[디지털데일리 이민형기자] 민간이 주도하는 ‘정보보호 준비도 평가제’가 올해 말부터 시행된다.

정보보호 준비도 평가제는 보안투자 비율과 인력·조직 확충, 개인정보보호, 법규준수 등 기업의 보안역량 강화를 위해 정보보호 준비 수준(Readiness)을 평가하는 인증 제도다. 기업들은 평가를 통해 B에서부터 AAA까지 다섯 단계(B-BB-A-AA-AAA) 중 한 등급을 부여받게 된다.

미래창조과학부와 한국인터넷진흥원(KISA)은 제도의 등급모델과 평가기준, 방법론 등 초기 제도설계만 지원하고, 이후 민간에 기술을 이전해 자율적으로 도입·시행하도록 유도할 계획이다.

강성주 미래부 정보화전략국장은 13일 양재동 엘타워에서 열린 ‘정보보호 준비도 평가 기술설명회’에서 “정보보호가 기업에게 있어 중요한 아젠다(의제)가 돼 간다. 이는 정보보호에 대한 직접적인 투자가 일어나야 된다는 것을 의미한다”고 말했다.

이어 “미래부는 민간이 스스로 자신들의 정보보호 수준에 대해 고민을 하고 투자하는 문화를 만들고자 한다. 이번 정보보호 준비도 평가제가 기업들의 정보보호수준을 높이는 계기가 되길 바란다”고 당부했다.

미래부는 정보보호 준비 평가 등급을 획득한 기업들에게 인센티브를 부여할 계획이다. 강 국장은 “규제를 강제화하지 않는 대신에 혜택을 줄 계획”이라며 “감세, 공공사업 입찰시 우대 등의 혜택을 고민하고 있다”고 설명했다.

이날 설명회는 염흥열 교수(순천향대)가 정보보호 준비도 평가의 발전방향에 대해 발제한 뒤, 지상호 KISA 정보보호관리팀장이 정보보호 준비도 평가제에 대해 설명하는 순서로 진행됐다.

◆“정보보호 준비도 평가제, 강제 아닌 자율규제”=지상호 KISA 정보보호관리팀장은 ‘정보보호 준비도 평가제’가 법령에서 규정하는 인증제도가 아닌 민간의 자발적 보안역량 강화를 위한 자율규제라는 점을 강조했다.

그는 “법적규제와 자율규제의 상호조화를 통한 정보보호 발전이 필요한 시기”라며 “정보보호관리체계(ISMS)와 달리 자율적으로 시행된다는 점이 가장 큰 차이점”이라고 설명했다.

현재 국내에선 ISMS 인증을 비롯해 개인정보보호관리체계(PIMS) 인증, 개인정보보호인증제(PIPL) 등이 시행되고 있다. 이들의 공통점은 모두 법령에서 규정하고 있는 인증 제도라는 점이다.

ISMS 인증과 PIMS 인증은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 의거한 제도이며, PIPL은 개인정보보호법에 그 근거를 두고 있다.

지 팀장은 “정보보호 준비도 평가제는 정부가 아닌 민간이 주체인 규제활동”이라며 “ISMS, PIMS 인증 등을 적용하기 힘들거나, 스스로 보안역량을 강화하고자 하는 기업들이라면 이 제도를 눈여겨 봐 달라”고 강조했다.

◆“기존 대비 간소화된 기준, 저렴한 비용, 짧은 기간이 특징”=정보보호 준비도 평가제는 자율규제인 만큼 기존 제도와 차이점이 많다. 가장 큰 차이점은 평가 기준과 방법의 간소화다.

ISMS 인증의 경우 기업의 정보보호 전반을 아우르는 104개의 기준을 모두 만족해야 하지만, 정보보호 준비도 평가제는 기업의 정보보호 준비 수준에 대한 30개의 기준을 만족하면 된다.

