[3줄 요약]
1. 정보보호 공시 의무 2700여개 상장사로 확대...보안 산업 새 시장 기대감
2. 보안 양극화 심각한 가운데, ‘보안 극장’이나 ‘저가 수주’ 같은 부작용 우려
3. 전문가들, “인력 대란 막을 육성책과 중소기업 대상 ‘보안 바우처’ 등 필요”
[보안뉴스 조재호 기자] 최근 정부가 발표한 ‘범부처 정보보호 종합대책’에 따라 내년부터 정보보호 공시 의무 대상이 상장사 전체로 확대된다. 다만, 정책 추진에 앞서 보안 역량이 부족한 중소 상장사들의 부담을 덜고, 정책 실효성을 높여 보안 양극화를 예방할 정책 운영의 묘를 살려야 한다는 조언도 나온다.
12일 <보안뉴스>는 지난달 22일 정부가 발표한 정보보호 종합대책 중 ‘정보보호 공시 의무 확대’에 대해 업계 관계자들의 의견을 종합해 봤다.
[자료: 생성형 AI 활용]
종합대책은 민간 기업의 보안 인식을 비용 아닌 기업의 성패를 가를 필수 투자로 전환할 수 있도록 ‘정보보호 공시 의무 기업’을 상장사 전체로 확대하고, 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하는 제도 도입을 예고했다.
과거 대기업과 IT 산업군에 국한됐던 의무가 상장사 전반으로 확대되면서, 2700여개 코스피·코스닥 상장사가 매년 자사 보안 투자 현황을 투명하게 공개해야 한다. 이용자에게 객관적 기업 선택 기준을 제시하고, 보안이 기업 경영의 핵심임을 강조한 정책이다.
공시 의무 확대는 보안 산업계에도 새 시장을 여는 전환점이 될 전망이다. 공시 기업 수가 4배 확대되면서 보안 수요도 급증했다. 그간 베일에 싸여있던 국내 상장사 보안 현황이 처음 시장에 공개되기 때문이다.
기업 보안 현주소...보안 양극화와 경영 리스크
매출이나 서비스 운영 규모가 큰 기존 공시 대상 기업들 보안 사정은 전반적으로 양호한 편이다. 국내 대기업이나 IT 분야 주요 기업은 글로벌 수준의 규제 대응과 함께 ISMS-P·ISO/IEC 27001 인증, 위협 인텔리전스(CTI) 구축 등의 투자를 해 왔다. 대책 대응을 위한 추가 예산 편성도 수월한 축에 속한다.
문제는 공시를 처음 진행하게 될 상장사들이다. 대기업집단에 소속된 상장사 368개를 제외하면 중견·중소 기업이 86%에 달한다. 업종마다 상황은 다르지만, 이들은 IT 투자에 상대적으로 소홀한 편이다. 특히 최근 이슈가 된 제조업 기업들의 보안 체계는 10년, 20년 전 수준에 머물러 있다.
한 보안 컨설턴트는 “중소 상장사에서 보안 업무는 전산팀의 연장 정도의 위상으로, 전산 담당이 이 보안까지 하는 것이 일반적”이라며 “정보보호에 대해 네트워크 방화벽이나 백신 프로그램 도입 정도로 여기고, 불필요한 비용이란 인식이 팽배해 기술적 지식이나 선제 투자를 기대하기 어렵다”고 말했다.
하지만 ‘정보보호 공시 의무화’로 상황이 달라졌다. 올해 연이은 해킹 사건으로 보안에 대한 인식도 달라졌으며, 제도적 압박도 현실로 다가왔다. 기업 보안 활동이 공개되고 비교되는 상황에서 부실한 예산은 경영 리스크로 해석될 수 있다. 보안 비용 편성이 불필요한 예산 낭비에서 이용자 보호와 기업의 가치를 제고하는 활동으로 변화하고 있다. 이는 최근 경영 트렌드 중 하나인 ESG 경영과도 맞닿는다.
