[디지털데일리 이민형기자] 중소기업들의 사이버보안을 강화해야 한다고 한국과 영국 학계가 공동으로 입을 모았다. 중소기업 보안이 튼튼해야 사회가 안전해진다는 지적이다.

이를 위해 한국은 정보보호 준비도 평가(SECU-STAR)의 확산 추진을, 영국은 보다 강화된 사이버 에센셜 스킴(Cyber Essentials Scheme, CES)을 오는7월 도입할 계획이다.

피터 트림(Peter Trim) 런던대 교수는 19일 서울 코엑스에서 열린 ‘한·영 사이버보안 워크숍’에서 “중소기업들의 사이버보안 실태를 투명하게 파악해 사회적인 리스크를 파악하고 발표할 수 있는 문화를 만들어야 한다”며 “앞으로 어떤 사이버위협이 닥칠지 모른다. 영국은 기업 보안을 위해 오는 7월 강화된 CES 제도를 도입할 계획”이라고 밝혔다.

영국의 CES는 우리나라의 정보보호 준비도 평가와 유사한 제도다. 중소기업들을 대상으로 하는 사이버보안 인증제도이며, 5개의 기술 통제(tecnical controls) 항목이 존재한다.

이 제도는 영국 정보통신본부(GCHQ)가 발표한 사이버보안 10단계(10 Steps To Cyber Security)를 기반으로 만들어졌다. 여기에는 네트워크 보안, 리스크 관리, 사용자 권한 관리, 모니터링, 악성코드 대응, 사용자 교육 등과 같은 내용이 담겼다.

트림 교수는 “영국은 국가에서 기업들에게 리스크 대응 방안을 만들어서 보고하도록 규정하고 있다. 자신들의 보안투자 결정에 대해 책임을 지우는 것”이라며 “오는 7월에 실시하는 CES 역시 자율적인 규제이지만 많은 기업들이 호응할 것으로 기대하고 있다”고 설명했다.

또 올리버 호어(Oliver Hoare) 영국 국토안보부(Homeland & Cyber Security) 자문은 “영국은 중소기업을 보호하는 정책을 강화할 계획이다. 중소기업의 사이버보안이 강해져야 국민들을 보호할 수 있기 때문”이라며 “다만 트림 교수가 언급한 것처럼 의무를 부여하기보다는 좋은 사례와 가이드라인 등으로 중소기업들이 스스로 참여할 수 있는 환경을 만들고자 한다”고 강조했다.

한국에서는 영궁의 CES 제도 도입이 긍정적인 효과를 발휘할 것이라고 평가하면서, 같은 이유로 국내 정보보호 준비도 평가의 확산이 필요하다고 주장했다.

염흥열 순천향대 교수는 “전세계적으로 정보유출의 대부분은 중소기업에서 시작되고 있다. 이는 중소기업의 사이버보안 강화가 국가경쟁력이란 것"이라며 “한국도 중소기업을 보호해야 사회가 안전하다는 영국의 주장에 동의한다. 한국은 지난해부터 정보보호 준비도 평가를 통해 중소기업 사이버보안을 강화해 나가고 있다"고 설명했다.

정보보호 준비도 평가제는 보안투자 비율과 인력·조직 확충, 개인정보보호, 법규준수 등 기업의 보안역량 강화를 위해 정보보호 준비 수준(Readiness)을 평가하는 민간 인증 제도다. 기업들은 평가를 통해 B에서부터 AAA까지 다섯 단계(B-BB-A-AA-AAA) 중 한 등급을 부여받게 된다.

지난해 11월 시행된 이 제도는 현재 약 20개의 기업이 인증을 받았다. 이 제도를 운영하는 ICT대연합은 올해 더 많은 기업들이 참여할 수 있도록 준비하고 있다.

염 교수는 “영국의 CES와 우리나라의 정보보호 준비도 평가는 중소기업 사이버보안 강화라는 측면에서 공통점을 가지고 있다. 중소기업과 국민의 보호를 위해 양국의 정보공유와 협력이 필요할 것 같다”며 인증 고도화를 위해 힘을 모으자고 당부했다.

<이민형 기자>kiku@ddaily.co.kr