정보보호를 위한 모든 분야를 정부나 다른 조직이 대신 막아줄 수는 없기에 조직의 특성에 따라 충분한 보호조치를 마련하고 자체적으로 보호할 수 있는 역량을 길러 주는 접근방법이 정책적으로 필요하다.

구체적인 방법으로 최근 개정된 정보통신망법에서는 정보보호안전진단 제도를 폐지하는 대신 정보보호관리체계로 일원화했고, 개인정보보호 관리체계 인증의 법률적 근거를 마련했다. 또한, 정보보호 관리등급 부여제도를 신설하여 조직의 통합적 정보보호 관리수준을 향상시키고 이용자로부터 정보보호 서비스에 대한 신뢰를 확보할 수 있는 길을 마련했다.

이러한 제도를 통해 조직의 자율성을 최대한 보장하고 자체적인 정보보호 역량을 높여 줌으로서 전반적인 정보보호 수준 향상에 긍정적인 효과가 기대된다.

정보보호관리체계는 고기를 직접 잡아주는 역할이 아닌, 고기를 잡을 수 있는 방법을 마련해 줄 수 있는 가장 좋은 툴이라고 볼 수 있다. 조직의 특성에 따른 정보보호 정책을 수립, 운영하고 점검하여 개선할 부분을 개선할 수 있도록 라이프사이클 프레임워크를 제공하고 있어 조직의 보안관리 역량을 높이는데 도움이 된다.

구축된 관리체계에 대해 객관적인 제3의 인증기관에서 심사를 통해 인증을 받음으로서 내부조직의 시각에서 찾아내기 어려운 보안이슈를 개선할 수 있다는 점도 장점이다. 또한, 인증 받은 기업의 경우 정보보호 관리등급 부여 제도를 통해 해당 조직의 수준을 파악하고 추가적인 개선방안도 마련할 수 있게 되었다.

현재 국내 관리체계는 ISMS, PIMS, G-ISMS 로 구분되어 있어 민간과 공공 부문, 개인정보에 대해 관리체계 인증을 줄 수 있는 제도적 준비는 적절하게 이루어져 있으며 인증에 대한 수요도 급격하게 증가하고 있는 추세이다.

이에 따라 한국인터넷진흥원과 관련부처에서도 늘어나는 인증 수요를 충분하게 뒷받침 해 줄 수 있는 구체적인 실행방안을 마련할 필요가 있다. 관리체계가 활성화됨에 따라 구축을 필요로 하는 조직이 효과적으로 구축할 수 있도록 지원도 해야 하고, 수요에 따른 인증 수행이 이루어질 수 있는 조직체계고 정비할 필요가 있다.

현재 한국인터넷진흥원의 1개 팀 단위에서 제도 운영을 총괄을 하고 있는 상황에서 인증 수요를 충족해 줄 수 있는지에 대해서도 검토가 필요해 보인다. 관리체계 구축을 필요로 하는 조직에게 충분한 지원이 가능할 수 있도록 조직과 예산 등의 확대를 포함한 다양하고 적극적인 노력이 필요한 시점이다.

글_박 나 룡 보안전략연구소 소장(isssi@daum.net)

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>