| 현대캐피탈도 정보보호관리체계 의무 대상 될까? | 2011.04.15 | |
정보보호안전진단 사라지고 ISMS 의무화 골자 법안 통과 가시화
기존 대상에서 금융 및 정보보호 취약 분야 확대 의견도 제기
진성호 의원이 3월 7일 대표발의 한 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률 일부개정법률안(정보통신망법 일부 개정안)’이 이르면 4월 중 국회에서 법안통과가 예상되고 있다. 이번 법 개정 내용은 형식적 보안 점검이 중심이었던 ‘정보보호안전진단’를 없애고 ISMS를 통해 체계적인 보안 관리를 정착시킨다는 의도다. 그동안 보안업계에서는 정부주도의 일괄적인 보안 기술에 대한 지침이나 의무화로는 보안을 체질적으로 강화하긴 힘들다는 의견이 제기됐었다. 보안의 능동적 노력이 저해될 수 있다는 이유에서다. 특히 금융권을 비롯한 많은 기업과 기관들이 기술적 의무조치에만 신경 쓰고 자체적인 보안 강화에 대한 노력은 부족했다는 것이 업계의 의견이다. 보안업계의 한 전문가는 “그동안 우리나라의 보안의 총체적인 문제는 보안 제품이나 보안기술에 대한 의존도가 높은 반면 내부적인 보안정책이나 보안예산 설정 등 근본적인 보안 관리에는 소홀히 한 것으로 지적되고 있다”면서 “이런 현상은 보안정책을 짜고 보안 관리를 해야 하는 조직이 기업의 규모에 못 미치기 때문이며 이 때문에 그런 기업들은 보안솔루션의 성능에만 의존할 수밖에 없다”다고 지적한다. 특히 이런 경우 점차 지능화되는 사이버공격에 대응할 수 없다고 강조한다. 이에 따라 ISMS와 같은 보안관리체계의 중요성이 강조되고 있다. 새로운 보안위협이 나타날 때마다 보안솔루션의 확충과 확장에 신경 쓰는 것보다 조직 내부의 보안 문제를 찾아내 이를 보완하는 형태의 꾸준한 보안관리가 중요시되고 있기 때문. 이에 따라 ISMS 도입을 의무화하는 정보통신망법 개정은 기업들의 능동적인 보안강화를 이끌 수 있을 것으로 기대되고 있다. 방송통신위원회의 한 관계자는 “사실 그동안 유명무실했던 정보보호안전진단 평가 대신 ISMS를 통해 능동적으로 기업들의 보안 강화를 이끌어내는 보안 관리체계의 강화가 훨씬 필요하다”면서 “기업 입장에서도 매년 안전진단평가를 형식적으로 받는 것보다 실질적으로 내부 보안을 강화할 수 있는 ISMS를 도입하는 것이 효율적일 것”이라고 말했다. 그러나 그동안 정보보호안전진단평가 의무 대상이 인터넷 서비스 제공자에 한정 돼 있기 때문에 금융업계나 교육계 및 의료업계 등 정보보호가 취약한 분야로 확대돼야 한다는 의견도 제기 되고 있다. 여러 분야에서 IT를 도입하면서 인터넷기반서비스는 필수적으로 인식되고 있는 반면 대상 기업들이 대부분 포털이나 쇼핑몰 등 인터넷서비스 기업에만 대상으로 지정돼 있었기 때문이다. 보안업계의 한 전문가는 “그동안 사이버 공격은 인터넷 서비스업계가 주요 대상이었지만 최근 들어 사이버공격이 이익과 연관되면서 금융업계나 의료업계 등 돈이 되는 정보가 집약된 분야를 공격하기 시작했다”면서 “이에 따라 정보보호에 대한 의무는 인터넷 업계 뿐 아니라 금융업계 등 주요 정보를 보유하고 있는 모든 분야를 대상으로 확대되고 있다”고 주장했다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
