| 정보보호관리체계 인증 의무화 확대, 여러분의 생각은? | 2016.08.03 |
“형평성에 맞게 금융분야도 의무화 필요”, “다른 분야로 확대해야” 순
[보안뉴스 김태형] 정부는 지난 6월 2일 시행된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 시행령 및 시행규칙 개정안에 따라 정보보호 관리체계(ISMS) 인증제도의 인증 의무대상을 의료·교육분야로 확대시켰다.  이는 ISMS 인증 의무화를 기존 영리목적의 정보통신서비스 제공자에 한정하지 않고, 의료·교육 등의 민감정보를 다루는 비영리기관으로 확대시킨 것이다. 하지만 지난 5월 전자금융거래법에 따른 금융회사는 규제개혁위원회에서 중복규제 등의 우려를 이유로 인증 의무대상에서 제외하도록 개선 권고함에 따라 이번 인증 의무대상에서 제외됐다. 금융기관이 인증 의무대상에서 제외됨에 따라 각 분야 보안담당자들과 보안 분야에서는 ‘부담만 가중시키는 중복규제’, ‘형평성에 어긋난다’, ‘보안 강화를 위해서 바람직하다’ 등 다양한 의견과 논란이 일었다. 이에 본지는 지난 7월 1일부터 31일까지 ‘최근 정부가 정보보호관리체계 인증(ISMS) 의무화를 의료·교육 분야로 확대하고 금융 분야는 제외했습니다. 이에 대해 어떻게 생각하시나요?’라는 설문조사를 진행한 결과 ‘형평성에 맞게 금융 분야도 의무화 필요’하다는 응답이 40.17%로 가장 많았다. 이와 같은 결과는 정보보안 사고 상당수가 금융분야에서 발생하고 있는 상황에서 금융권이 ISMS 인증 의무화 대상에서 제외된다는 것은 금융보안 관련 불안요소를 확대시킬 수 있고, 다른 분야와의 형평성에도 맞지 않는다고 생각하는 것으로 풀이된다. 이어서 두 번째로 많은 응답은 ‘다른 분야(제조·산업제어 등)로 의무화 확대해야’라는 의견이 21.08%였다. 이는 ISMS 인증 의무 대상을 의료나 교육분야 뿐만 아니라, 당초 계획대로 유통이나 서비스, 제조분야로도 확대해야 전반적인 정보보안이 강화된다는 의미로 해석된다. 이어서 세 번째로 많은 응답은 ‘인증 의무화 조치 아예 폐지해야’라는 의견이 15.67%로 나타났다. 이는 정보보호 관련 규제가 형식적이거나 중복되는 부분이 많고, 인증대상 기업과 기관들에게 부담만 가중킨다는 우려 때문으로 보인다. .jpg) 아울러 ‘바람직한 조치’라는 긍정적인 의견도 11.11%를 차지했다. 이는 우리사회 전반적인 정보보호 강화를 위해서 적절한 조치로 본다는 의미로 분석된다. 이와 반대로 ‘사실상의 규제 조치로 부담 가중 우려(기존 제도가 바람직)’하다는 의견도 5.13%를 차지해, 인증 의무 대상 기업 및 기관의 부담이 가중될 것이라는 의견을 나타내기도 했다. 이어서 ‘교육 분야, 의무화 제외해야’라는 의견이 4.56%, ‘의료 분야, 의무화 제외해야’라는 의견도 1.14%를 차지했다. 이와 같이 ISMS 인증제도의 확대 이유는 기업의 보안강화를 위한 것이라고 볼 수 있다. 하지만 대부분의 기업 및 기관들은 인증획득 자체를 목적으로 하는 경우가 많고, 특히 경영진이나 임원진에서는 인증획득 후에는 관심을 갖지 않는 경우가 대부분이다. 하지만 ISMS 인증 의무화가 의료·교육 등 비영리기관으로 확대되면서 정보보호 사각지대를 해소할 수 있는 기회가 될 수 있기 때문에 제도의 실효성이 담보될 수 있도록 정부와 인증대상 기업·기관 모두의 노력이 필요하다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
