정보보호 공시에 자율적으로 참여할 수 있는 파격적인 유인정책 필요
[보안뉴스= 이경준 기술사/고려사이버대학교 외래교수] 정부가 정보보호 공시제도를 시행한 지 10년이 되었다. 혹자는 4년밖에 되지 않은 제도이지 않느냐고 질문할 수 있다. 이 같은 질문은 자연스러운 것이다. 2021년 6월 8일에 개정된 정보보호산업법을 통해 특정 기준에 해당하는 기업을 대상으로 정보보호 공시 의무가 2022년 6월 30일을 기준으로 시행됐기 때문이다.
[자료: gettyimagesbank]
그렇다면 정보보호 공시제도가 10년이 되었다는 것은 필자의 착각인가? 아니다. 2015년 6월 22일에 정보보호산업법이 제정됨과 동시에 자율제도로 도입됐기 때문이다. 10년이면 강산이 변한다. 정책도 바뀌고 제도도 바뀐다. 정보보호 공시 시행 첫 해에는 단 2개의 기업만이 참여했다. 필자는 궁금하다. 당시 그 회사들은 왜 정보보호 현황을 공시한 건가. 알 수 없다. 다만 해당 기업의 정보보호최고책임자(CISO)와 실무진들은 정보보호 현황에 대한 공시에 앞서 다른 경영진들에게 정보보호의 중요성을 설득하고, 정보보호 현황에 대해 선제적으로 공시함으로써 얻을 수 있는 장점, 예컨대 고객들의 신뢰 향상, 브랜드 평판 제고 등을 강조했을 것이다.
정보보호 현황에 대한 공개는 과연 10년 전부터 시작된 건가? 이 역시 아니다. 그 이전에는 개인정보 취급방침이라는 명칭으로 개인정보 처리방침이 홈페이지상에 공개되고 있었고, 금융기관 역시 신용정보 처리방침, 고객정보 취급방침, 신용정보 활용체제의 공시 등의 명칭으로 정보보호 현황에 대해 스스로 공개하고 있었다. 또 정보유출 등 침해사고가 발생할 경우 해당 사실에 대해 조직 스스로가 발표하거나 언론 보도를 통해 알려지기도 했다. 자의적인 공개이든 타의적인 공개이든 어떠한 현황 정보에 대한 공개는 사실 해당 정보의 관리책임자에게 부담이다.
부담이 있는 활동임에도 금융업권에 속해 아직까지 정보보호 공시의무 대상이 아님에도 불구하고 몇 기업은 스스로 나서서 정보보호 예산을 공개하고 정보보호를 위한 활동 현황을 공시하고 있다. 또 대규모 침해사고가 발생했던 어떤 기업은 정보보호 공시는 물론이고 CISO의 권한과 직급을 상향해 신규 채용하고, 예산을 대폭 증액해 집행하는 등 다방면에 걸친 노력을 펼치고 있다. 더욱이 이러한 노력을 언론에 발표하면서 정보보호 활동 현황을 적극적으로 공개하고 있다. 왜 이러한 움직임이 생겨나고 있을까?
여러 이론적 배경이 있겠지만 한 가지는 공개 선언 효과이며 또 한 가지는 공적 감시를 통한 사회적 신뢰 구축일 것이다. 모든 국민 또는 모든 고객이 특정 분야에 대한 기업 정보를 자세히 안다고 해서 관련 사고가 발생하지 않는 것은 아니다. 또 스스로 수립한 목표를 공개적으로 선언한 것과 달성 여부가 일치되지 않는다는 걸 우리는 체험적으로 또는 직관적으로 알고 있다. 그럼에도 불구하고 우리가 새해 목표를 가까운 지인에게 말하는 것은 그 목표 달성 성공율을 조금이라도 높이기 위함이라는 걸 우리는 알고 있고, 이를 독려한다. 또 내부현황을 스스로 공개하는 것은 투명성을 높이고 사회적 책임을 등한시하지 않고 있다는 행동이기에 보다 신뢰할 수 있겠다는 믿음이 앞서는 것이다.
