2003년 인터넷 대란 이후 국내 IT인프라와 기업들의 의무적 정보보호 조치 강화를 위해 등장한 정보보호 안전진단제도가 올해로 5년을 맞았다. 국가가 정하는 최소한의 정보보호 점검이라는 모토를 가지고 탄생한 이 제도는 5년이라는 시간을 거치면서 평가 부실이나 수검업체의 의지박약, 평가항목 개선이라는 여러 문제가 드러나고 있다. 보안뉴스에서는 정보보호 안전진단 제도의 현주소를 파악하고 발생하는 문제에 대한 개선점을 찾아보려 한다.  -편집자 주-

- 순서 -

1. 5년 맞는 정보보호 안전진단 제도 “현주소는 ?”

2. 정보보호 안전진단 제도, 올해는 어떻게 바뀌나

3. 제도의 실효성을 위해 남겨진 숙제는?

정보통신망법 개정안에 따라 올해부터 정보보호 안전진단 제도가 여러 부분 개선이 되지만, 아직도 해결되지 않은 여러 문제점이 나타나고 있다. 연말 쏠림현상에 대한 해결책과 점검항목에 대한 개선은 안전진단 제도의 숙제라고 볼 수 있다. 아울러 ISMS 인증이나 ISO27001과 같은 정보보호 인증과 맞물려 실효성이 부족한 안전진단 제도는 폐지돼야한다는 주장도 일부에서 나타나고 있다.

하지만 여러 문제점에도 불구 정보보호 안전진단 제도가 존재해야 되는 이유는 최소한의 점검이라는 취지에서 찾아볼 수 있다. 하지만 이런 최소한의 점검이라는 취지가 여러 문제를 해결하는 걸림돌도 되고 있다.

방통위의 한 관계자는 “이 정책의 취지가 최소한의 점검이기 때문에, 위원회에서 제도를 운영하는데 중점을 두는 것은 수검업체의 편의성과 경제적인 부담을 완화다”라며 “수검업체에 대해서는 편의성이나 부담을 완화해 제도의 공정성 객관성 실효성을 제고하는 것이 목표라고 볼 수 있다”고 강조한다.

이는 즉 수검업체의 편의성을 강조하다보니 연말쏠림현상과 같은 부분에서 마땅한 해결책을 찾기 힘들다는 것.

■ 정보보호 안전진단 ‘폐지’ VS ┖존속‘

일부에서는 안전진단 제도가 형식적으로 진행될 바에야 폐지하는 방안도 검토돼야 한다고 이야기들 한다. 수검업체의 입장에서는 요즘 같은 불황시기에 형식적으로 비용을 꾸준히 지출해야하는 것이 적지 않은 부담이 될 수 있기 때문.

수검업체의 한 관계자는 “매년 받는 안전진단이 같은 항목에 그치고 있어 별 의미없는 제도로 고착되고 있다”면서 “게다가 시간이 지날수록 기업들의 정보보호에 대한 관심이 늘고 있어 자체적으로도 어느 정도 수준의 정보보호 관리가 진행되고 있다고 파악돼 더욱 의미없는 제도가 되고 있다”고 말한다.

허나 아직 폐지는 시기상조라는 의견도 만만치 않다. 국내 기업들의 정보보호 수준이 점차 높아지고 있긴 하지만 아직도 기본적인 보안 장비도 갖추지 않은 기업도 적지 않기 때문. 따라서 형식적이라도 어느 정도 선에서는 이 제도가 유지 돼야 할 필요성은 충분하다는 것.

방통위의 한 관계자는 “초창기 이 제도가 실시됐을 때 (점검받기를) 기피했던 기업들이 지금은 거의 점검을 받고 있다. 이는 이 제도가 정착되고 있다는 것을 반증한다”면서 “이 제도에 대해 여러 가지 말이 있긴 하지만 아직도 최소한의 점검이 필요한 기업들이 많이 있기 때문에 제도의 존속이 유지돼야할 이유는 충분하다”고 주장한다.

이 관계자는 아직까지는 이 제도에 대한 폐지나 유지에 대한 논쟁보다는 나타나고 있는 고질적인 문제로 점차 해결하는 것에 초점이 맞춰져야 할 것이라고 전한다.

■ 연말 쏠림현상 어떻게 방지할까?

