정보보호산업의 오랜 숙원인 정보보호산업 진흥법이 12월 본격 시행된다. 정부는 사이버 방위산업이자 미래 신성장산업인 정보보호 산업을 선순환 구조로 전환하기 위한 제도적 기반을 마련했다.
15일 서울 삼성동 코엑스에서 열린 정보보호산업의 진흥에 관한 법률 하위법령 제정 공청회를 열어 시행령 및 시행규칙 등에 대한 의견을 수렴하는 시간을 가졌다.
정보보호제품 및 서비스에 적정 대가를 지급하게 된 부분과 기업 공시 부분이 가장 큰 주목을 받았다.
홍진배 미래부 정보보호정책과 과장은 “지난주 ‘뽐뿌’사이트가 해킹 사고가 났다”고 언급하며 “온라인에서는 대량의 개인정보를 취급하는 사이트와 사업자가 있지만 어떻개 관리하고 있는지 이용자, 고객과 커뮤니케이션하고 있는 곳은 거의 없다”고 지적했다. 이용자가 공시를 하라고 요구할수도 있을 것이라고 덧붙였다.
미래부가 KISA를 통해 일일 250만개 사이트를 모니터링하고 있지만 역부족이라는 설명이다.
홍 과장은 “국내는 보안 듭급제가 적용돼 있지 않다”며 “이번 시행령을 통해 어느 정도 정보보호 준비가 돼 있는지 평가를 할 예정”이라고 말했다.
시행령에 따르면 보안투자, 인력관리체계 등 기업 등의 정보보호 준비노력(Readiness)을 평가해 등급을 부여하는 준비도 평가를 수행할 수 있도록 ‘준비도 평가기관 등록제’도 도입할 예정이다.
홍 과장은 “정보통신망을 통해 정보를 제공하는 기업들이 자사 정보보호 투자나 인력현황, 정보보호 관련 인증 등에 대한 내용을 공개할 수 있게 한 것”이라며 “공시를 한 기업들에게는 정보보호관리체계(ISMS) 인증을 받기 위한 수수료를 30% 감면해 주는 혜택을 제공할 방침”이라고 밝혔다
정경오 법무법인 한중 변호사는 “정보보호공시의 경우 투자를 활성화하고 인력 배치를 효율적으로 하라는 의미일수 있지만 반대로 관련 투자나 인력이 적은 곳은 사이버공격의 표적이 될 수도 있다”고 지적했다.
이준호 네이버 정보보호실 이사(CISO)는 “기업들이 이미 공시를 하고 있기 때문에 정보보안 부분은 보고서에 관련 내용을 넣으면 되기 때문에 별도의 시스템은 없어도 될 것”이라고 말했다.
반면 박춘식 서울여대 교수는 “기업들의 자발적인 투자 유도를 위해서라도 보안현황 정보를 공개하는 것은 필요하다”이라고 밝혔다.
이에 대해 홍 과장은 “정보보호공시는 의무사항이 아니기 때문에 기업 입장에서 정보보호에 대한 투자수준이 낮은데도 굳이 공시할 필요는 없다”며 “정보보호를 잘 관리하고 있다는 점을 일반 사용자들에게 알리는 대외적인 수단으로 활용할 수 있게 한다는 취지”라고 설명했다.
특히 업계에서는 업계 숙원사업이 해결됐다고 평가하며 정보보안산업의 생태계가 선순환되기 위한 모멘텀이 마련됐다고 입을 모았다.
특히 기업이 정보보호 제품·서비스 수요를 예측해 투자할 수 있도록, 공공기관 등의 구매수요정보도 연 2회 제공할 계획이다.
이경호 고려대 교수는 “그동안 정보보호산업이 SW산업진흥법의 지배를 받으면서 차별화하기 어려웠는데 SW와 정보보호산업은 구분돼야된다”면서 “아무리 좋은 SW 제품을 납품해도 해킹 등의 공격은 이후 발생한다. 이 부분을 막지 못하면 아무 소용이 없다”고 유지보수의 중요성을 강조했다.
홍기융 시큐브 대표는 “법에 의해 대가가 규정됐다는 것은 그동안 정보보호 대가가 적정하지 못했다는 방증”이라고 지적했다.
홍진배 과장은 “정보보호산업이 예측가능한 시장으로 들어서면서 기업의 체질 개선이 가능할 것”이라고 말했다.
이밖에도 시행령 및 시행규칙에는 5년마다 정보보호산업 진흥계획을 수립해 기술개발, 전문인력 양성, 융합 신시장 창출, 해외진출 지원 등을 추진한다는 계획 등이 포함됐다.
미래부는 오는 10월7일까지 정보보호산업진흥법 시행령 및 시행세칙에 대한 입법예고를 한 뒤, 공청회와 규제 및 법제처 심사 등을 거쳐 오는 12월23일께 최종 공포할 계획이다.