정보보호 공시제도는 기업이 제공하는 각종 서비스 이용자들 즉 국민의 안전한 인터넷 이용을 위해 시행된 제도이다. 정보보호를 위해서는 인력과 비용을 포함한 기업의 투자가 있어야 하는데 아무래도 영리기업 특성상 투자 우선순위에서 정보보호는 후순위가 되고 있었고 결국 침해사고가 발생한 후에 투자하는 사후약방문(死後藥方文) 행태가 반복되니 결국 공시제도까지 등장하게 된 것이다. 물론 정보보호 투자를 한다고 해서 침해사고가 없어지진 않을 것이다. 하지만 한 가지 분명한 것은 투자하지 않을 경우 더 많은 침해사고가 발생할 것이고, 더 심각한 2차, 3차 사고가 발생할 수 있다.
이제는 ‘정보보호시스템 수요 확대 및 정보통신서비스 이용자의 안전한 인터넷 이용을 위하여’ 공시제도가 정보보호산업 발전에 실질적으로 기여하고 있는지 보다 면밀히 검토해야 한다. (자율) 공시제도가 도입된 지 만 5년이 된 즈음인 2021년 5월 당시 57개의 기업만이 공시에 참여하고 있다고 정부 스스로 발표한 바 있다. (의무) 공시제도가 시행된 지 만 3년이 지난 지금 정보보호 공시에 참여한 기업 746개의 정보보호 투자액, 인력 수 모두 증가했으나 (자율) 공시기업은 아직 91개로 만족할 만한 수준은 아니다. 필자가 보기에 (의무) 공시 대상 기업들은 그냥 두어도 스스로의 정보보호를 위해 적절한 수준의 투자를 했을 법한 회사들이다. 공시제도로 인해 투자 규모가 다소 높아졌을 수 있겠으나 아직 만족할 만한 수준은 아니다.
정보보호 관리체계 인증 수수료 30% 할인만으로는 정보보호 공시에 자율적으로 참여할 만한 유인책으로 빈약하다. 기업의 정보보호 투자 활성화를 진정으로 원한다면, 공시제도 자체가 정보보호 산업을 위해 유의미한 마중물이 되고자 한다면 보다 파격적인 유인정책을 이제 논의해야 한다. 예를 들어 자율적으로 공시제도에 참여한 기업의 정보보호 시스템 구축 비용 그리고 유지비의 일정 부분만큼의 세액을 공제해 주거나, 침해사고 발생에 따른 과태료 및 과징금 감면 제도를 시행하는 등 방법이 있을 것이다.
또 아직 시행된 지 1년이 채 되지 않은 제도인 ‘ISMS-P 간편인증’에 대한 수수료를 100% 감면해 중소기업이 스스로 정보보호 수준을 강화하려는 의지를 더욱 북돋는 방안도 있다. 이제는 유명무실해진 정보보호 준비도 평가제도의 전철을 밟지 않으려면 관련 기업이 보다 매력적이고 직접적으로 느낄 수 있는 혜택이 있어야 한다.
정보보호 공시제도를 규정한 정보보호산업법 제개정에 참여한 이들의 바람은 모두 같을 것이다. 투자 활성화를 통해 기업과 기관의 정보보호 수준 향상, 그리고 이를 기반으로 한 국민의 안전한 인터넷 이용 환경 구축이다. 이 과정을 통해 대한민국의 정보보호 산업이 발전하고 나아가 관련 제품과 서비스의 해외 수출까지 활성화된다면 금상첨화다. 한국산 안티바이러스 시스템, 방화벽 등이 있었기에 우리의 정보 주권을 지킬 수 있었음을 간과해서는 안 된다. 정보보호에 대한 수요조사를 추진하고 전문인력을 육성하기 위한 시책과 수준 평가, 현황을 조사하는 것 모두 정보보호 산업을 진흥하기 위함이다.
