1년에 한 번씩 건강을 체크하는 건강검진처럼 준비도 역시 기업의 정보보호 건강수준을 체크해 5등급으로 구분해 평가받는 인증이다.

인증기관은 한국정보방송통신대연합(이하 ICT대연합)이며, 평가기관은 한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA), 한국침해사고대응팀협의회(CONCERT)이다.

새롭게 출범한 준비도가 내세우는 장점은 평가지표가 경량화돼 있고, 평가기간이 짧으며, 다른 인증과 비교했을 때 저렴한 비용이라는 점이다(위의 표 참조).

평가지표의 경우 기존 정보보호관리체계 인증인 ISMS는 104개, 개인정보보호 인증인 PIMS는 46개, 한국정보화진흥원이 주관기관인 PIPL은 26개다. 반면, 준비도는 필수 23개와 선택 7개로 경량화 돼 있어 심사를 받는 기업 입장에서는 메리트가 적지 않다.

게다가 평가기간도 짧아 기업의 구미를 당길 수 있다. ISMS는 약 7일, PIMS는 약 5일, PIPL은 약 5일 정도 소요된다. 이에 반해 준비도는 2~3일로 타 인증에 비해 비교적 짧아 인증 취득이 훨씬 수월하다. 이 때문에 중소기업의 참여 확대에 따른 전반적인 정보보호 수준 향상에 대한 기대감이 높아지고 있다.

하지만 기업의 참여를 높일 수 있는 주요 방안 중 하나인 수수료 비용의 경우 꼭 저렴하다고 볼 수만은 없다. 기존 ISMS의 경우, 중소기업 100인 기준 시 약 1,176만원이며, PIMS는 약 1436만원이다. 반면, 정보보호 준비도는 출범식에서 정확한 산정기준에 대해 언급하지는 않았지만 준비도 자료집 Q&A를 살펴보면 3일(서면평가 1일, 현장평가 2일) 기준으로 약 498만원이다.

언뜻 보면 저렴해 보이지만, 타 인증의 유효기간 3년 기준으로 계산해보면 약 1500만원으로 기존 인증과 유사한 수준이다. 게다가 기업 규모별, 업종별, 개인정보보호영역 신청여부 등에 따라 심사일수가 달라질 수 있어 수수료 금액은 더욱 추가될 수 있다.

또한, 기존 인증의 경우 매년 사후 심사를 시행하는데, 이럴 경우 비용이 더 저렴해 진다. 하지만 준비도는 유효기간이 1년이라 매년 받아야 하므로 신규 신청 수수료 비용을 지불해야 한다.

뿐만 아니라 기업이 등급을 부여받은 후, 유효기간인 1년 내에 더 높은 단계로 상향 등급을 신청할 경우 신규 수수료와 금액이 같아 비용 부담은 가중될 수 있다.

이처럼 신규 인증 발급은 중소기업 입장에서 비용 부담이 덜한 반면, 지속적인 발급 유지는 어렵다는 게 전문가들의 공통된 의견이다. 물론 민간 자율이기 때문에 수익성을 배제할 순 없다. 그러나 정보보호 준비도 평가의 본래 취지가 활성화에 있는 만큼 반드시 짚고 넘어가야 할 부분이다. 따라서 중소기업의 참여 확대를 위해선 비용부담의 숙제가 아직 남아 있는 셈이다.  

이와 관련 ICT대연합 김민천 차장은 “기업 입장에서 발생하는 비용 부담을 고려해 현재 할인율 30%를 적용하고 있으며, 향후 재 평가시 할인율을 적용하는 방안을 고려 중”이라고 밝혔다.

그러나 유효기간내 등급상향 비용과 관련해서 김 차장은 “평가의 질을 담보하기 위한 평가사 인건비 확보 목적”이라며 “평가사에게 확실한 책임감을 부여하기 위한 목적이기도 해 신중해야할 부분이 있다”고 조심스러운 입장을 보였다.

이렇듯 준비도의 향후 발전방향에 대해 여러 가지 개선사항을 수렴하고 있는 만큼 향후 진행결과에 관심이 모아지고 있다. 
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>