• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[정보보호안전진단②]제도, 올해는 어떻게 바뀌나 2009.01.25

2003년 인터넷 대란 이후 국내 IT인프라와 기업들의 의무적 정보보호 조치 강화를 위해 등장한 정보보호 안전진단제도가 올해로 5년을 맞았다. 국가가 정하는 최소한의 정보보호 점검이라는 모토를 가지고 탄생한 이 제도는 5년이라는 시간을 거치면서 평가 부실이나 수검업체의 의지박약, 평가항목 개선이라는 여러 문제가 드러나고 있다. 보안뉴스에서는 정보보호 안전진단 제도의 현주소를 파악하고 발생하는 문제에 대한 개선점을 찾아보려 한다.  -편집자 주-


- 순서 -

1. 5년 맞는 정보보호 안전진단 제도 “현주소는 ?”

2. 정보보호 안전진단 제도, 올해는 어떻게 바뀌나

3. 제도의 실효성을 위해 남겨진 숙제는?


올해부터는 정보통신망법 개정안에 의해 정보보호 안전진단 제도도 새로운 변화를 국면을 맞을 것으로 예상된다. 이번 개정안에서 가장 주목되는 부분은 안전진단의 방법/절차에 대한 위반시 처벌 사항이 추가된 것.

 

그동안은 안전진단에 대한 여러 문제 발생시 처벌 조항이 없어 마땅한 구속성을 가지고 있지 않았다. 하지만 올해부터는 처벌 조항이 새로 추가됨에 따라 법적인 테두리 안에서 일정 부분 단속에 대한 구속성을 가질 수 있을 것으로 보인다.


■ 정보보호 안전진단 질적 수준 높이기 위한 수행기관 단속 강화

이번 정보통신망법 개정안에서 정보보호 안전진단에 개선된 부분을 살펴본다면, 안전진단에 대한 방법이나 절차를 위반할 경우 지정취소나 업무정지 및 수행기관의 사후관리가 강화됐다는 점.


개정 법 57조 1항에 따르면 방송통신위원회는 안전진단수행기관으로 지정받은 기관이 ▲거짓이나 그밖의 부정한 방법으로 안전진단수행기관으로 지정받은 경우, ▲업무정지기간 중에 안전진단을 수행한 경우, ▲최근 3년 이내에 안전진단 수행실적이 없는 경우, ▲정보보호 안전진단 결과를 제출하지 않거나 거짓으로 제출한 경우, ▲권고의 내용과 처리결과를 제출하지 않거나 거짓으로 제출한 경우, ▲시정명령을 정당한 사유 없이 이행하지 않은 경우에는 지정을 취소하거나 1년 이내의 정지 처분을 받을 수 있다.


방통위의 관계자에 따르면 지금까지는 수행기관에 대한 구속성이 없어 감사와 관리가 쉽지 않았지만 앞으로는 새로운 처벌 조항이 추가된 만큼 이에 대한 단속을 강화할 방침이라고 한다.


■ 정보보호 수행기관 심사원 조건 까다롭게

정보보호 수행기관 심사원에 대한 조건이 강화된다. 기존에는 일정 경력과 자격증만 가지고 있으면 정보보호 전문 인력으로 등재돼 심사원의 자격을 얻을 수 있었다. 하지만 올해부터는 40시간 정도의 정보보호 안전진단 심사원 교육을 이수한 후 시험을 통과한 인력에게만 자격증을 발급해주고 심사원으로서 자격을 갖출 수 있게 된다. 또한 수행기관의 심사원은 수검대상자에게 자격증을 확인해야만 심사를 진행할 수 있다.


방통위의 한 관계자는 “그동안 심사원들 중 일부는 정보보호 전문인력에 등재가 되지 않은 상태에서 심사를 진행한 경우가 있었는데 앞으로는 이에 대한 교육과 시험을 통해 받은 자격증을 소지해야만 심사를 할 수 있도록 할 계획”이라며 “이를 어기고 허위 자격증을 이용하거나 자격증 확인을 받지 않은 심사원을 고용한 수행기관은 지정취소나 업무정지의 처벌을 받게 된다”고 경고했다.


또한 방통위는 정보보호 전문인력이 소속감 없이 프리랜서로 활동하는 문제를 막기 위해, 정보보호 전문인력에 등재된 명부를 확인해 재직 안하고 있는데 재직하는 것처럼 꾸민 의혹이 나타나면 보험공단을 통해 명단을 확인하는 작업을 거쳐 철저하게 색출한다는 방침이다.


■ 수검업체에 대한 기술지원

방통위는 수업업체 중 영세한 기업에 대한 기술지원을 강화하기 위한 예산을 확보했다고 밝히고 있다. 이는 수검업체에 대해 안전진단 뿐 아니라 조치에 대한 지원을 일정부분 돕는 것. 방통위 측은, 예산이 크게 책정된 것은 아니지만 매년 50개 업체정도 기술지원이 가능할 것이라 밝히고 있다. 가령 간단한 방화벽이나 심지어 백신을 깔 여력도 없는 소규모 업체들에 대해 기술지원을 한다는 것.


방통위 측의 한 관계자는 “의외로 영세한 업체들이 많이 포함돼 있어 이들에 대한 기술지원이 시급하다는 판단에 예산을 확보했다”며 “올해에는 소규모 웹호스팅 업체들을 중점적으로 기술지원을 하게 될 것”이라고 말했다. 방통위 측은 향후 이 예산을 조금씩 늘려간다는 계획도 언급했다.


■ 정보보호 안전진단 면제 확대

ISMS 인증을 획득한 경우도 당해 연도만 면제하게 돼 있어, 3년의 효력이 있는 ISMS를 받고도 다음해에는 또다시 안전진단을 받아야 했다. 하지만 이번 개정안에서는 당해연도만 면제하게 돼 있었던 것을 인증유효기간인 3년 전부 면제하도록 했다. 또한 주요정보통신기반시설 취약점 분석평가를 받은 경우도 면제가 가능하게끔 면제를 확대했다.


이밖에도 수검업체와 수행기관의 민원에 대한 상설전담인력을 올해부터 강화해 제도개선과 문제에 대한 신고창구를 더욱 개방한다는 방침이다. 아울러 온라인 신고시스템도 올해까지 구축할 계획이다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>