정보보호 공시 확대...고려해야 할 우려들
정보보호 공시 의무 확대는 국내 기업 전반의 보안 역량 강화와 보안 산업·인력 육성 등 긍정적 효과를 가져올 수 있지만, 대책 실행 과정에서 세부 사항을 면밀히 살피지 않는다면 정책 실효성을 잃고 시장에 혼란만 더할 수 있다. 제도의 성공적 안착에 장애가 될 사항들을 전문가들은 이렇게 지적한다.
첫째로 ‘보안극장’이다. 보여주기식 보안이다. 겉으로 드러나는 보안 정책과 보안 강화 방법에 집착해 이미지만 심는 행동을 말한다. 실질적 보안 수준 향상보다 공시 항목이나 투자액 혹은 비율에만 신경을 쓸 수 있다는 위험성이다.
기업에 따라 의도적으로 눈속임할 수도 있지만, 그렇지 않더라도 특정 솔루션이나 절차에 집착하면서 ‘보안을 강화햇다’고 스스로 속는 경우도 생길 수 있다. 이에 대비해 공시의 양적·질적 내용을 검증할 수 있는 체계가 뒷받침되어야 한다.
두 번째는 ‘인력 대란’이다. 통상 정보보호 공시는 6월까지 진행되고, 8~9월에 내용 검증을 진행한다. 지난 10년간 자리 잡은 시장이 갑자기 커지면서 수요는 급증할 전망인데, 공급은 제한된다. 4배 이상 커진 시장이 동시에 정보보호최고책임자(CISO)를 시작으로 보안 실무자와 컨설턴트, 관제 인력 등을 찾기 시작하면 인력 시장 과열은 불 보듯 뻔하다.
인력 문제는 자격 미달 인력이 ‘전문가’로 둔갑하거나 기존 전문가들이 과도한 업무에 시달려 이탈하는 악순환으로 이어질 수 있다. 대기업이나 금융권처럼 양질의 일자리를 제공할 수 있는 기업에서 인력을 흡수하면 중소 규모 상장사는 제대로 된 인력을 구경조차 하기 힘들어질 수도 있다. 따라서 인재 양성과 재직자 재교육을 시작으로 정보보호 지원센터 확대, 인공지능(AI) 보안 등 신기술 도입을 위한 로드맵이 필요하다.
세 번째는 중소기업 부담이다. 아무리 필요한 정책이라도 현장의 이행 능력과 실현 가능성을 고려하지 않는다면 이름뿐인 제도로 묻혀버릴 수 있다. 기존 정보보호 공시 의무 기업과 새롭게 진입할 신규 기업에 동일한 잣대를 들이대면 현실적 한계에 부딪힐 수 있다.
기업 규모와 업종별 특성을 고려한 차등화된 공시 기준을 적용하는 방법이 있다. 또는 내년엔 일정 규모 이상 기업에만 상세한 공시를 적용하고, 중소 상장사엔 정보보호 종합대책의 핵심 항복부터 적용해 2~3년 유예를 두는 방법도 생각해 볼 수 있다. 또 보안 바우처나 새액 공제 혜택 등 지원책을 통해 규제 문턱을 낮춰주는 제도적 유인이 필요하다.
성공적 제도 정착을 위해 모든 기업의 보안 역량을 강화할 수 있는 세심한 배려가 필요한 시점이다. 이는 올해 말 예정된 국가 사이버안보 전략을 성공적으로 정착할 초석이 될 것이다.
한 보안 전문가는 “공시 의무화로 극적인 고용 창출이나 투자 확대를 기대하진 어렵지만, 장기적 관점에서 보안 투자가 늘어날 계기가 되기를 기대하고 있다”며 “2020년 일몰된 금융권 557 규정(IT·정보보호 인력 예산에 대한 권고 기준)처럼 국가 사이버안보 전략에는 실질적 투자 강제화 규정이 추가되길 바란다”고 말했다.
