.gif)
[3줄 요약]
1. 과징금 경감책 이미 있어... “CEO·CFO 설득 카드로 약해”
2. 보안 투자 노력 기업에 대한 인력 지원 등 직접적 투자 유인책 기대
3. “사후 경감책보다 사전 예방 인센티브가 더 중요”
[보안뉴스 강현주 기자] 최근 발표된 정부의 제2차 정보보호 종합대책이 기업 보안 투자 인센티브로 ‘과징금 경감’을 내세운 것에 대해 “기대 효과가 막연하다”는 목소리가 나온다. 가령 ‘인력 지원’과 같이 구체적·실질적 인센티브가 절실하다는 지적이다.
5일 정보보호최고책임자(CISO)들과 기업 보안 담당자들 사이에선 종합대책이 내세운 인센티브인 ‘과징금 경감’이 효과적 보안 투자 증대로 이어질지 크게 와 닿지 않는다는 여론이 높다.
▲범부처 정보보호 종합대책 발표 현장 [출처: 과기정통부]
정부가 지난달 28일 발표한 종합대책은 ‘개인정보 보호법상 안전조치 의무 수준을 뛰어넘는 개인정보보호(인력·예산·설비·장치 등)에 대한 과징금 경감’이라는 내용을 담고 있다. 또 ‘취약점 신고·조치·공개 제도’를 도입·확대하도록 신고 절차, 면책 조건 등 기준을 마련하고, 적극적 취약점 개선 노력에 대한 인센티브 제공 방안을 마련한다고 했다.
정부는 구체적으로 어떤 인센티브를 제공할지 세부안은 아직 검토 중이다. 기업 보안 담당자들은 “보안 투자로 직접 이어질 수 있는 실질적 인센티브이길 희망한다”고 입을 모았다.
막연한 보험용으로는 CEO·CFO 설득력 약해
특히 ‘과징금 경감’ 제시는 보안 투자 유도책으로 크게 와 닿지는 않는다는 게 중론이다.
과징금 경감이 불필요하다는 얘기가 아니다. 다만 과징금 경감은 △이미 존재하는 제도라는 점 △해킹이 발생할지는 알 수 없는 만큼 잠재적 경감 노력은 우선순위에서 밀린다는 점 △사고 후 경감보다 사고를 막게 도와주는 인센티브가 더 중요하다는 점 등에서 보안 투자 기대 효과가 지금으로선 막연하다는 지적이다.
실제로 현행 제도에도 과징금 경감책들이 이미 있다. 의무가 아닌 자율 보안 인증인 ISMS-P를 취득한 기업은 사고가 발생할 때 과징금을 내려준다. 일례로 한 신용카드사는 개인정보 유용 건으로 과징금을 부과받았으나 ISMS-P를 취득한 점을 감안해 50%를 감면, 130억원 이상 절감했다. 정보보호 공시 의무가 없는 기업이 자율 공시를 하면 ISMS 심사비를 할인해주는 제도도 있다.
또 해킹 사고 조사 과정에서 보안 노력에 대한 기업의 적극적 호소가 실제로 과징금 경감에 이미 참작되고 있다. 현행 제도 상 개인정보 유출 사고 관련 매출의 3%까지 과징금을 매길 수 있지만, 실제로 3%를 꽉 채워 내는 경우는 거의없다.
2차 종합대책에서 말하는 ‘과징금 경감’이 특정 조건을 충족할 경우 특정 비율의 경감을 준다는 식의 정량적이고 구체적인 감경책들을 많이 추가한다는 얘기라면 설득력 있으나, 정성적 판단에 의한 경감책을 말하는 것이라면 의미가 없다는 얘기다.
이미 현장 관행으로 존재하기 때문이다. 호소의 적극성이나 과징금 책정 당시의 여론 같은 변수들이 작용하는 정성적 부분의 경우 현장에서 정확히 어떻게 감경으로 이어질지 막연할 수 밖에 없다.
