ISMS 의무 아닌 중소·영세 기업 자율적 정보보호 수준 평가 마련  

“다른 인증제도와 중복문제 해결, 평가의 객관성·신뢰성 확보해야”

[보안뉴스 김태형] 정부는 최근 연이어 발생하고 있는 정보보안 사고로 인해 기업이 보안역량 강화를 위해 스스로 얼마나 준비하고 노력하는 지를 평가해 총 5단계의 등급(B~AAA)을 부여하는 ‘정보보호 준비도 평가’를 마련해 시행한다.

빠르면 올해 말부터 시행되는 이 정보보호 준비도 평가는 이처럼 5단계로 등급을 나누고 정보보호 최고책임자의 지정과 역할, 정보보호 예산·인력, 연간 임직원 보안교육 시간 및 취약점 점검 횟수 등 총 30개로 구성된 평가지표를 기반으로 기업이 현장에서 수행하는 실제 정보보호 활동을 중점적으로 평가하게 된다.

미래창조과학부와 한국인터넷진흥원(KISA)는 8월 13일, 서울 양재동 엘타워에서 기업의 정보보호 역량 강화를 위한 노력·준비 수준을 평가하고 이에 따라 등급을 부여하는 ‘정보보호 준비도 평가’ 도입을 위한 기술설명회를 개최하고 이같이 밝혔다. 

이날 미래부 정보화전략국 강성주 국장은 “올해 초부터 학계, 보안업계, 금융기관, 기업 보안담당자 등 다양한 분야의 전문가와 함께 ‘정보보호 준비도 평가’도입을 위한 지속적인 논의를 진행해 왔다”면서 “정부가 아닌 민간주도의 ‘정보보호 준비도 평가’가 도입되면 기업이 스스로 보안투자를 확대하고 정보보호 조치를 강화하는 등 민간에서 자발적으로 보안수준을 높여나가는 정보보호 자율규제 문화가 정착될 것으로 기대한다”고 밝혔다.

또한 그는 “정보보호관리체계(ISMS) 인증 등 기존 제도가 인증 의무대상 기업 위주로 인증을 취득하는 경향이 있어, 이들 기업뿐만 아니라 영세·중소기업 등 모든 기업이 정보보호 수준을 진단하고 보안역량을 강화해 나갈 수 있는 환경을 조성해 보안 사각지대를 해소할 필요가 있다”면서 “정보보호 준비도 평가는 ISMS인증과 같이 의무는 아니지만 적극 권장을 통해 기업 스스로 정보보호 투자를 확대하고 정보보호 수준도 한단계 높일 수 있기를 기대한다”고 덧붙였다.

정부는 이를 통해 이용자는 보다 안전한 기업을 선택할 수 있는 기준이 마련되고 기업간 선의의 보안경쟁을 유발하는 등 민간이 자발적으로 정보보호 역량을 강화해 나가도록 유도한다는 방침이다. 또 이 제도가 정착되면 정보보호 산업 발전에도 기여할 수 있을 것으로 내다보고 있다.

이와 관련 KISA 정보보호관리팀 지상호 팀장은 “ISMS와 정보보호 준비도 평가의 가장 큰 차이점은 정부주도의 법률 규제인 ISMS는 정보통신망법에 따른 일정 기준 이상의 의무 대상자 및 자율 신청 기업을 대상으로 인증을 해주는 것으로 의무대상자가 미인증시에는 과태료가 부과된다”면서 “하지만 정보보호 준비도 평가는 민간 주도의 자율 규제로 영세 중소기업 및 비ICT 분야 정보보호 사각지대까지 포함한다”고 설명했다.

또한 그는 ISMS는 기준 확장 및 변경은 고시 개정을 통해서만 가능하지만 정보보호 준비도 평가는 기술 변화에 따른 유연한 대처가 가능하며 분야별 확장이 가능하도록 설계되어 있다는 점에서 차이가 있다고 덧붙였다.

정보보호 준비도의 평가항목은 필수항목(기반지표·활동지표)과 선택항목으로 구성하고 향후 개인정보보호 및 산업 분야별 특성을 고려해 확장할 수 있도록 설계했다. 현재는 30개 항목이지만, 분야별 특화된 항목을 개발해 추가할 수 있도록 했다.

지상호 팀장은 “평가기준은 기반지표의 경우 정보보호 정책·경영·의사결정 구조와 보안투자 및 인력·조직 등 필수적 보안 인프라를 평가하고 활동지표는 관리적·물리적·기술적 정보보호조치 현황 및 체계적인 보안활동 수행여부를 평가한다. 그리고 선택항목은 개인정보보호법 및 정보통신망법에서 규정하는 개인정보보호 항목에 대한 준수 여부를 평가한다”고 덧붙였다.

이러한 ‘정보보호 준비도 평가’는 의무사항이 아니라 권장사항이기 때문에 자발적 참여가 중요하다. 이에 정부는 ‘정보보호 준비도 평가’를 받은 기업에 대해 관련시설·제품 투자 비용에 대한 세액공제 등을 확대하는 정보보호 지원을 강화하고 미래부 산하기관 입찰 시 등급 취득 기관 우대지원 등의 혜택을 부여할 계획이다.

이날 설명회를 마치고 이어진 질의응답 시간에서 참석자들은 기존 ISMS·PIMS·PIPL 인증 제도와 겹치는 부분이 많아 ‘중복규제’가 될 수 있으며 민간자율 평가로 진행된다면 관대한 평가로 인해 평가자체에 대한 신뢰도가 문제 될 수도 있다고 지적했다.

이에 대해 지상호 팀장은 “ISMS 인증은 법으로 규정한 의무사항이지만 해당 기업은 그리 많지 않다. 그리고 최근엔 PIMS와 PIPL이 중복문제로 통합되는 것으로 결정이 났기 때문에 ISMS인증을 획득하기 어렵거나 대상이 아닌 기업들을 위한 ‘정보보호 준비도 평가’는 ISMS에 비해 매우 경량화된 기준과 객관적인 심사방법으로 기업들의 부담을 덜어줄 수 있으며 자율규제라는 점에서 기존 인증제도와 차별화된다“고 설명했다.

이러한 정보보호 준비도 평가는 IT기업 뿐만 아니라 개인정보를 취급하지 않는 기업들도 대상으로 하고 있기 때문에 이 제도가 확산되면 평가기준도 더 강화될 수 있음을 시사했다. 한편 KISA는 이날 ‘정보보호 준비도 평가 사업화 방안 연구’ 용역 발주를 통해 시범평가 수행 및 운영방안을 개발하고 과제 수행결과 평가를 통해 기술이전을 하고 내년부터 본격 시행에 들어갈 계획이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>