특히 항목별 점수가 별개로 매겨지기 때문에 기준에 전혀 부합되지 않는 경우(0점)를 제외하곤 최소 B등급을 받을 수 있다.

또 평가기간의 단축을 위해 현재 기업이 진행하고 있는 보안활동을 심사하게 된다. 정보보호최고책임자(CISO) 지정 여부, 정보보호 예산, 인력 등을 비롯해 관리적·물리적·기술적 보호활동을 얼마나 잘 준비하고 있는지가 평가 기준이다.

지 팀장은 “심사원 2명을 이틀간 투입해 평가를 받을 수 있도록 기준을 간소화했다”며 “그러나 객관적인 기준에 근거해 평가를 하게 되며, 이를 증명할 자료를 제출하도록 해 신뢰성도 갖출 수 있으리라 본다”고 설명했다.

정보보호 준비도 평가제의 심사 비용은 기존 인증 제도의 3분의 1수준이 될 것으로 보인다. 간소화된 기준과 더불어 저렴한 비용 책정으로 보다 많은 기업들을 제도권 안으로 끌어들일 계획이다.

심사 비용과 관련 지 팀장은 “이달 발주되는 용역 사업의 결과가 나와봐야 정확한 비용 측정이 가능할 것으로 보인다. 다만 ISMS, PIMS 인증 비용의 3분의 1수준을 맞출 수 있도록 가이드를 만들어 둔 상황”이라고 전했다.

정보보호 준비도 평가로 기업이 획득한 등급은 1년간 유효하다. 등급 획득 이후 이듬해에 또 다시 평가를 받아야한다.

한편 정보보호 준비도 평가제 심사원 풀은 KISA로부터 기술이전을 받게되는 기업에서 직접 운영하게 되며, KISA는 ISMS, PIMS 인증 심사원을 활용할 계획도 검토중이다.

◆KISA, ‘중복규제’ 논란 해소에 진땀=설명회가 끝난 후 가진 질의응답 시간에는 기존 인증 제도와 겹치는 부분이 많아 ‘중복규제’가 될 수 있다는 지적이 나왔다.

한 청중은 “ISMS, PIMS, PIPL 등 기존 인증 제도와 차별점이 없는 것 같다”며 “정보보호 준비제를 통해 얻을 수 있는 이득에 대해 설명해달라”고 말했다.

이에 대해 지 팀장은 “ISMS 인증은 의무이지만 이를 받을 수 있을 정도로 규모를 갖춘 기업은 많지 않다. 게다가 타 인증 제도들 역시 기준이 상당히 무겁기 때문에 제도를 이행하는데 어려움을 겪는 중소기업들이 많다”며 “자율규제라는 부분이 기존 인증 제도와 가장 큰 차별점이며, 경량화된 기준과 객관적인 심사방법으로 기업들의 부담을 덜어줄 수 있을 것”이라고 설명했다.

평가기준에 ‘개인정보보호’ 영역이 선택지표로 규정된 것에 대해 의문을 던지는 청중도 있었다.

보안업계 관계자는 “개인정보보호가 중요해지고 있는 이 시점에 개인정보보호 영역이 선택지표로 설정된 것은 동의하기 힘들다”고 전했다. 정보보호 준비 등급 기준에 개인정보보호는 선택지표로 설정돼 있으며 별도의 점수가 없이 이행여부만 확인하게 된다.

지 팀장은 “정보보호 준비도 평가제는 IT기업 뿐만 아니라 개인정보를 취급하지 않는 기업들도 대상으로 하고 있다”며 “제도가 확산돼 가는 과정에서 이러한 기준을 보다 강화하겠다”고 말했다.

한편 KISA는 이날 ‘정보보호 준비도 평가 사업화 방안 연구’ 용역을 발주했으며, 이 사업이 종료(2014년 11월) 되는대로 제도를 시행할 예정이다.

<이민형 기자>kiku@ddaily.co.kr