[디지털데일리 이민형기자] 민간이 주도하는 ‘정보보호 준비도 평가제’가 이달부터 시행된다.

정보보호 준비도 평가제는 보안투자 비율과 인력·조직 확충, 개인정보보호, 법규준수 등 기업의 보안역량 강화를 위해 정보보호 준비 수준(Readiness)을 평가하는 민간 인증 제도다. 기업들은 평가를 통해 B에서부터 AAA까지 다섯 단계(B-BB-A-AA-AAA) 중 한 등급을 부여받게 된다.

이 제도를 위해 미래창조과학부는 올해 초부터 정보보호 준비도 평가의 등급모델과 평가기준, 방법론 등을 개발해왔다. 미래부는 이달 중 평가제와 관련된 기술이전을 마무리 짓고 제도 운영 전체를 민간에 넘길 예정이다.

15일 미래부 관계자는 “현재 정보보호 준비도 평가를 위해 개발된 기술들을 이전하는 작업이 한창 진행되고 있다”며 “이를 위해 시범사업도 진행 중에 있으며 늦어도 이달 말부터 민간에서 스스로 제도 운영이 가능해지도록 지원할 것”이라고 말했다.

정보보호 준비도 평가 인증기관과 심사기관 지정도 완료됐다. 인증기관은 정보통신협회인 한국정보방송통신대연합(ICT대연합)이 선정됐으며, 심사기관은 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT), 한국침해사고대응협의회(CONCERT) 등이 지정됐다.

심사와 인증은 심사기관에서 정보보호 준비도 심사를 마치면 ICT대연합에서 위원회를 열어 등급을  매기는 형태로 이뤄진다.

심사 기간에 대해 이지형 미래부 사무관은 “기업 규모에 따라 달라질 수 있겠지만 기본적으로 서류심사와 현장심사를 모두 합쳐 2일 정도에 마칠 수 있도록 평가방법을 개발했다”며 “정보보호관리체계(ISMS) 인증 심사기간보다 단축시켜 기업의 부담을 줄이고 보안수준은 높일 수 있을 것으로 기대한다”고 전했다.

평가기간의 단축을 위해 심사기관들은 당장 기업에서 진행하고 있는 보안활동만을 보게 된다. 정보보호최고책임자(CISO) 지정 여부, 정보보호 예산, 인력 등을 비롯해 관리적·물리적·기술적 보호활동을 얼마나 잘 준비하고 있는지가 평가 기준이다.

특히 항목별 점수가 별개로 매겨지기 때문에 기준에 전혀 부합되지 않는 경우(0점)를 제외하고 최소 B등급을 받을 수 있다. 정보보호 준비도 평가로 기업이 획득한 등급은 1년간 유효하다.

미래부와 ICT대연합은 보다 많은 기업들을 제도권 안으로 끌어들일 수 있는 방안을 모색 중이다. 미래부는 인증을 받은 기업에 대한 조세감면과 우수조달기업 지정 등을 고려하고 있으며 ICT대연합도 자체적인 혜택을 고민하고 있다.

<이민형 기자>kiku@ddaily.co.kr