주는 것처럼 준비도 평가 등급이 우수한 기업들에게 세금감면이나 보험요율을 낮춰준다던가, 공공조달 우선권을 주는 등 혜택을 주는 방안도 고려하는 중이라고 말했다.
이날 설명을 맡은 KISA 인터넷침해대응본부 정보보호관리팀장은 크게 정보보호 정책, 경영, 의사결정 구조와 보안투자 및 인력, 조직 등 필수적인 보안 인프라를 평가하는 기반지표, 관리적, 물리적, 기술적 정보보호조치 현황과 체계적인 보안활동 수행여부를 평가하는 활동지표, 금융, 교육, 의료 등 각 분야별로 개인정보보호 여부를 평가할 수 있게 하는 선택항목으로 초안을 잡았다고 설명했다.
KISA는 이러한 내용을 바탕으로 실제 사업화해 평가업무를 수행할 수 있는 기업이나 기관에 기술을 이전할 계획이다.
관련기사
- ISMS 인증 의무대상자 확대 법안 발의2014.08.14
- 정부 보안인증이 완벽 보장은 아니라고?2014.08.14
- 비슷한 보안 인증들, 상호 인정 허용된다2014.08.14
- 정부, 정보보호관리체계 심사기관 확대2014.08.14
민간 자율 규제를 위해 정보보호 준비도를 평가하는 제도는 우리나라에서만 추진되는 것은 아니다. 염흥열 한국정보보호포럼 의장(순천향대 정보보호학과 교수)은 미국 사이버보안 프레임워크, 유럽 NATO 통신 및 정보시스템, 일본 정보보호 등도 자발적으로 보안역량을 평가하는 제도를 시행하고 있다고 밝혔다.
제도가 정착하기 위해서는 기업들의 자발적 참여와 소비자들이 더 보호가 잘 된 제품, 서비스를 선택하는 문화가 확산될 수 있도록 하는 노력이 필수다.