▲이경준 기술사
앞서 언급한 방안들 말고도 보다 효과적이고 즉각적인 방안들도 논의해야 한다. 정보보호 공시에 참여한 기업들의 정보보호 평균 투자액, 인력 수가 유의미하게 증가했다면 의무대상 확대를 검토해야 한다. 의무대상에서 제외된 금융업권에 대한 공시 의무화도 다시 한번 논의할 때가 됐다. 금융위원회 소관 제도와 중첩되는 부분이 있어 제외했다면 금융감독원과 금융보안원이 보고받은 정보를 일괄적으로 공시해 행정상 중복 절차를 개선하는 방법도 있다. 공공기관 역시 마찬가지다. 공공기관 경영정보 공개시스템 ‘알리오’를 통해 개인정보 관리수준 진단 결과의 등급만 단순히 공개할 것이 아니라 정보보호 투자가 보다 활성화될 수 있는 방식을 기획해 공시하는 것이 마땅하다.
궁극적으로는 대한민국 거버넌스 측면에서 ‘국가 사이버안보 전략’, ‘개인정보 보호 기본계획’, ‘정보보호 산업 진흥계획’ 수립 시 정보보호 산업 활성화를 고려해 공시제도 운영 정책을 보다 적극적으로 펼쳐야 한다. 혹자는 왜 우리나라만 정보보호 공시제도를 시행하고 있느냐고 비판할 수 있다. 필자가 반론을 펼쳐보자면 국민의 알 권리를 정보보호 분야까지 적용하고 있기 때문이라고 할 수 있다. K-보안은 K-방산, K-조선, K-건설 등 굵직한 산업 분야에 모두 필요한 분야이기도 하다. 이러한 상황을 고려해 현 공시제도를 좀 더 효과적으로 만들기 위해서는 정부의 끊임없는 노력과 기업들의 참여가 필요하다.
[글_이경준 기술사]
필자 소개_
- 현) 고려사이버대학교 정보관리보안학과 외래교수
- 전) 개인정보보호법학회 협력이사 및 법원전문심리위원
- 정보관리기술사, 정보공학국제기술사, 정책학박사, 정보시스템 수석감리원
- CISSP, CISA, CPPG, 산업보안관리사, OT보안관리사
- 국방, 금융, 지주사 등 다양한 분야에서 보안 기획, 관리, 감사업무를 수행하고 있다.
[보안뉴스= 이경준 기술사/고려사이버대학교 외래교수] 정부가 정보보호 공시제도를 시행한 지 10년이 되었다. 혹자는 4년밖에 되지 않은 제도이지 않느냐고 질문할 수 있다. 이 같은 질문은 자연스러운 것이다. 2021년 6월 8일에 개정된 정보보호산업법을 통해 특정 기준에 해당하는 기업을 대상으로 정보보호 공시 의무가 2022년 6월 30일을 기준으로 시행됐기 때문이다.
[자료: gettyimagesbank]
그렇다면 정보보호 공시제도가 10년이 되었다는 것은 필자의 착각인가? 아니다. 2015년 6월 22일에 정보보호산업법이 제정됨과 동시에 자율제도로 도입됐기 때문이다. 10년이면 강산이 변한다. 정책도 바뀌고 제도도 바뀐다. 정보보호 공시 시행 첫 해에는 단 2개의 기업만이 참여했다. 필자는 궁금하다. 당시 그 회사들은 왜 정보보호 현황을 공시한 건가. 알 수 없다. 다만 해당 기업의 정보보호최고책임자(CISO)와 실무진들은 정보보호 현황에 대한 공시에 앞서 다른 경영진들에게 정보보호의 중요성을 설득하고, 정보보호 현황에 대해 선제적으로 공시함으로써 얻을 수 있는 장점, 예컨대 고객들의 신뢰 향상, 브랜드 평판 제고 등을 강조했을 것이다.
정보보호 현황에 대한 공개는 과연 10년 전부터 시작된 건가? 이 역시 아니다. 그 이전에는 개인정보 취급방침이라는 명칭으로 개인정보 처리방침이 홈페이지상에 공개되고 있었고, 금융기관 역시 신용정보 처리방침, 고객정보 취급방침, 신용정보 활용체제의 공시 등의 명칭으로 정보보호 현황에 대해 스스로 공개하고 있었다. 또 정보유출 등 침해사고가 발생할 경우 해당 사실에 대해 조직 스스로가 발표하거나 언론 보도를 통해 알려지기도 했다. 자의적인 공개이든 타의적인 공개이든 어떠한 현황 정보에 대한 공개는 사실 해당 정보의 관리책임자에게 부담이다.