“인력 지원 등 사고 예방 초점 인센티브 필요”
대기업 계열 CISO A씨는 “앞으로 정부가 추가로 낼 구체적 방안들을 들어봐야 정확히 판단할 수 있겠지만, 막연한 과징금 감경만으로는 보안 투자를 늘리자고 CEO와 CFO를 설득할만한 근거로 삼기 약하다”라며 “정량화된 명확한 감경 기준들이 추가된다는 얘기라면 나쁠 것이 없고, 없는 것보다 있는 게 나은 것은 사실”이라고 밝혔다.
이어 “다만 사고가 난 후의 인센티브도 필요하겠지만 더 중요한 것은 애초에 사고가 나지 않게 도와주는 인센티브”라며 “가장 와 닿을 지원책은 인력 지원”이라고 말했다.
실제로 대다수 CISO들은 가장 필요한 인센티브로 ‘인력 지원’을 공통적으로 강조한다. 보안 인력 한 사람이 해야 할 일이 너무 많고 상시 대기 태세여야 하는 상황에서, 일손 부족이 사고로 이어지기 쉽다는 것이다.
또 다른 대기업 CISO B씨는 “미래에 해킹 과징금을 부과 받을 상황이 정말 올지 모르는 상황에서 보험 차원에서 보안 투자를 늘리자고 하는 것은 예산을 가급적 아끼려는 대다수 기업에서 그리 설득력을 갖지 못할 것”이라며 “사고가 나기 전 보안 투자를 늘릴 수 있도록 관련 인력 채용을 위한 제도적, 재정적 지원을 해준다면 훨씬 직관적인 인센티브가 될 것”이라고 했다.
그는 “일단 사고가 나고 공개가 되면 과징금을 감경해 준다해도 이미지 타격과 피해는 변함이 없다는 점에서, 사고 발생을 막는 데 초점을 맞춘 인센티브가 더 효과적으로 보안 투자 동기부여로 작용할 것”이라고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. 과징금 경감책 이미 있어... “CEO·CFO 설득 카드로 약해”
2. 보안 투자 노력 기업에 대한 인력 지원 등 직접적 투자 유인책 기대
3. “사후 경감책보다 사전 예방 인센티브가 더 중요”
[보안뉴스 강현주 기자] 최근 발표된 정부의 제2차 정보보호 종합대책이 기업 보안 투자 인센티브로 ‘과징금 경감’을 내세운 것에 대해 “기대 효과가 막연하다”는 목소리가 나온다. 가령 ‘인력 지원’과 같이 구체적·실질적 인센티브가 절실하다는 지적이다.
5일 정보보호최고책임자(CISO)들과 기업 보안 담당자들 사이에선 종합대책이 내세운 인센티브인 ‘과징금 경감’이 효과적 보안 투자 증대로 이어질지 크게 와 닿지 않는다는 여론이 높다.
▲범부처 정보보호 종합대책 발표 현장 [출처: 과기정통부]
정부가 지난달 28일 발표한 종합대책은 ‘개인정보 보호법상 안전조치 의무 수준을 뛰어넘는 개인정보보호(인력·예산·설비·장치 등)에 대한 과징금 경감’이라는 내용을 담고 있다. 또 ‘취약점 신고·조치·공개 제도’를 도입·확대하도록 신고 절차, 면책 조건 등 기준을 마련하고, 적극적 취약점 개선 노력에 대한 인센티브 제공 방안을 마련한다고 했다.
정부는 구체적으로 어떤 인센티브를 제공할지 세부안은 아직 검토 중이다. 기업 보안 담당자들은 “보안 투자로 직접 이어질 수 있는 실질적 인센티브이길 희망한다”고 입을 모았다.
막연한 보험용으로는 CEO·CFO 설득력 약해
특히 ‘과징금 경감’ 제시는 보안 투자 유도책으로 크게 와 닿지는 않는다는 게 중론이다.
