[3줄 요약]
1. ‘정보보호 공시에 관한 고시 일부개정고시안’ 입법행정예고
2. ‘IT 자산 식별 목록 및 관리’ 신설 등 정보보호 활동 구체화
3. 검증동의서 및 ‘투자우수기업’ 조문은 삭제

[보안뉴스 강현주 기자] 관리가 소홀한 IT 자산이 해킹 사고의 주요 경로가 됨에 따라, 정부가 정보보호 공시에 ‘IT 자산 식별 목록 및 관리’를 신설한다. ‘투자우수기업’ 표시는 삭제를 예고했다.

과학기술정보통신부는 10일 ‘정보보호 공시에 관한 고시 일부개정고시안’을 입법행정예고했다. 다양한 기관, 단체, 개인들에게 30일까지 의견을 수렴한 후 확정할 예정이다.

이번 개정고시안은 국가 전반 정보보호 역량 강화를 위해 10월 정부가 발표한 ‘범부처 정보보호 종합대책’의 후속조치 일환이다. 정보보호 공시 제도의 실효성 제고를 위해 세부 사항을 개정한다는 설명이다.


▲정보보호 공시 개정고시안 내용 [자료: 과기정통부]

정보보호 현황 세분화… ‘IT 자산 식별’이 첫번째 항
개정 사항은 △정보보호 현황을 세분화해 작성 기준 수정·정비 △검증동의서 삭제 △투자우수기업 표시 조문 삭제다.

이중 정보보호 현황 세분화는 고시 항목들이 일부 신설 및 수정된다. 현행 항목들 가운데 수정되는 항목은 △정보보호 투자 활성화 실적 △임직원의 정보보호 인식제고 교육 및 지원 △ 정보보호 전담인력 관리 활동 △이용자 정보보호 인식제고 활동 등 4개 항목(가~라)이다.

개정안은 이를 더 구체화해 △IT 자산 식별 목록 및 관리 △정보보호 정책·지침 마련 및 운영 △정보보호 전담 조직 운영 △침해사고 대응 체계 수립 및 운영 △최고의사결정기구(이사회 등)의 정보보호 활동에 관한 의사결정 △정보보호 교육 등 인식 제고 활동 등 6개 항목(가~마)을 담는다.

특히 신설 항목 중 첫번째 ‘가’ 항으로 내세운 ‘IT 자산 식별 목록 및 관리’가 눈에 띈다. 해킹 사고가 잇따라 발생하면서 IT 자산 식별의 중요성이 부각됐다. 그동안 다수 보안 전문가들이 중요성을 강조한 사안인만큼 이번 정보보호 공시 개정고시안에 주요 신설 항목으로 반영됐다.

‘섀도우 IT’ 위험 부각… ‘투자우수기업’ 논란도 의식
실제로 금융권 등 다양한 산업에서 제대로 파악과 관리가 안돼 보안이 미흡한 자산을 통한 침투가 대규모 해킹 사고로 이어진 경우가 빈번했다. 특히 트랜잭션 빈도가 낮아 관리 밖에 있지만 여전히 기업 내부망이나 데이터베이스에 연결돼 있는 외부 시스템이나 원격근무 단말 등이 표적이 되기 쉽다.

클라우드, 사물인터넷(IoT) 등 숨겨진 IT 자산의 파악을 놓치거나 공유가 누락될 수 있다. 파악 안된 자산의 취약점을 통해 공격자가 숨어 들어 치명적 결과를 초래할 수 있다. 이른바 ‘섀도우 IT’ (Shadow IT)의 위험이 부각되고 있는 것이다. 섀도우 IT를 효율적으로 관리하는 ‘공격표면관리’(ASM) 솔루션 수요도 증가하고 있다.

김휘강 고려대학교 정보보호대학원 교수는 “최근 침해 사고들은 미인증 IT 자산 식별 실패, 방치된 정보 자산 등이 원인이 돼 초기 침투가 이뤄진 유형이 많다”며 “자산 식별과 공격 표면 관리 미흡이 취약점 식별 및 제거 실패로 이어져 공격자 침투를 허용하는 경우가 많다”고 말했다.

이와 함께 공시 제출 서류 간소화를 위해 검증동의서는 받지 않기로 했다.

‘투자우수기업’ 표시 조문도 삭제한다. 이 역시 업계 여론을 반영한 결정으로 보인다. 해킹 사고를 대규모로 당하거나, 투자를 투명하게 공개하지 않은 기업들도 정보보호 공시 ‘투자우수기업’으로 선정되는 경우가 많아 논란이 돼 왔다.

과기정통부 측은 “최근 사이버 침해 사고가 급증하면서 공시 대상 기업의 실질적 정보보호 활동을 확인 가능하도록 하는 정보보호 공시 제도의 강화 필요성이 제기됐다”며 “기존 절차를 유지하면서도 세부 활동 항목 기준을 정비하며, 항목을 의무화하는 것이 아니라 기존 항목 기준을 명확히 제시하는 것이라 추가 비용이 들진 않을 것으로 추정한다”고 밝혔다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>