부담이 있는 활동임에도 금융업권에 속해 아직까지 정보보호 공시의무 대상이 아님에도 불구하고 몇 기업은 스스로 나서서 정보보호 예산을 공개하고 정보보호를 위한 활동 현황을 공시하고 있다. 또 대규모 침해사고가 발생했던 어떤 기업은 정보보호 공시는 물론이고 CISO의 권한과 직급을 상향해 신규 채용하고, 예산을 대폭 증액해 집행하는 등 다방면에 걸친 노력을 펼치고 있다. 더욱이 이러한 노력을 언론에 발표하면서 정보보호 활동 현황을 적극적으로 공개하고 있다. 왜 이러한 움직임이 생겨나고 있을까?
여러 이론적 배경이 있겠지만 한 가지는 공개 선언 효과이며 또 한 가지는 공적 감시를 통한 사회적 신뢰 구축일 것이다. 모든 국민 또는 모든 고객이 특정 분야에 대한 기업 정보를 자세히 안다고 해서 관련 사고가 발생하지 않는 것은 아니다. 또 스스로 수립한 목표를 공개적으로 선언한 것과 달성 여부가 일치되지 않는다는 걸 우리는 체험적으로 또는 직관적으로 알고 있다. 그럼에도 불구하고 우리가 새해 목표를 가까운 지인에게 말하는 것은 그 목표 달성 성공율을 조금이라도 높이기 위함이라는 걸 우리는 알고 있고, 이를 독려한다. 또 내부현황을 스스로 공개하는 것은 투명성을 높이고 사회적 책임을 등한시하지 않고 있다는 행동이기에 보다 신뢰할 수 있겠다는 믿음이 앞서는 것이다.
정보보호 공시제도는 기업이 제공하는 각종 서비스 이용자들 즉 국민의 안전한 인터넷 이용을 위해 시행된 제도이다. 정보보호를 위해서는 인력과 비용을 포함한 기업의 투자가 있어야 하는데 아무래도 영리기업 특성상 투자 우선순위에서 정보보호는 후순위가 되고 있었고 결국 침해사고가 발생한 후에 투자하는 사후약방문(死後藥方文) 행태가 반복되니 결국 공시제도까지 등장하게 된 것이다. 물론 정보보호 투자를 한다고 해서 침해사고가 없어지진 않을 것이다. 하지만 한 가지 분명한 것은 투자하지 않을 경우 더 많은 침해사고가 발생할 것이고, 더 심각한 2차, 3차 사고가 발생할 수 있다.
이제는 ‘정보보호시스템 수요 확대 및 정보통신서비스 이용자의 안전한 인터넷 이용을 위하여’ 공시제도가 정보보호산업 발전에 실질적으로 기여하고 있는지 보다 면밀히 검토해야 한다. (자율) 공시제도가 도입된 지 만 5년이 된 즈음인 2021년 5월 당시 57개의 기업만이 공시에 참여하고 있다고 정부 스스로 발표한 바 있다. (의무) 공시제도가 시행된 지 만 3년이 지난 지금 정보보호 공시에 참여한 기업 746개의 정보보호 투자액, 인력 수 모두 증가했으나 (자율) 공시기업은 아직 91개로 만족할 만한 수준은 아니다. 필자가 보기에 (의무) 공시 대상 기업들은 그냥 두어도 스스로의 정보보호를 위해 적절한 수준의 투자를 했을 법한 회사들이다. 공시제도로 인해 투자 규모가 다소 높아졌을 수 있겠으나 아직 만족할 만한 수준은 아니다.