과징금 경감이 불필요하다는 얘기가 아니다. 다만 과징금 경감은 △이미 존재하는 제도라는 점 △해킹이 발생할지는 알 수 없는 만큼 잠재적 경감 노력은 우선순위에서 밀린다는 점 △사고 후 경감보다 사고를 막게 도와주는 인센티브가 더 중요하다는 점 등에서 보안 투자 기대 효과가 지금으로선 막연하다는 지적이다.
실제로 현행 제도에도 과징금 경감책들이 이미 있다. 의무가 아닌 자율 보안 인증인 ISMS-P를 취득한 기업은 사고가 발생할 때 과징금을 내려준다. 일례로 한 신용카드사는 개인정보 유용 건으로 과징금을 부과받았으나 ISMS-P를 취득한 점을 감안해 50%를 감면, 130억원 이상 절감했다. 정보보호 공시 의무가 없는 기업이 자율 공시를 하면 ISMS 심사비를 할인해주는 제도도 있다.
또 해킹 사고 조사 과정에서 보안 노력에 대한 기업의 적극적 호소가 실제로 과징금 경감에 이미 참작되고 있다. 현행 제도 상 개인정보 유출 사고 관련 매출의 3%까지 과징금을 매길 수 있지만, 실제로 3%를 꽉 채워 내는 경우는 거의없다.
2차 종합대책에서 말하는 ‘과징금 경감’이 특정 조건을 충족할 경우 특정 비율의 경감을 준다는 식의 정량적이고 구체적인 감경책들을 많이 추가한다는 얘기라면 설득력 있으나, 정성적 판단에 의한 경감책을 말하는 것이라면 의미가 없다는 얘기다.
이미 현장 관행으로 존재하기 때문이다. 호소의 적극성이나 과징금 책정 당시의 여론 같은 변수들이 작용하는 정성적 부분의 경우 현장에서 정확히 어떻게 감경으로 이어질지 막연할 수 밖에 없다.
“인력 지원 등 사고 예방 초점 인센티브 필요”
대기업 계열 CISO A씨는 “앞으로 정부가 추가로 낼 구체적 방안들을 들어봐야 정확히 판단할 수 있겠지만, 막연한 과징금 감경만으로는 보안 투자를 늘리자고 CEO와 CFO를 설득할만한 근거로 삼기 약하다”라며 “정량화된 명확한 감경 기준들이 추가된다는 얘기라면 나쁠 것이 없고, 없는 것보다 있는 게 나은 것은 사실”이라고 밝혔다.
이어 “다만 사고가 난 후의 인센티브도 필요하겠지만 더 중요한 것은 애초에 사고가 나지 않게 도와주는 인센티브”라며 “가장 와 닿을 지원책은 인력 지원”이라고 말했다.
실제로 대다수 CISO들은 가장 필요한 인센티브로 ‘인력 지원’을 공통적으로 강조한다. 보안 인력 한 사람이 해야 할 일이 너무 많고 상시 대기 태세여야 하는 상황에서, 일손 부족이 사고로 이어지기 쉽다는 것이다.
또 다른 대기업 CISO B씨는 “미래에 해킹 과징금을 부과 받을 상황이 정말 올지 모르는 상황에서 보험 차원에서 보안 투자를 늘리자고 하는 것은 예산을 가급적 아끼려는 대다수 기업에서 그리 설득력을 갖지 못할 것”이라며 “사고가 나기 전 보안 투자를 늘릴 수 있도록 관련 인력 채용을 위한 제도적, 재정적 지원을 해준다면 훨씬 직관적인 인센티브가 될 것”이라고 했다.
그는 “일단 사고가 나고 공개가 되면 과징금을 감경해 준다해도 이미지 타격과 피해는 변함이 없다는 점에서, 사고 발생을 막는 데 초점을 맞춘 인센티브가 더 효과적으로 보안 투자 동기부여로 작용할 것”이라고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
