경영평가시 정보보호부문 반영비율 확대 및 가점 부여 추진  

규모나 재정상태 반영해 정보보호 반영 범위·비율 확대해야

[보안뉴스 민세아] 요즘 들어 더욱 강조되는 말이 있다. 정보보호를 비용이 아닌 투자로 인식하라는 말이다. 국내에서 지난 10년간 발생한 자연재난 피해와 사이버공격 피해를 비교해보면 자연재난이 0.8조원, 사이버공격이 3.6조원으로 압도적 차이를 나타내고 있다.

그럼에도 불구하고 기업들은 여전히 정보보호를 투자가 아닌 비용으로 인식하고 있다. 미래창조과학부에서 발표한 자료에 따르면 미국기업의 60%가 기업내 정보보호 정책을 마련해 시행하고 있는데 비해 우리나라 기업은 17%만이 이를 수립하고 있다. 또한, 미국기업 40%가  IT 예산 중 5% 이상을 정보보호 부문에 투자한다면 우리나라는 고작 3% 정도에 그치고 있다.  

이에 미래부에서는 정부업무 평가 및 공공기관 경영평가 등에 정보보호 부문 반영비율을 확대하고 가점을 부여하는 정책을 기획재정부와 협의 중에 있는 것으로 알려졌다.

경영평가란 정부 또는 지방자치단체들이 설립해 운영하거나 재정지원을 하는 지방공기업, 지방공사, 출자·출연기관 등에 대해 1년 또는 특정한 기간의 경영실적을 법률과 자치법규(조례)에 따라 평가하는 제도를 말한다.

경영평가는 정부 또는 지방자치단체가 자체 경영평가 또는 외부 경영평가 방식으로 진행하며, 경영목표, 리더십, 업무의 능률성, 경영성과 등에 관한 사항을 작성한 지표 및 편람에 따라 평가해 지속적인 경영개선 및 경영혁신을 유도하는데 그 목적이 있다.

현재 경영평가 항목에 정보보호 평가항목이 없는 것은 아니다. 그러나 강소기업의 경우 평가 범위에서 제외되는데, 미래부 측은 강소기업도 평가 범위에 포함하자는 의견이다. 기재부는 어느 정도 규모가 있는 기업에 대해서만 정보보호 평가항목을 반영하고, 작은 기업은 육성에 우선순위를 두자는 입장이어서 의견 차이를 나타내고 있다.

이와 함께 의료기관 및 대학 등 부처별로 운영되는 평가대상에게도 경영평가 시 정보보호 항목을 반영하고 우수 기업·기관에 대해서는 가점을 부여하는 방안을 검토하고 있다.

현재 의료기관 평가인증 기준에 포함된 개인정보보호 항목은 상급 종합병원만 해당한다. 그러나 개인정보보호 항목을 포함시키는 범위를 개인병원과 가정의학과 등으로 확대한다는 계획이 정보보호 투자 활성화 대책에 포함돼 있어 향후 논의과정이 주목되고 있다.

이 뿐만 아니라 복지, 금융, 교육 평가인증에서도 정보보호 및 개인정보보호 항목을 확대하고, 배점을 높일 수 있도록 해당부처와 계속 협의한다는 게 미래부의 방침이다.

이렇듯 경영평가에 있어 정보보호 부문의 반영비율을 확대하는 것이 왜 투자를 촉진시키는 기폭제 역할을 하게 되는 것일까? 결론만 말한다면 경영평가로 인해 해당기관의 정원, 예산, 기관장 인사가 좌지우지되기 때문이다.

경영평가 결과에 따라 기관장의 성과급이 달라지고, 공공기관의 경우 경영평가가 최악일 경우 CEO가 중도 해임되는 경우도 종종 발생한다. 게다가 예산에도 큰 영향을 미치기 때문에 기업과 기관에서는 경영평가 결과에 온 신경을 쓰게 된다. 즉, 경영평가에 있어 정보보호 항목이 확대될 경우 경영진은 경영평가를 잘 받기 위해서라도 정보보호 투자를 늘릴 수밖에 없다는 얘기다.

그러나 모든 기관이나 기업에게 동일한 잣대를 들이댈 수는 없다. 평가기관은 평가대상기관의 규모나 재정상태 등을 파악해 해당기관 상황에 맞게 정보보호 항목을 반영해야 한다. 이에 정보보호 반영 범위와 비율을 확대하기 전에 해당 부처와 지속적으로 협의하고 조율해야 할 필요가 있다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>