• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기업·기관 정보보안 환경 변화 이끄는 제도·이슈 7가지 2015.10.30

ISMS·정보보호 준비도, 정보보호산업진흥법, 사이버안전대진단 등 영향

[보안뉴스 김태형] 기관·기업의 정보보안 환경 변화에 있어 가장 큰 영향을 미칠 수 있는 정보보호 관련 제도 및 이슈는 ‘ISMS, 정보보호준비도 등 인증 의무화 및 개선’인 것으로 나타났다.


이는 본지가 각 기업 및 정부기관 정보보호최고책임자 및 보안담당자 2,674명을 대상으로 ‘기관·기업의 정보보안 환경 변화에 있어 가장 큰 영향을 미칠 수 있는 정보보호 관련 제도 및 이슈는?’이란 설문으로 조사한 결과로, 전체 응답자 중 21.65%가 ‘ISMS, 정보보호준비도 등 인증 의무화 및 개선’이라고 답했다.

ISMS는 조직의 각종 보안위협으로부터 주요 정보자산을 보호하기 위해 정보보호 관리 절차 및 물리적·기술적·관리적 보호대책을 체계적으로 수립해 지속적으로 운영·관리하기 위한 종합적인 정보보호관리체계를 말한다.

‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법)’과 시행령에 따라 전년도(전 사업연도) 매출액으로 100억원 이상, 전년도 말 기준 직전 3개월 간 하루 평균 이용자 수가 100만명 이상의 정보통신망서비스 제공자는 ISMS 인증이 의무화돼 있다. 최근 금융기관의 자율보안체계 구축과 함께 보험·카드사 등도 ISMS 인증을 의무화했다. 금융권 의무화 대상 기업은 약 40여 곳이다.

이 외에도 정보보호준비도 평가, 개인정보보호관리 체계 인증인 PIMS(정보통신망법상 인증)나 PIPL(개인정보보호법상 인증)이 기관·기업의 정보보안환경 변화에 있어 큰 영향을 미치는 정보보호 관련 제도라고 할 수 있다. 이중 PIMS와 PIPL은 PIMS로 통합될 예정이어서 기업의 혼란 및 부담이 한층 줄어들 전망이다.

이어서 두 번째로 영향을 미치는 이슈는 ‘정보보호산업진흥법 제정’으로 전체 응답자의 21.50%를 차지했다. 미래창조과학부가 지난 6월 제정한 ‘정보보호산업의 진흥에 관한 법률(이하 정보보호산업진흥법)’은 오는 12월 23일 본격 시행을 앞두고 있다. 이에 정보보호 업계와 각 기업 및 기관들은 정보보호산업진흥법으로 인해 정보보호 시장 창출과 산업 선순환 생태계 구축, 그리고 체계적인 정보보호산업 진흥 기반 조성에 긍정적인 영향을 미칠 것으로 기대하고 있다.

세 번째로 많은 응답은 전체 응답자의 16.59%를 차지한 ‘정부의 사이버안전대진단 시행’이었다. 정부는 올해 초, 사이버 침해 위험이 더욱 커지고 있는 만큼 대대적 보안 진단에 나선다는 방침을 정했다. 사이버안잔대진단을 통해 사이버 보안 취약점이 발견되면 기업들이 보안 투자에 적극적으로 나설 것으로 기대했기 때문이다.


이에 미래창조과학부가 올 상반기 실시한 사이버안전대진단 결과, 정보통신기반시설 등 238곳의 경우 사이버보안에 있어 일부 문제가 지적된 것으로 드러나기도 했다. 문제에 대해서는 현장에서 즉시 조치 및 시정권고를 한 것으로 알려졌다. 이처럼 사이버안전대진단은 보안위협에 선제적으로 대응할 수 있는 기반을 갖추고 있는지 사전점검 차원에서 이루어진 것으로 보안환경 변화에 적지 않은 영향을 미치고 있다.

네 번째는 ‘윈도우10 출시에 따른 대응’으로 전체 응답자의 15.01%를 차지했으며 그 다음 답변은 9.52%를 차지한 ‘정보보안 이슈보다 경기침체에 가장 큰 영향’이었다. 이 외에도 ‘각 분야별 정보공유·분석센터(ISAC) 확대’가 9.52%, ‘정보보호최고책임자(CISO) 핫라인 구축’이 5.34%, 기타 의견으로 ‘개인정보보호법 강화와 관련 인력 확충’ 등이 정보보안 환경에 영향을 미치는 제도 및 이슈로 나타났다.

이번 설문조사 결과, 기업이나 기관의 정보보안 환경에 가장 큰 영향을 미치는 것은 무엇보다 정보보안 관련 법규 및 제도, 그리고 보안 컴플라이언스였다. 정보보안과 관련된 법·제도와 컴플라이언스는 준수하지 않으면 그에 해당하는 법적 처벌이나 행정적인 제제가 가해지기 때문이다. 이에 기업이나 기업 입장에서는 반드시 준수할 필요가 있고, 이를 준수하기 위한 정보보안 환경 변화는 자연스럽게 이루어질 수밖에 없다. 그러나 결국 자발적인 보안 강화 노력은 아니라는 점에서 보안의식 제고 등에는 한계가 있다는 지적도 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>