- 미래부, ‘정보보호 관리등급 제도’ 10월 중 공포 예정

[디지털데일리 이민형기자] 올해 말부터 정보보호관리체계(ISMS)가 ‘기본’, ‘우수’, ‘최우수’ 등 세부 등급으로 나눠 운영된다. 오는 10월 정보보호 관리등급 제도 공포가 예정돼 있기 때문이다.

지난 20일 미래창조과학부는 서울 양재동 엘타워에서 ‘정보보호 관리등급 제도 시행을 위한 공청회’를 갖고 정보보호 관리등급 제도 고시안을 소개했다.

황명현 한국인터넷진흥원(KISA) 보안관리팀 선임연구원은 “정보보호 관리등급 제도는 기업의 통합적 정보보호 수준을 제시하기 위해 마련됐다”며 “ISMS가 기업 내 서비스단위의 인증이었다면 정보보호 관리등급 제도는 기업 전사의 IT서비스를 대상으로 한다”고 강조했다.

이어 “근거 법안은 지난해 2월에 나왔으므로 최대한 빨리 시행될 수 있도록 추진할 예정이며, 10월께 공포될 수 있을 것으로 기대한다”고 덧붙였다.

정보보호 관리등급 제도는 지난해 2월 개정된 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 제47조의5(정보보호 관리등급 부여)를 근거로 하고 있다.

해당 법안은 기업 수준별 정보보호 정책을 마련해 정보보호 제도의 실효성을 강화하고 정보보호 수준향상, 정보보호 산업 활성화를 위해 마련됐다.

의무사항인 ISMS와 달리 권고사항이기 때문에 기업 전사적인 정보보호 수준을 점검하게 되며, 세부기준 역시 163개(ISMS는 104개)로 크게 증가했다. 정부는 해당 제도 시행으로 기업의 신뢰수준과 경쟁력이 확보될 수 있을 것으로 내다보고 있으며, 이를 위해 기업들이 자발적으로 참여할 수 있는 방안을 마련하고 있다.

기업들이 정보보호 관리등급을 부여받기 위해서는 우선 ISMS 인증을 획득해야 한다. 다만 등급 부여의 최소기준 중 하나로 ‘3년 이상의 ISMS 유지’ 항목이 존재해 당분간은 등급 부여를 받는 기업은 많지 않을 것으로 예상된다.

기존의 ISMS와 같이 KISA가 심사를 담당하며 보다 더 높은 수준의 인증임을 고려해 심사원 자격도 깐깐해졌다. 심사원 자격은 최근 3년 동안 ISMS 인증심사를 4회 20일 이상 참여한 자만 가능하다.

◆정보보호 관리체계의 등급 체계는?=정보보호 관리체계의 등급 체계는 ‘우수’, ‘최우수’ 두 단계로 나뉘어진다.

‘우수’ 단계는 기업에 내재된 정보보호 통제와 프로세스를 지속적으로 측정, 관리하는 단계로 정기적으로 정보보호 상태를 점검하는 단계로 규정돼 있다. ‘최우수’ 단계는 정보보호 통제 활동에서 얻어진 문제점을 지속적으로 개선해 반영함으로써 기업의 정보보호 수준을 최적화하는 단계다.

두 단계를 세부 평가기준으로 비교해보면 ▲정보보호 예산의 비율 정도(우수: 1년 평균 5%, 최우수: 3년 평균 7%) ▲정보보호 활동의 공시 수준(예산, 인력 등의 세부사항) ▲경영진의 의사결정 정의 ▲위험관리 관리체계 수립횟수 등으로 구분할 수 있다.

모든 평가항목에 대해 단계가 나뉘어진 것은 아니며, 활동 내역을 구분할 수 있는 항목에만 구분이 돼 있다.

고규만 KISA 보안관리팀 책임연구원은 “정보등급 관리체계 제도는 보안을 지키고자하는 기업이 나가야할 방향을 제시할 수 있을 것”이라며 “다만 오늘 발표한 고시안은 업계의 의견을 수렴해 일부 조정될 수 있다”고 말했다.

◆기업들의 관심은 ‘등급 획득시의 혜택’=이날 열린 패널토의에서는 기업이 등급을 획득했을 경우 얻을 수 있는 혜택에 초점이 잡혔다.

ISMS와 달리 권고사항이기 때문에 기업들이 체감할 수 있는 혜택이 없으면 획득에 대한 동기부여가 되지 않을 것이라는 우려때문이다.

윤석진 언스트앤영한영회계법인 상무는 “권고사항이기 때문에 실질적인 이득이 없다면 기업들이 스스로 나서는 일은 없을 것으로 보인다”며 “기업들에게 현실적으로 도움이되는 세제혜택이나 보안사고시 책임경감 등의 혜택이 필요하다”고 말했다.

또 김성훈 열심히커뮤니케이션즈 이사는 “정보보호와 큰 연관이 없는 기업들이 해당 등급을 획득했을 경우 혜택을 주거나 보안사고 발생시 책임을 감면할 수 있는 방안이 필요하다”고 말했다.

이 같은 혜택 부여에 대해 일각에서는 등급 획득이 개인정보유출의 면죄부가 될 수 있을 것이라는 지적도 나왔다.

이와 관련 이강용 미래창조과학부 사무관은 “등급 제도가 기업에 면죄부를 주기 위한 것은 아니다”며 “대상기업들을 제도권으로 유인하기 위해서는 혜택이 필요한 것이 사실이다”고 말했다.

이어 “정부가 내놓은 사안을 잘 이행했음에도 보안사고가 발생하거나, 해당 제도에 대한 실효성이 없다면 미래부 등 정부부처의 책임”이라며 “이러한 일이 없도록 정부는 관리감독을 강화해 나갈 것”이라고 설명했다.

이밖에도 세부 평가기준에 없는 내용(APT 장비 등)이 있을 경우 가산점을 줘야한다거나(김성훈 이사), 투명한 심사와 심사를 받는 기업들의 의견을 수렴할 수 있는 내용도 고시안에 포함돼야 한다(손태진 법무법인 선우 변호사)는 주장도 제기됐다.

이날 패널토의 좌장을 맡은 김정덕 중앙대 교수는 “등급제도가 국민들에게 신뢰감을 줄 수 있도록 기업 내부적인 보안감사와 함께 국민들이 체감할 수 있는 외부서비스에 대한 보안감사도 중요하다”며 “미래부 등 정부에서 이러한 부분도 관심을 가져달라”고 강조했다.

<이민형 기자>kiku@ddaily.co.kr