11일 여의도 중소기업중앙회에서 열린 ‘산학 정보보호 산업 활성화’ 포럼 패널토의에서 문재웅 제이컴정보 대표는 “매번 사고가 발생할 때마다 정보보호 산업에 투자하겠다는 정부의 발표는 양치기소년의 외침으로 들린다”고 말했다.

그는 이어 “정부의 강한 정책과 규제는 오히려 공공, 민간 보안시장을 축소시키고 있다. 규제를 풀고 처벌을 강화하는 것이 시장 성장에 도움이 될 것”이라고 강조했다.

규제완화와 처벌강화는 오래전부터 보안업계에서 요구했던 사안이다. 모든 상황에 대해 정부의 규제안이 있음으로 해서 기업들은 스스로 보안인프라를 챙기기보다 정부의 가이드라인에만 맞추려고 한다. 문제는 정부의 가이드라인은 최소한의 기준에 불과하다는 것이다.

문 대표는 “정부의 규제가 강력하기 때문에 오히려 가이드라인만 지키면 사고가 발생해도 처벌을 받지 않는 상황이 발생한다. 이를 해소하기 위해서는 규제를 완화하는 대신, 처벌을 강하게 하는 정책 마련이 필요하다”고 지적했다.

패널토의의 단골손님인 ‘보안솔루션 유지보수요율’ 문제도 나왔다. 보안업계에서는 정부가 발표한 유지보수요율 문제 해결책이 제대로 지켜지지 않고 있다고 주장했다.

변준석 이니텍 대표는 “보안시장의 활성화는 시장원리로 해결할 수 있다. 선순환을 이루기 위해서는 유지보수요율이 제대로 적용돼야 한다”며 “유지보수비용은 보안업체의 R&D 투자를 결정할 수 있는 중요한 요소다. 7% 남짓한 유지보수요율로는 장기적인 안목의 투자는 불가능하다”고 말했다.

정부가 규제방향을 달리 잡아야한다는 주장도 나왔다. ‘손해배상제도 등으로 인해 기업이 망할 수 있다’와 같이 겁을 주는 규제보다는 ‘정보보호관리체계(ISMS) 인증 의무화’와 같은 예방에 중심이 잡힌 규제가 보안시장 활성화에 도움이 된다는 것이다.

신수정 KT 정보보안단장(전무)는 “지금의 법은 기업 보안담당자들에게만 두려움을 갖게 만들고 있으며 정작 기업들이 움직이는데는 도움이 되지 않는다”며 “특히 사고 발생시 강력한 제재를 가하는 규제는 기업들이 정보보호를 확률로 인식하게 되고, 이는 오히려 정보보호에 투자하지 않는 결과로 나타난다”고 지적했다.

이어 “보안시장 활성화와 기업의 보안수준을 높이기 위해서는 예방 차원의 규제를 하는 것이 옳다. ISMS 인증 의무화, 정보보호최고책임자(CISO) 지정 의무화, 기업 전체 R&D 비용 중 보안에 대한 투자비율(7%) 등과 같은 정책을 확산시키는 것이 보안시장과 기업에게 도움이 될 것”이라고 덧붙였다.

보안시장 활성화 정책을 수립하기 전 전체 보안시장의 규모를 산정하는 작업이 필요하다는 주장도 나왔다. 보안사고 발생시 얼마만큼의 손해를 입게 되는지에 대한 수치가 측정돼야 보안시장에 대한 투자가 이뤄질 수 있다는 것이다

이경호 고려대학교 정보보호대학원 교수는 “경제적 논리를 따른다면 집값보다 더 비싼 자물쇠를 사는 사람은 없다. 보안사고로 인한 피해규모가 제대로 측정돼야 보안시장에 대한 투자도 이뤄지기 마련”이라고 주장했다.

<이민형 기자>kiku@ddaily.co.kr