방통위가 기업 대상 정보보호관리체계(ISMS) 인증 획득을 확대하기 위해 다각적인 활성화 추진 방안을 마련할 것으로 보인다.

방송통신위원회(위원장 최시중, 이하 방통위) 주최로 27일 삼성동 코엑스 그랜드볼룸에서 개최된 ‘기업 성공비지니스를 위한 정보보호 대응 전략’ 세미나 토론회에 참가한 배영식 방통위 사무관은 “ISMS 인증을 확대하기 위한 추진방안이 마련된다”고 밝혔다.

활성화 추진방안을 살펴보면, △기업정보보호 인식제고 홍보기능 강화, △인증취득 기업에 대한 인센티브 확대, △기업의 정보보호 수준평가 및 등급제 검토 , △기술지원 강화 등이다.

우선 정보보호 인식제고 홍보를 대폭 기능을 강화하기 위한 세부방안으로 대중매체를 통한 대대적인 홍보를 진행할 계획이다. 이는 CEO나 CIO 등 경영진들의 전반적인 정보보호 인식전환 홍보로 진행된다. 그리고 인증 취득 기업에 대한 인센티브를 확대할 계획으로, 조달청 사업자 선정시 가산점을 부여하는 것과 같은 직접적인 경영실적에 영향을 줄 수 있는 인센티브 방안을 세워 단계적으로 추진한다는 계획이다.

또한 기업을 대상으로 정보보호 수준을 평가하고 등급제를 도입해 우수 기업에 대해 고객이 직접 보안성과 책임성 및 정보보호 수준을 파악할 수 있도록 한다는 방침을 세운것으로 전해지고 있다. 아울러 영세기업에 대한 정보보호 지원도 강화된다. 영세기업의 취약점 점검이나 교육지원, 세미나 등 스스로 보안을 유지할 수 있도록 할 계획이다.

배영식 사무관은 “ISMS은 정부가 강제하는 것보다 기업 스스로 기업 실정에 맞게 관리하는 것이 중요하다”면서 “기업이 할 수 있는 한계를 넘은 부분은 정부에서 적극적으로 지원을 확대할 것으로 보인다”라고 말했다.

한편, 이날 세미나에서 마련된 토론회에서는 ISMS 활성화를 위한 다양한 방안이 제시돼 주목됐다. 특히 인증이 실질적인 효과에 기반 해야 한다는 주장과 투자 여력이 부족한 중소기업 대상으로 한 ISMS 인증 만들자는 주장 및 ISMS 의무화 등이 거론됐다.

염흥열 순천향대 교수는 “ISMS와 같은 정보보호관리체계 인증의 획득 상황을 보면, 최근까지 일본은 3,480개 기업이 인증을 획득하고 있지만 우리나라는 184개 기업에 그치고 있다”면서 “일본은 정부조달에서 인증이 의무화가 되고 있기 때문”이라고 말했다.

임채호 보안뉴스 보안연구소 센터장은 “ISMS 인증은 돈이 많이 드는데도 불구하고 있어도 해킹을 당한다는 인식이 남아있는데, 그 이유는 실질적인 성공사례가 제시되지 않고 있어서 그렇다”면서 “스스로 보안 관리를 하도록 하기 위해서는 실질적인 성공사례를 바탕으로 자기 기업에 맞게 스스로 보안관리를 하게 하도록 만들어야하며, 여력이 없는 중소기업의 경우에는 중소기업에 맞는 ISMS를 만드는 것도 좋은 방법”이라고 주장했다.

권헌영 광운대학교 교수는 “관리자들은 IT는 중요하게 생각하지만 보안은 안 맡아야한다고 생각하고  맡았다면 사고가 나지 말아야하며 사고가 났다면 혼자 뒤집어쓰고 가야한다고 생각하는데, 이는 브레이크가 고장 난 자동차를 만들어 운전을 잘하라는 것과 같다”면서 “이 같은 의식은 단기간에 정보화로 나타난 폐해로 보안에 실패하면 기업이 망할 수도 있다는 의식을 만들어야 하고 때로는 강제적일 필요도 있다”고 말했다. 그리고 그는 ISMS와 같은 정보보호관리체계는 의무화가 최적의 방안이며 이를 단계적으로 차근차근 진행하는 방안을 제시했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>