“자율적인 보안투자 확대를 위해 바람직하다”는 의견 36.5%로 가장 높아

[보안뉴스 김태형] 오는 12월 23일부터 시행되는 정보보호산업진흥법의 상장기업 보안투자 및 활동내역을 공시하는 ‘정보보호공시제도’에 대해서 보안담당자들은 보안투자 확대 측면에서 바람직하다고 생각하는 것으로 나타났다.


이는 본지가 각 기업 및 정부기관 정보보호최고책임자 및 보안담당자 2,674명을 대상으로 진행한 ‘오는 12월 23일부터 시행되는 정보보호산업진흥법에 상장기업의 보안투자 및 활동내역을 공시하는 정보보호공시제도가 포함됐습니다. 보안담당자로서 정보보호공시제도에 대한 견해는?’이라는 설문조사 결과로, ‘보안투자 확대 측면에서 바람직’이라고 응답한 사람이 전체 응답자 가운데 36.50%(976명)를 차지했다.

미래부가 마련한 정보보호산업진흥법 시행령 및 시행규칙에서 기업의 보안담당자들이 눈여겨봐야 할 것은 바로 ‘정보보호공시제도’의 도입이다(시행령 제6조). 이는 상장기업들이 기업경영 현황에 대한 분기별, 연도별 보고서를 내는 것과 같이 기업의 정보보호 현황에 대한 내용을 공시해서 사용자들이 보안 측면을 믿고 사용할 수 있도록 한다는 취지에서 진행됐다.

이는 기업의 자발적인 정보보호 투자를 유도하기 위한 것으로, 미래부는 공시를 한 기업들에게는 정보보호관리체계(ISMS) 인증을 받기 위한 수수료를 30% 감면해 주는 혜택을 제공할 방침이어서 보안담당자들에게도 관심이 높다.

상장기업의 경우에는 공시를 통해 가능하고 비상장기업은 별도의 포털사이트를 통해 정보를 제공하도록 한다는 계획이다. 이러한 정보보호공시제도는 최고정보보호책임자(CISO) 주관으로 최고경영자(CEO)의 확인을 거쳐 IT 투자 대비 정보보호 투자 비중이나 IT 인력 대비 정보보호 인력 비율 등을 공개하는 것이다.

이와는 반대로, ‘보안담당자 입장에서 준비에 큰 부담’이라는 의견도 871명(32.57%)이나 있었다. 일각에서는 정보보호공시제도가 기업들의 보안투자를 유도할 수도 있지만, 이와 반대로 보안투자나 인력이 미흡한 곳은 사이버 공격의 표적이 될 수도 있다는 점을 지적했다. 하지만 정보보호공시제도가 의무사항은 아니기 때문에 비상장기업의 경우 정보보호 투자수준이 아직 낮다면 공시할 필요는 없다는 것이 미래부의 입장이다. 다만 정보보호 공시를 통해 사용자들에게 정보보호를 잘 하고 있다는 점을 알리자는 것이 이 제도의 취지라는 것.


그리고 세 번째로 많은 의견은 ‘중복·과잉 투자발생 등 부작용 우려’가 있다고 답변한 사람이 468명(17.50%)이었다. 하지만 의무사항이 아닌 만큼 정보보호공시제도 때문에 기업에서 보안투자의 중복이나 과잉 등의 부작용은 없을 것이라는 반론도 제기된다.

이 외에도 ‘별 다른 영향이 없을 것으로 봄’이라고 응답한 사람이 153명(5.72%), ‘잘 모르겠음’이라는 사람도 197명(7.37%), 기타의견이 9명(0.34%)를 차지했다.

정보보호산업진흥법 시행이 이제 두 달도 채 남지 않았다. 법이 시행되면 권고사항인 정보보호공시제도에 따라 상장기업들은 정보보호 투자와 인력, 정보보호관련 인증현황 등을 공시하고 자사의 정보보호 실태를 알림으로써 이용자들에게 신뢰를 얻을 수 있다. 또한, 미흡한 정보보호 체계에 대해서는 자율적인 보안투자를 유도함으로써 한단계 높은 수준의 보안을 유지할 수 있을 것으로 기대된다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>