민간주도로 추진하되, 공시·감사 기능 활성화 통해 기업 관심 높여야 

다양한 기업환경 고려 필수...대기업의 중소기업 참여 유도가 관건  

[보안뉴스 김경애, 김지언] 기업의 정보보호 수준이 어느 정도인지 진단하는 ‘정보보호 준비도 평가’(이하 준비도 평가). 이는 미래창조과학부가 민간 자율의 정보보호 활성화를 위해 만든 평가 모델이다. 평가항목에 따라 점수가 배점되며, 점수에 따라 AAA, AA, A, BB, B 5등급으로 나뉜다. 

▲ 지난 15일 보안뉴스 회의실에서 열린 ‘정보보호 준비도 평가 제도 활성화 및 개선방안 간담회’ 모습

하지만 이번 제도를 두고 우려의 시각도 적지 않다. 그간 실효성 문제, 기존 인증과의 중복 문제 등이 제기됐기 때문이다. 실제 본지가 준비도 평가에 대해 설문조사한 결과, ‘실효성이 떨어진다’는 의견이 41.3%로 가장 높았으며, ‘관심 없다’ 34.36%, ‘기존 인증제도와 크게 다를 바 없다’ 11.79%, ‘비교적 괜찮은 편이다’ 8.21%, ‘만족한다’ 3.59%, 기타 1.03% 순으로 집계됐다.

이처럼 설문조사 결과를 보면 알 수 있듯 긍정적인 측면보다는 아직까지는 우려의 시각이 더욱 크다. 그렇다면 준비도 평가제도가 시장에 제대로 안착되기 위해 어떤 점을 보완하고, 개선해야 할까? 이에 본지는 지난 15일 본사 회의실에서 ‘정보보호 준비도 평가 제도 활성화 및 개선방안 간담회’를 개최하고 산학연 보안전문가들의 다양한 의견을 들어봤다. 다음은 미래창조과학부 정보보호정책과 홍진배 과장의 준비도 평가 소개에 이어 인증·평가분야 보안전문가들의 의견을 정리한 내용이다.

홍진배 미래창조과학부 정보보호정책과장- 국내 기업 대다수가 홈페이지를 운영하고 있다. 그만큼 홈페이지가 비즈니스에서 중요한 역할을 하고 있지만 온라인을 통한 정보유출 사고가 잇따르고 있다. 이에 대해 기업들도 우려하고 있지만, 정작 거래하는 회사는 안전한지, 정보보호는 어떻게 하고 있는지, 전담부서는 존재하는지 등을 잘 알지 못해 궁금해한다.

이러한 측면에서 정보보호 준비도 평가는 의무화 제도가 아닌 다양한 기업의 자율적인 참여를 위해 만든 평가 모델이다. 기존 ISMS 인증이 종합병원의 건강검진이라면 정보보호 준비도 평가는 국민건강보험공단에서 받는 기본적인 건강체크 개념으로 이해하면 된다.

몇몇 기업에 실제 시뮬레이션을 실시했으며 반응은 긍정적인 편이다. 절차가 복잡하고 까다로운 문서화 중심의 인증체계에서 벗어나 어렵지 않으면서 실효성을 갖추는데 주안점을 두고 있다. 특히, 어떤 민간업체라도 준비도 평가 인증 모델을 갖고, 비즈니스 모델로 활용할 수 있다. 이는 자율적인 정보보호체계를 유도하기 위해서라고 할 수 있다.

임종인 고려대학교 정보보호대학원장- 준비도 평가가 시장에 제대로 정착되려면 첫째, 평가주체가 철저히 민간이어야 한다. 신용평가기관의 경우 민간주도로 기업의 신용도를 평가한다. 평가기관의 감사는 금융감독원에서 하기 때문에 준비도 평가 역시 이러한 방향으로 나아가는 것이 바람직하다고 본다.  

두 번째로는 선의의 경쟁을 유도하도록 보안수준 을 공시하는 공시제 형태로 운영되어야 한다. 알례로 카드사의 경우 PG사의 간편결제 문제로 사고가 발생해도 일반인들은 카드사의 잘못으로 인식한다. 게다가 PG사가 어느 정도의 보안수준인지 카드사는 잘 알지 못한다. 따라서 보안수준 공시를 통해 선의의 경쟁을 유도해야 한다하는 것이다. 이를테면 몇몇 은행이 준비도 평가에 참여해 AAA등급을 받으면, 경쟁 은행도 이 등급을 받기 위해 노력할 것이다. 정부는 대기업의 자발적 참여를 유도하면서 협력업체나 경쟁업체가 따라올 수 있도록 해야 한다.

