• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기고] 정보보호산업 육성정책, 실제로는 위축시킨다? 2014.02.05

ISO27001 제외하면 준 정부기관 운영 인증시장, 컨설팅 시장만 존재

정책·제도가 관련 시장에 어떤 영향 미칠지 좀더 심사숙고해야


[보안뉴스=박태완 한국 뷰로베리타스 선임심사원] 국내 정보보호와 관련해 준 정부기관에서 시행하는 정보보호관련 정책 및 제도 설명회에 가보면 꼭 언급하는 것 중 하나가 시행되는 정책이나 제도가 관련 산업을 육성·발전시키는데 도움될 것이라는 얘기다.


이런 설명회를 듣고 있으면서 궁금한 점은 정책·제도 개발자 또는 설명자들이 정말로 그 정책이나 제도가 정보보호 산업을 육성한다고 믿고 있느냐는 것이다. 물론 현 정부가 시행하고 있는 관련 정책이나 제도가 필요 없거나 잘못됐다는 것은 아니다. 정보보호 전문가로서 현재 정부가 시행하는 다양한 정책과 제도들의 필요성은 충분히 동의한다.


다만 산업 육성 또는 관련 시장의 활성화 관점에서 정책이나 제도를 만든 기관이 의도하는 대로 실제 관련 산업이 육성되거나 시장이 활성화되는 것이 아니라 오히려 관련 산업이 위축되거나 시장이 줄어드는 것을 알고 있는지 궁금하다.


몇 가지 구체적인 예를 들어 보면 첫번째는 정보보호관리체계 인증제도다. 정보보호관리체계라는 표현은 미래창조과학부(이하 미래부)의 공식적인 표현이다. 산업통상자원부(이하 산통부)의 공식적인 표현으로는 정보보안경영시스템이다. 이 말의 의미는 미래부에서 ‘정보보호관리체계(ISMS) 인증제도’가 있으면 산통부는 정보(보안)경영시스템(ISO27001) 인증제도라는 매우 유사한 제도가 공존하고 있다는 것을 뜻한다.


현재 2가지 모두 약 200여개의 기업이나 기관이 각각의 인증을 획득해 보유하고 있다. 이 인증제도에 추가해 ‘개인정보보호관리체계(PIMS) 인증’ 제도가 있으며, 최근 시행된 또다른 ‘개인정보 보호 인증(PIPL)’ 제도가 있다.


위의 인증제도 중에서 ISO27001을 제외한 모든 인증제도는 준 정부기관에서 운영하고 있다. 이는 인증 제도를 위한 시장이 활성화되지 않고 있다는 것을 의미한다.


ISO27001 인증시장은 크게 3가지 시장이 존재한다. 첫 번째는 인증심사를 수행하는 인증기관 시장이고, 두 번째는 심사원과 컨설턴트 양성, 인증 준비 담당자들을 위해 관련 교육을 제공하는 교육기관 시장, 세 번째는 관련 컨설팅을 제공하는 컨설팅 시장이다.


개인적인 추산으로 보면 2013년 인증기관 시장이 약 20~30억원, 교육기관 시장이 약 5~10억원, 컨설팅 시장이 약 30억~50억원이다. 이들 시장은 느리지만 점점 확대되고 있다.


그러나 ISO27001을 제외한 준 정부기관이 운영하는 인증시장에는 컨설팅 시장만 존재한다. 왜냐하면 관련 교육과 인증심사 모두를 준 정부기관에서 거의 무료에 가깝게 제공하고 있기 때문이다.


물론 교육시장은 준 정부기관이 직접 교육하는 것이 아니라 경쟁을 통해 교육기관을 선정하고, 그 비용을 교육기관에게 제공하기 때문에 매출이 발생하면서 그 시장이 존재한다고 할 수 있다.


또한 인증심사도 ISO27001 인증만큼 많은 비용을 지불하진 않지만 인증 고객이 비용을 지불하니 그 시장도 존재한다고 할 수 있다. 그러나 이 인증비용은 준 정부기관에 귀속되며, 교육 수강생은 비용을 지불하지 않는다. 즉 ISO27001 시장과 비교하면 약 30~40억원의 시장이 존재하지 않게 된다는 얘기다.


두 번째는 정보보호 인식제고를 위한 사이버(온라인)강좌다. 정보보호관련 준 정부기관에서는 매년 다양한 사이버강좌를 개발해 무료로 제공하고 있다. 물론 이 것 자체는 매우 훌륭하다.


그러나 준 정부기관에서 개발한 사이버강좌는 대상을 일반 국민으로 하고 있기 때문에 그 내용이 매우 일반적이고, 기업에서 사용하기에는 구체적인 내용이 부족한 경우가 많다.


물론 기업에서도 위의 과정을 수강하는 것은 당연히 도움이 된다고 할 수 있다. 다만 위의 과정만으로 직원들의 보안인식 제고를 통한 실천 역량을 증대시키기에는 부족하다는 것이다. 따라서 준 정부기관이 제공하는 과정은 기초 과정 혹은 추가적인 과정으로 생각하고, 기업에서 필요한 과정은 자체적으로 개발해 제공해야 한다.


그러나 기업에서는 비용절감이라는 차원에서 무료 과정을 직원들에게 수강하게 하고, 회사에서 필요한 정기적 교육을 모두 수행했다고 주장한다. 또한 상위 감독기관에서도 이를 인정해줌으로써, 교육의 실효성이 높은 과정 개발이 제대로 이뤄지지 않게 된다. 즉 정보보호관련 사이버강의 개발시장이 확대되지 않고 있다는 얘기다.


세 번째는 보안관련 툴들의 무료 제공이다. 여러 관련 준 정부기관에서는 공통적으로 필요한 보안 툴들을 개발해 무료 제공하는 경우가 종종 있다. 물론 사용자 입장에서는 비용을 지불하는 것보다는 무료 제공을 받는 것이 좋다. 그러나 무료로 개발된 툴들은 기술이나 시스템 혹은 네트워크 환경이 바뀌는 것에 따라 즉시 업데이트 등의 유지보수가 잘 이뤄지지 않는다. 또한 유사 기능을 하는 유료 툴 개발의지를 꺾게 된다. 즉 무료 제공되는 툴의 경우 관련 분야가 개발, 확산되지 않는다는 뜻이다.


현재 다양한 정보보호관련 정책·제도를 개발하고 효율적으로 운영하기 위해 많은 노력을 기울이고 있는 것으로 알고 있다. 다만 해당 정책과 제도가 관련 시장에 어떤 영향을 미칠지 좀더 깊은 분석이 필요하다.

[글_박 태 완 한국 뷰로베리타스 선임심사원(taewan.park@gmail.com)]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>