미래부, 정보보호 공시제도 가이드라인 설명회 개최

[보안뉴스 김태형] 8월 중 시행을 앞두고 있는 ‘정보보호 공시제도’가 실효성을 확보하기 위해서는 기업의 혜택, 공시내용의 적정성, 표준화된 평가 기준 마련 등 아직 풀어야 할 숙제가 많다는 지적이다.


미래부는 27일 서웅중앙우체국 대회의실에서 ‘정보보호 공시제도 설명회’를 개최하고 공시제를 보다 실효성 있는 제도로 만들기 위해 기업 실무자들의 의견을 듣고 논의하는 자리를 마련했다.

이날 진행된 정보보호 공시제도 가이드라인 마련을 위한 패널토의에서는 정부, 학계, 산업계 대표 6명이 나와 본격 시행을 앞두고 있는 현재 ‘정보보호 공시제도’ 가이드라인의 개선점에 대해 기업 보안담당자들과 토론을 벌였다.

우선 패널로 참여한 중앙대학교 최명길 교수는 “정보보호 공시제도는 주변 인프라와 같이 정착되어야 실효성을 거둘 수 있다. 아울러 시장과 이용자들의 반응도 중요하다. 즉, 정보호호를 비용으로 보느냐 투자로 보느냐의 문제인데, 대부분의 투자자들은 비용으로 볼 가능성이 크다. 기업 경영의 핵심은 주주, 즉 투자자들의 이익을 극대화하는 것인데, 이렇게 되면 적극적인 정보보호 투자가 되기 어렵다. 경영진들의 정보보호 투자에 대한 인식 변화가 시급하다”고 덧붙였다.

또한, 그는 “정보보호 공시제도의 적정성을 보면, 기업이 정보보호를 위해 인력과 비용을 얼마나 투자했는지가 중심인데, 향후 정보보호 사고 발생 시 기업이 이것을 거꾸로 악용할 가능성도 있다고 본다. 왜냐하면 사고발생 시 정보보호에 대한 충분한 투자를 했다며 사고에 대한 책임 면제를 주장할 수 있기 때문”이라면서 “소비자들의 권리를 강화시키는 정책도 동반시켜야 한다. 그리고 기업의 혜택으로는 여러 가지 인증 수수료 감면 등이 있는데, 기업이 정보보호 공시를 위한 일정한 프로세스를 거치기 위해서는 비용을 투자해야 한다. 하지만 이러한 투자에 비해 공시 인센티브가 미미하기 때문에 세금 감면 등의 실질적인 혜택이 필요하다”고 말했다.

이어서 황재승 더존비즈온 차장은 “기업의 ISMS 담당자로서 이를 유지하기 위해서 경영진에게 매년 많은 비용의 투자를 요청하기가 어려운 상황이다. 이를 해결하기 위해서는 경영진을 설득할 수 있는 근거가 필요한데, 정부가 이러한 인증 취득으로 인한 경제적 성과 분석을 제시해주길 바란다”고 말했다.

현대유앤아이의 이은경 과장은 “기업의 보안담당자로서 여러 가지 리스크를 생각하지 않을 수 없다. 특히 ISMS, PIMS 등의 정보보호 관련 인증에만 신경을 쓰다보면, 폭이 좁은 보안만 강화하게 된다. 정보보호 공시제도를 통해 동종업계 간 경쟁이 되면 경영진을 설득할 수 있는 명분이 될 수도 있다. 단, 이를 위해서는 공시제도 참여시 보험료 감면 등 다양한 혜택이 주어져야 한다”고 말했다.

또한, 아림디엠 최용혁 대표는 “정보보호를 위한 지출을 단순 비용으로 본다. 단순한 비용이 아니라 실질적으로 이익을 볼 수 있고 지속적인 투자를 이어갈 수 있는 대안이 필요하다. 교육이나 기술 컨설팅 지원도 병행했으면 좋겠다”면서 “기업에서 정보보호 제품 구매 시 구매를 담당하는 부서에서조차 최저가 제품을 구매하게 된다”고 지적했다.

씨에이에스 조병휘 본부장은 “정보보호시스템 감리 전문업체의 입장에서 봤을 때 이번 정보보호 공시제도를 위해서는 표준화가 무엇보다 중요하다. 즉, 이를 요청하는 기업과 검증하는 기관의 기준이 되는 표준 플랫폼이 필요하다”면서 “또한, 검증 수수료 문제인데 객관성 확보를 위해서는 검증 수수료도 확보되어야 한다. 이 제도가 처음 도입되어 시행되는 것이기 때문에 요청하는 기관이나 검증하는 기관들에 있어 어려운 점이 많을 수 밖에 없다. 기준을 만들어놔야 보다 효율적인 제도가 될 것으로 보인다”고 말했다.

이날 설명회에 참석한 방청객들은 정보보호 공시제도에 대한 기업이 혜택이 그리 크지 않다는 점, 정보보호와 관련한 중복투자 문제, 그리고 정보보호 공시를 위한 회계법인과 감리법인의 표준화 기준 등을 지적하며 향후 개선방향을 제시했다.

공시제도 시행과 관련해 미래부 정보보호기획과 허성욱 과장은 “정보보호 공시제도는 우리나라에서 처음 시행하는 제도이기 때문에 그동안 고민이 많았다. 이 제도는 ‘정보보호산업의 진흥에 관한 법률’ 제13조 및 시행령 제8조에 의거해 기업의 이해관계자들이 의사결정에 필요한 정보보호 현황을 요구하고, 기업이 해당정보를 자발적 생산·유통하는 기반을 조성하기 위한 것”이라고 설명했다.

이어 그는 “정보보호 공시제도는 기업 스스로 정보보호에 대한 정보를 공개하고 소비자들에게 정보보호 및 개인정보보호 시스템이 잘 되어 있는지를 확인할 수 있도록 하는 제도이다. 기업들에게 공시제도에 대한 부담을 줄여주기 위해 여러 가지 인센티브 제도를 만들었다. 기업 실무자들의 의견을 최대한 반영해서 실효성 있는 제도로 만들어 나갈 것이다. 설명회를 통해 다양한 의견들을 수렴해서 정보보호 공시제도 가이드라인을 확정하고, 8월 중에 본격적으로 시행할 것”이라고 덧붙였다.


이러한 정보보호 공시제도의 공시 내용은 △정보보호 투자현황 △정보보호 인력현황 △정보보호관련 인증·평가·점검 등에 관한 사항이다. 특히, 정보보호 투자현황에서 호스팅이나 IDC, 클라우드 등 외부 정보기술 서비스를 이용하는 경우, 서비스 제공업체의 정보보호 투자액 일부를 서비스 이용자의 정보보호 투자로 간주한다. 또한, 정보보호제품 투자액 산정 시에는 정보보호 전용제품만 인정해 산정하도록 했다. 즉, 정보보호 기능이 일부 내재된 제품 및 정보보호 전용제품이 아니나 정보보호를 목적으로 구입한 제품, 즉 물리적 망분리를 위한 PC나 스위치 제품 등은 인정되지 않는다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>