공공기관 CISO 의무화 추진, 자율 규제 등 정부의 실현 가능한 지속적인 정책 추진돼야
[보안뉴스 김경애 기자] 국내 정보보호 산업계가 글로벌 경쟁력이 부족하다는 지적이 나왔다. 특히 원천 기술이 부족하다는 것. 이를 위한 개선 방안으로 정부의 지속적이고 현실적인 정책 마련과 함께 정보보호 투자를 강화해야 한다는 의견이 제기됐다.
[이미지=gettyimagesbank]
아주대학교 박춘식 교수는 ‘2024 ICT 융합산업보안 컨퍼런스’에서 국내 정보보호산업 글로벌 경쟁력 부족 원인으로 △기초 원천 기술 부족과 정보보호 R&D 투자 부족, 그리고 기술 거래 활성화 등 공급측면의 미흡 △사업 규모의 영세성, 글로벌 진출 기반 미약, 국내 정보보호시장 경쟁 심화 등 구조적 측면에서 영세한 산업 구조의 악순환 △정보보호 서비스 대가 비정상화로 인한 국내 정보보호 제품의 경쟁력 저하가 기술 경쟁력 부족으로 연계 △정보보호산업진흥법 후속 정책 추진 및 의지 미흡△규제 및 처벌 위주로 인한 보안담당자의 해외 제품 선호 경향 등을 꼽았다.
박춘식 교수는 “정부의 지속적이고 내실있는 정책이 필요하다”며 “정부가 정책을 만들었으면 구체적이고 실현 가능한 현실성 있는 정책으로 끝까지 추진함으로써 목표를 달성해야 한다. 무엇보다 과거의 정책을 통해 무엇이 문제인지 짚어보고, 개선해야 한다”고 당부했다.
“특히 원천 기술이 부족하다”고 지적한 박춘식 교수는 “정보보호 기술력을 확보해야 하는데, 현재 우리나라 중견·중소기업이 여력이 없는 상황이다. 여기에 서비스 대가가 제대로 지급되지 않아 R&D 투자 부족으로 이어진다”며 “정부, 기업 모두 R&D 투자를 강화해야 한다”고 강조했다.
이를 개선하기 위한 방안으로 박춘식 교수는 자율규제 정책, 공공기관 CISO 의무화 추진, 정보보호 투자 확대 등 정보보호산업 발전 전략 3가지를 제시했다.
1. 정보보호산업 발전 전략 : 자율규제
첫째, 자율규제 정책이다. 구체적인 방안에 대해 박 교수는 △정보보호산업진흥법의 후속 정책 발굴 및 적극적인 활용 △정보보호 규제 중심 정책에서 산업 진흥을 위한 기반 마련 정책으로 전환 △정보보호산업 육성 정책의 지속적인 수립 및 추진 △자율보안·책임강화 정보보호 정책으로 인한 국내 시장 활성화 △정보보호 융합보안(자동차, 의료, 해사 등) 분야 확대 △정부 공공 부문의 정보화 예산 대비 정보보호 투자 비율 선진국 수준으로 확대 등의 방안을 강조했다.
2. 정보보호산업 발전 전략 : 공공기관 CISO 의무화
둘째, 정부 및 공공기관의 CISO 임명 의무화 추진이다. 이와 함께 △정부 예산 항목(기재부) 중 정보보호예산 별도 항목 신설 추진 △지속적인 정보보호산업 육성에 대한 전략 수립 및 추진(정부 전담기구)△글로벌·대형화·기술집중화 기업 전략 추진 △글로벌(Native) 기업 육성 전략 △대기업 또는 중견기업 참여(보안기업 인수, 합병 등) 통한 대형화 전략 △해외 대기업 진출과 정책적 동반 전략(자동차, 방위산업 등)을 박 교수는 제시했다.
3. 정보보호산업 발전 전략 : 정보보호 투자 강화
셋째, 정보보호 투자 강화다. 이를 위해 박 교수는△모태펀드 법제화(정보보호산업법 개정) : 추가 예산 지원 방안 등 △정보보호 기업가치 제고방안(저평가 요인 제거: 감사체계엄격 등) △내구년수(보안제품) 현실화(조달청, 현황조사, 대책 마련 등) △정보보호서비스 대가 적정화와 현실화(보안제품, 서비스, 관제, 백신 등) △정보보호공시제도 의무 확대(시행령 8조 제외 조항 삭제) 및 금융기업 등 확대(정보보호산업법 개정) △정보보호사업 ‘실적보고서’ 추진(정보보호산업법 개정) : 현재 사업계획만 보고 △침해행위 등의 금지 조항에 대한 연구용 허용(망법 48조: 정보통신망 침해행위 등의 금지 개정 추진) △정부부처 N-ISMS 건의(행정, 입법, 사법, 선거관리위원회 등 헌법기관 등) △공공 수요 촉진을 위해 정부/공공/지자체 등 정보보호 제품구매 계획에 대한 집행 모니터링 등이 필요하다고 설명했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>