정보보호 관리체계 인증 수수료 30% 할인만으로는 정보보호 공시에 자율적으로 참여할 만한 유인책으로 빈약하다. 기업의 정보보호 투자 활성화를 진정으로 원한다면, 공시제도 자체가 정보보호 산업을 위해 유의미한 마중물이 되고자 한다면 보다 파격적인 유인정책을 이제 논의해야 한다. 예를 들어 자율적으로 공시제도에 참여한 기업의 정보보호 시스템 구축 비용 그리고 유지비의 일정 부분만큼의 세액을 공제해 주거나, 침해사고 발생에 따른 과태료 및 과징금 감면 제도를 시행하는 등 방법이 있을 것이다.
또 아직 시행된 지 1년이 채 되지 않은 제도인 ‘ISMS-P 간편인증’에 대한 수수료를 100% 감면해 중소기업이 스스로 정보보호 수준을 강화하려는 의지를 더욱 북돋는 방안도 있다. 이제는 유명무실해진 정보보호 준비도 평가제도의 전철을 밟지 않으려면 관련 기업이 보다 매력적이고 직접적으로 느낄 수 있는 혜택이 있어야 한다.
정보보호 공시제도를 규정한 정보보호산업법 제개정에 참여한 이들의 바람은 모두 같을 것이다. 투자 활성화를 통해 기업과 기관의 정보보호 수준 향상, 그리고 이를 기반으로 한 국민의 안전한 인터넷 이용 환경 구축이다. 이 과정을 통해 대한민국의 정보보호 산업이 발전하고 나아가 관련 제품과 서비스의 해외 수출까지 활성화된다면 금상첨화다. 한국산 안티바이러스 시스템, 방화벽 등이 있었기에 우리의 정보 주권을 지킬 수 있었음을 간과해서는 안 된다. 정보보호에 대한 수요조사를 추진하고 전문인력을 육성하기 위한 시책과 수준 평가, 현황을 조사하는 것 모두 정보보호 산업을 진흥하기 위함이다.
▲이경준 기술사
앞서 언급한 방안들 말고도 보다 효과적이고 즉각적인 방안들도 논의해야 한다. 정보보호 공시에 참여한 기업들의 정보보호 평균 투자액, 인력 수가 유의미하게 증가했다면 의무대상 확대를 검토해야 한다. 의무대상에서 제외된 금융업권에 대한 공시 의무화도 다시 한번 논의할 때가 됐다. 금융위원회 소관 제도와 중첩되는 부분이 있어 제외했다면 금융감독원과 금융보안원이 보고받은 정보를 일괄적으로 공시해 행정상 중복 절차를 개선하는 방법도 있다. 공공기관 역시 마찬가지다. 공공기관 경영정보 공개시스템 ‘알리오’를 통해 개인정보 관리수준 진단 결과의 등급만 단순히 공개할 것이 아니라 정보보호 투자가 보다 활성화될 수 있는 방식을 기획해 공시하는 것이 마땅하다.
궁극적으로는 대한민국 거버넌스 측면에서 ‘국가 사이버안보 전략’, ‘개인정보 보호 기본계획’, ‘정보보호 산업 진흥계획’ 수립 시 정보보호 산업 활성화를 고려해 공시제도 운영 정책을 보다 적극적으로 펼쳐야 한다. 혹자는 왜 우리나라만 정보보호 공시제도를 시행하고 있느냐고 비판할 수 있다. 필자가 반론을 펼쳐보자면 국민의 알 권리를 정보보호 분야까지 적용하고 있기 때문이라고 할 수 있다. K-보안은 K-방산, K-조선, K-건설 등 굵직한 산업 분야에 모두 필요한 분야이기도 하다. 이러한 상황을 고려해 현 공시제도를 좀 더 효과적으로 만들기 위해서는 정부의 끊임없는 노력과 기업들의 참여가 필요하다.
[글_이경준 기술사]
필자 소개_
- 현) 고려사이버대학교 정보관리보안학과 외래교수
- 전) 개인정보보호법학회 협력이사 및 법원전문심리위원
- 정보관리기술사, 정보공학국제기술사, 정책학박사, 정보시스템 수석감리원
- CISSP, CISA, CPPG, 산업보안관리사, OT보안관리사
- 국방, 금융, 지주사 등 다양한 분야에서 보안 기획, 관리, 감사업무를 수행하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
