시장 파이 넓혀 선순환 구도 만드는 게 ‘산업진흥법’의 궁극적 목표_
기존 컨설팅·관제 더해 악성코드 분석 등 분야별 전문업체 지정 확대

[보안뉴스 민세아] 최근 몇년 동안 잇달아 발생한 보안사고로 인해 정보보호는 국가안보와도 무관하지 않다는 것이 공공연하게 드러났다. 이에 새누리당 권은희 의원이 정보보호산업 활성화를 위해 지난해 7월 ‘정보보호산업의 진흥에 관한 법률안(이하 정보보호산업진흥법)’을 발의했다.

공무원 연금법에 밀려 우여곡절을 겪었던 ‘정보보호산업진흥법’이 지난 5월 29일 국회 본회의를 통과하면서 보안업계는 물론 국가안보 등 다양한 측면에서 정보보호 분야가 발전할 수 있는 계기가 마련된 것이다.

이어 지난 22일 법률제정이 공포되면서 6개월간의 경과기간을 거쳐 오는 12월 23일부터 법률이 본격적으로 시행될 예정이다. 6개월 동안의 경과기간 동안은 법률의 시행령과 시행규칙 등의 하위법령이 제정된다.

정보보호산업진흥법의 하위법령은 담당부처인 미래창조과학부(이하 미래부)에서 주도적으로 제정한다. 미래부 정보보호기획과 변상준 사무관은 정보보호산업진흥법이 성공적으로 정착하기 위한 첫 번째 과제로, 정보보호시장 파이를 넓힐 수 있는 기반을 갖추는 것이라고 밝혔다.

이에 변 사무관은 정보보호 시장규모를 키우기 위해 가장 초점을 맞춰 추진할 하위법령으로 △공공기관 등의 구매수요 정보 제공 △정보보호 준비도 평가 제도 △정보보호전문 서비스 기업 지정 관리 제도 △정보보호 공시 △우수 정보보호기업 및 우수 정보보호기술 지정 제도 등을 꼽았다.

먼저 ‘공공기관 등의 구매수요 정보 제공’ 제도는 각 부처마다 필요로 하는 정보보호 제품이나 서비스에 대한 수요를 기업들에게 제공하는 것을 말한다. 해당 제도는 근거가 있어야 진행할 수 있기 때문에 법안 시행 이후부터 공개 방법이나 기준을 마련해 준비한다는 입장이다. 정보보호 준비도 평가는 이미 시행되고 있지만 법적 근거를 마련함으로써 평가기관, 평가기준 등 세부사항을 보다 체계화한다는 방침이다.

특히, ‘정보보호 전문 서비스 기업 지정 관리’ 제도의 확대 가능성을 언급했다. 현행 지식정보보안 컨설팅 전문업체와 보안관제 서비스 전문업체로 나뉘어 있던 정보보호 전문 서비스 기업 지정 제도를 정보보호산업진흥법 아래서 통합 운영한다는 계획이다.

기존 지식정보보안 컨설팅 전문업체는 정보통신산업진흥법에서 지정하도록 근거가 마련돼 있고, 보안관제 서비스 전문업체는 국정원 국가보안관리규정에 따라 미래부 고시로 운영되어 왔다.   

미래부는 이렇게 산발적으로 흩어져 있는 법안과 근거가 마련되지 않은 고시들을 ‘정보보호산업진흥법’이라는 울타리 안에 통합하고, 컨설팅이나 관제 분야 뿐만 아니라 취약점 점검, 악성코드 분석, 디지털 포렌식 등의 분야별 전문 서비스 기업을 확대 지정할 가능성을 염두에 두고 있다.

또한, 기업이 정보보호 예산을 얼마나 배정하고, 관련 기술인력을 얼마나 보유하고 있는지 등을 ‘정보보호 공시’를 통해 공개하도록 했다. 정보보호 공시제도를 통해 동일한 보안관련 인증을 받더라도 어느 기업이 정보보호에 더 신경쓰고 있는지 소비자들이 확인할 수 있도록 한다는 계획이다. 이를 통해 정보보호에 대한 기업의 투자를 늘리는 효과를 거둘 수 있다.     

이와 관련 변상준 사무관은 “정보보호산업진흥법이 기술개발이나 인력양성에 취지를 두고 있지만 사실상 개발된 제품이나 양성된 인력이 제 역할을 하기 위해서는 결국 시장의 파이가 커져야 한다. 정보보호산업진흥법 자체도 보안시장의 파이를 넓혀 선순환 구도를 만드는 데 포커스를 맞추고 있다”는 말을 전했다.

한편, 법안을 발의한 새누리당 권은희 의원실 측은 “산업 육성이라는 입법 취지에 맞게 소관부처가 하위법령을 제정해 줬으면 한다”는 바람을 밝혔다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>