[조재호 기자(sw@boannews.com)]
1. 정보보호 공시 의무 2700여개 상장사로 확대...보안 산업 새 시장 기대감
2. 보안 양극화 심각한 가운데, ‘보안 극장’이나 ‘저가 수주’ 같은 부작용 우려
3. 전문가들, “인력 대란 막을 육성책과 중소기업 대상 ‘보안 바우처’ 등 필요”
[보안뉴스 조재호 기자] 최근 정부가 발표한 ‘범부처 정보보호 종합대책’에 따라 내년부터 정보보호 공시 의무 대상이 상장사 전체로 확대된다. 다만, 정책 추진에 앞서 보안 역량이 부족한 중소 상장사들의 부담을 덜고, 정책 실효성을 높여 보안 양극화를 예방할 정책 운영의 묘를 살려야 한다는 조언도 나온다.
12일 <보안뉴스>는 지난달 22일 정부가 발표한 정보보호 종합대책 중 ‘정보보호 공시 의무 확대’에 대해 업계 관계자들의 의견을 종합해 봤다.
[자료: 생성형 AI 활용]
종합대책은 민간 기업의 보안 인식을 비용 아닌 기업의 성패를 가를 필수 투자로 전환할 수 있도록 ‘정보보호 공시 의무 기업’을 상장사 전체로 확대하고, 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하는 제도 도입을 예고했다.
과거 대기업과 IT 산업군에 국한됐던 의무가 상장사 전반으로 확대되면서, 2700여개 코스피·코스닥 상장사가 매년 자사 보안 투자 현황을 투명하게 공개해야 한다. 이용자에게 객관적 기업 선택 기준을 제시하고, 보안이 기업 경영의 핵심임을 강조한 정책이다.
공시 의무 확대는 보안 산업계에도 새 시장을 여는 전환점이 될 전망이다. 공시 기업 수가 4배 확대되면서 보안 수요도 급증했다. 그간 베일에 싸여있던 국내 상장사 보안 현황이 처음 시장에 공개되기 때문이다.
기업 보안 현주소...보안 양극화와 경영 리스크
매출이나 서비스 운영 규모가 큰 기존 공시 대상 기업들 보안 사정은 전반적으로 양호한 편이다. 국내 대기업이나 IT 분야 주요 기업은 글로벌 수준의 규제 대응과 함께 ISMS-P·ISO/IEC 27001 인증, 위협 인텔리전스(CTI) 구축 등의 투자를 해 왔다. 대책 대응을 위한 추가 예산 편성도 수월한 축에 속한다.
문제는 공시를 처음 진행하게 될 상장사들이다. 대기업집단에 소속된 상장사 368개를 제외하면 중견·중소 기업이 86%에 달한다. 업종마다 상황은 다르지만, 이들은 IT 투자에 상대적으로 소홀한 편이다. 특히 최근 이슈가 된 제조업 기업들의 보안 체계는 10년, 20년 전 수준에 머물러 있다.
한 보안 컨설턴트는 “중소 상장사에서 보안 업무는 전산팀의 연장 정도의 위상으로, 전산 담당이 이 보안까지 하는 것이 일반적”이라며 “정보보호에 대해 네트워크 방화벽이나 백신 프로그램 도입 정도로 여기고, 불필요한 비용이란 인식이 팽배해 기술적 지식이나 선제 투자를 기대하기 어렵다”고 말했다.
하지만 ‘정보보호 공시 의무화’로 상황이 달라졌다. 올해 연이은 해킹 사건으로 보안에 대한 인식도 달라졌으며, 제도적 압박도 현실로 다가왔다. 기업 보안 활동이 공개되고 비교되는 상황에서 부실한 예산은 경영 리스크로 해석될 수 있다. 보안 비용 편성이 불필요한 예산 낭비에서 이용자 보호와 기업의 가치를 제고하는 활동으로 변화하고 있다. 이는 최근 경영 트렌드 중 하나인 ESG 경영과도 맞닿는다.