박태완 한국뷰로베리타스 선임심사원- 준비도 평가는 해외에서도 유사제도가 없기 때문에 시장 정착을 위해서는 좀더 면밀한 검토와 보완이 이루어져야 한다. 또한, ISO 국제표준기구처럼 인증기관 위에 인정기관을 두는 형태 등으로 정부의 간접적인 관여가 필요하다.

민간 중심으로 활성화되려면 재위탁이나 재재위탁사에게 준비도 평가를 요구해 확산속도를 높여야 한다. 이를테면 현대자동차의 경우, 감사제도를 운영하는데 위탁사에게 자체적으로 일정 수준의 보안성을 요구한다. 만약 ISO 27001 인증을 받으면 위탁사의 보안성을 인정해 주는 식이다. 따라서 준비도 평가도 이런 형태로 확산시켜 나가는 것이 바람직하다고 본다.   

이동산 페이게이트 기술이사- 많은 사람들이 민간 자율보단 정부 주도의 인증으로 오해할 수 있다. 기존에 소개된 준비도 평가로는 정부주도의 느낌이 강하다. 이 부분에 대해 정부는 좀 더 확실한 입장 정리가 필요하다.

등급 구분의 경우, 5단계로 나누게 되면 대부분 최상위 등급만 인정받게 될 가능성이 크고, 낮은 등급일 때는 대외적으로 인정받기 어려운 문제도 생긴다. 이 때문에 평가항목별로 합격·불합격으로 판단하고, 모든 평가항목에 대해 합격했을 경우에만 AAA를 부여해야 한다고 본다.  

서류작업 위주의 형식적인 평가가 되지 않도록 좀더 명확하고, 구체적인 기술적·물리적 기준이 제시되어야 한다. 또한, 미래부 중심으로 추진되고 있는 만큼 금융위나 금감원 등 다른 부처에서 상호 인정해줄 수 있는 제도로 만들기 위한 부처간의 협업도 필요하다.

김성훈 열심히커뮤니케이션즈 CISO- 중소기업의 경우 전문인력의 한계로 뭘 어떻게 해야 하는지 잘 모른다. 스스로 수준을 진단을 할 수 있도록 중소기업 정보시스템 운영환경에 맞는 가이드라인 개발이 선행되어야 한다. 이와 함께 B등급을 받아도 기업이 내세울 수 있는 제도적 환경이 마련되어야 한다.

평가기준의 경우, 30개 지표 설계만으로는 기업의 다양성을 수용하는 데 한계가 있다. 또한, 모든 항목에 고른 점수를 받을 수 있도록 과락제 도입이 필요하고, 평가기관을 별도로 감사하는 제3의 검증기관이 필요하다고 본다.

김창오 쿠팡 감사팀장- 법적 의무성을 갖고 있던 정보보호 안전진단제도조차 시장에서 효용성을 인정받지 못했다. 이를 답습하지 않기 위해서는 민간자율규제가 시장에 정착하기 위한 더 많은 노력과 관심이 수반되어야 하고, 기업 경영진의 관심을 높일 수 있는 인센티브 등의 혜택을 좀더 다양화해야 한다.

또한, 기업 환경을 고려한 평가기준의 유연성이 필요하며, 평가기관별로 항목 해석이 다를 수 있기 때문에 이에 대한 객관성을 담보할 수 있도록 해야 한다. 평가배점 기준은 영역별로 중요도가 다르므로 이를 고려해 배점에 차등을 두는  등 객관적인 평가가 이루어지도록 평가방법을 좀더 구체화할 필요가 있다.   

 

강정훈 SK커머스 플래닛 11번가 IT보안팀장- 제휴사나 협력사의 경우 위·수탁사를 관리할 의무가 있다. 준비도 평가 제도의 확대를 위해서는 대기업들이 제휴사와 협력사들에게 적극적인 참여를 유도해 처음에는 B등급을 받아도 인정하고, 점차 보완해 A등급을 받도록 하면 된다.

그러나 현실적으로 위·수탁사의 규모가 영세하기 때문에 준비도 평가를 받을 수 있도록 실질적인 도움이 이루어져야 한다. 가령 중소기업에서 보안업무를 겸임하는 비전문가를 위해서 준비도 평가를 처음부터 준비할 수 있도록 교육 동영상을 보급하거나 보안에 있어 필수적인 무료 툴을 보급하는 등의 활동도 병행되어야 할 것으로 본다. 그래야만 보안업무를 스스로 처리하고, 준비도 평가도 받을 수 있는 기본적인 여건이 마련될 수 있다.
[김경애 기자(boan3@boannews.com), 김지언 기자]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>