연말 쏠림현상은 대부분의 기업들이 안전진단을 연말에 받으려다보니 발생한 현상이다. 안전진단 수검만료기점이 매년 연말로 돼 있기 때문에 과태료를 물지 않으려면 12월 31일까지는 꼭 받아야한다. 일단 수검대상기업들이 안전진단을 늦추는 데는 여러 가지가 있을 수 있다.

정보보호 담당부서가 따로 있다면 모를까 따로 없는 부서의 담당자의 경우, 매달 나오는 OS나 애플리케이션의 패치 업무 등의 잡다한 IT업무에 바쁘기 때문에 다른 일을 할 엄두도 안 난다고들 이야기한다. 이런 상황에서 적어도 1주일 이상이 소요되는 정보보호 안전진단의 수검 기간은 큰 부담이 아닐 수 없다. 어떤 기업은 일부로 쏠림 현상이 나타나는 연말에 받는 다는 이야기도 들을 수 있었다.

 

업계의 한 관계자는 “쏠림현상이 나타나는 연말에는 수행기관에서도 일손이 부족해 수검기업이 원하면 형식적으로 간단하게 하는 경우도 많다”며 “수검시 새로운 장비 도입 등의 예산이 소요될 것으로 예상되는 경우 일부로 연말에 받아 정보보호 투자를 최소화 하는 경우도 있다”고 말한다.

이처럼 어쩔 수 없어서 또는 일부러 연말에 받아야 하는 경우가 발생하는데 이 때문에 쏠림현상은 수그러들지 않는다. 이에 대해 방통위 측도 마땅한 대안은 찾기가 힘들다고 이야기한다. 다만 안전진단을 간소하게 받기위해 일부러 연말에 받는 경우는, 안전진단을 마치고 방통위에 보고하는 결과보고서를 꼼꼼히 검토해 막겠다고 이야기한다.

일부에서는 분야별로 수검 날짜를 정해 분산시켜 받도록 하자는 의견도 있지만, 이 또한 쉽지 않다. 예산이 많이 소요되는 연초에 받는 기업들이 형평성 문제로 들고 일어날 수 있기 때문이다. 허나 분산과 더불어 혜택을 준다면 가능할 수도 있다는 주장도 있다.

업계의 한 관계자는 “분산도 혜택을 주고 시키면 가능할 수 있지 않을까 생각해본다”며 “IDC와 같이 전기세 감면 혜택을 받는 집단군과 중소기업 집단군 등 실질적인 혜택이 주어지는 집단에 대해 분산을 하는 방법도 나쁘지 않다고 생각한다”고 주장하기도 했다. 

■ 정보보호 안전진단 진단항목 개선 필요

많은 수검기업들이 제도가 형식적이라고 말하는 가장 큰 이유는 바로 진단항목이 개선되지 않고 있다는 점 때문이다. 특히 처음 제도가 만들어졌을 때와 지금은 많은 부분에서 다른 정보보호 이슈를 보이고 있다. 하지만 진단항목 만큼은 그전과 같기 때문에 실질적인 점검효과가 없다는 점이 지적되고 있다.

수검업체의 한 관계자는 “지난해에는 잇따라 터졌던 개인정보 유출 때문에 개인정보 관리에 대한 정보보호 예산이 크게 늘었지만 이는 진단 항목에선 크게 반영되지 않고 있다”며 “이는 항목에 없는 정보보호 개선은 체크되지 않기 때문에 안전진단 결과만 봤을 때는 정보보호에 소홀한 기업이라는 평가를 받게 된다”고 하소연하기도 했다.

안전진단 수행을 담당했던 한 컨설턴트는 “일부에서는 안전진단을 통해 개인정보 유출에 대한 점검을 원하는 기업도 있지만 실질적인 평가항목에는 매년 진행해 왔던 형식적인 항목뿐”이라며 “개인정보 유출은 내부자 유출이나 가상화를 통한 유출 등 여러 부분에서 새로운 취약점이 나타나고 있지만 제도가 못 따라가는 부분도 적지 않다”고 말하기도 한다.

이에 대해 방통위의 한 관계자는 “현재 위원회 내에서도 진단항목 개선의 필요성은 통감하고 있어 진단항목 개선을 위한 노력도 진행 중으로 올해에는 힘들겠지만 내년부터는 보안 트렌드에 맞는 평가항목을 추가할 방침”이라고 답변했다. 이는 내년 진단항목에는 구체적인 변화가 있을 것이라는 언급으로, 어떤 항목이 어떻게 개선될지는 지켜봐야할 것으로 보인다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>