정보보호 공시 확대...고려해야 할 우려들
정보보호 공시 의무 확대는 국내 기업 전반의 보안 역량 강화와 보안 산업·인력 육성 등 긍정적 효과를 가져올 수 있지만, 대책 실행 과정에서 세부 사항을 면밀히 살피지 않는다면 정책 실효성을 잃고 시장에 혼란만 더할 수 있다. 제도의 성공적 안착에 장애가 될 사항들을 전문가들은 이렇게 지적한다.
첫째로 ‘보안극장’이다. 보여주기식 보안이다. 겉으로 드러나는 보안 정책과 보안 강화 방법에 집착해 이미지만 심는 행동을 말한다. 실질적 보안 수준 향상보다 공시 항목이나 투자액 혹은 비율에만 신경을 쓸 수 있다는 위험성이다.
기업에 따라 의도적으로 눈속임할 수도 있지만, 그렇지 않더라도 특정 솔루션이나 절차에 집착하면서 ‘보안을 강화햇다’고 스스로 속는 경우도 생길 수 있다. 이에 대비해 공시의 양적·질적 내용을 검증할 수 있는 체계가 뒷받침되어야 한다.
두 번째는 ‘인력 대란’이다. 통상 정보보호 공시는 6월까지 진행되고, 8~9월에 내용 검증을 진행한다. 지난 10년간 자리 잡은 시장이 갑자기 커지면서 수요는 급증할 전망인데, 공급은 제한된다. 4배 이상 커진 시장이 동시에 정보보호최고책임자(CISO)를 시작으로 보안 실무자와 컨설턴트, 관제 인력 등을 찾기 시작하면 인력 시장 과열은 불 보듯 뻔하다.
인력 문제는 자격 미달 인력이 ‘전문가’로 둔갑하거나 기존 전문가들이 과도한 업무에 시달려 이탈하는 악순환으로 이어질 수 있다. 대기업이나 금융권처럼 양질의 일자리를 제공할 수 있는 기업에서 인력을 흡수하면 중소 규모 상장사는 제대로 된 인력을 구경조차 하기 힘들어질 수도 있다. 따라서 인재 양성과 재직자 재교육을 시작으로 정보보호 지원센터 확대, 인공지능(AI) 보안 등 신기술 도입을 위한 로드맵이 필요하다.
세 번째는 중소기업 부담이다. 아무리 필요한 정책이라도 현장의 이행 능력과 실현 가능성을 고려하지 않는다면 이름뿐인 제도로 묻혀버릴 수 있다. 기존 정보보호 공시 의무 기업과 새롭게 진입할 신규 기업에 동일한 잣대를 들이대면 현실적 한계에 부딪힐 수 있다.
기업 규모와 업종별 특성을 고려한 차등화된 공시 기준을 적용하는 방법이 있다. 또는 내년엔 일정 규모 이상 기업에만 상세한 공시를 적용하고, 중소 상장사엔 정보보호 종합대책의 핵심 항복부터 적용해 2~3년 유예를 두는 방법도 생각해 볼 수 있다. 또 보안 바우처나 새액 공제 혜택 등 지원책을 통해 규제 문턱을 낮춰주는 제도적 유인이 필요하다.
성공적 제도 정착을 위해 모든 기업의 보안 역량을 강화할 수 있는 세심한 배려가 필요한 시점이다. 이는 올해 말 예정된 국가 사이버안보 전략을 성공적으로 정착할 초석이 될 것이다.
한 보안 전문가는 “공시 의무화로 극적인 고용 창출이나 투자 확대를 기대하진 어렵지만, 장기적 관점에서 보안 투자가 늘어날 계기가 되기를 기대하고 있다”며 “2020년 일몰된 금융권 557 규정(IT·정보보호 인력 예산에 대한 권고 기준)처럼 국가 사이버안보 전략에는 실질적 투자 강제화 규정이 추가되길 바란다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
