- 정보보호산업진흥법 시행령·시행규칙 공청회 열어 의견수렴

[디지털데일리 이유지기자] “법률이 만들어졌다고, 곧바로 산업이 진흥되고 인력이 양성되는 것은 아니다. 정보보호산업이 발전할 수 있는 기반 정도가 마련된 것으로 평가할 수 있을 것이다. 지금부터 많은 분들이 같이 노력해야 한다.” (박춘식 교수)

오는 12월 23일 시행되는 ‘정보보호산업의 진흥에 관한 법률(정보보호산업진흥법)’ 시행령과 시행규칙 제정안 공청회가 15일 삼성동 코엑스에서 열렸다.

이날 첫 토론자로 나선 박춘식 교수는 정보보호산업진흥법을 실효성있는 법으로 함께 만들어 가야한다며 이같이 강조했다.

지난 6월 제정된 정보보호산업진흥법은 시행을 앞두고 미래창조과학부는 후속작업에 박차를 가하고 있다. 이 법 후속법령인 시행령과 시행규칙 제정안을 마련해 지난 달 28일부터 입법예고에 들어갔다. 이번 공청회도 관련 의견을 수렴하기 위해 마련한 자리다.

정보보호 제품 및 정보보호서비스 대가 정상화를 위한 조사 실시, 적정대가기준이 반영된 표준계약서 사용 권고, 불합리한 발주 관행 개선을 위한 민관 모니터링 조사 결과 공개 등도 명시돼 있다.

IT 투자 대비 정보보호 투자, IT 인력 대비 정보보호 전담 인력, 관련인증 취득사항 등을 상장법인 공시 등에 포함해 기업이 공시할 수 있도록 하는 정보보호 공시 근거규정도 마련됐다.

이 법 제정으로 ‘사이버방위산업’이자 ‘미래 신성장산업’인 정보보호 산업이 선순환 구조로 전환하기 위한 제도적 기반이 마련됐다는 평가가 나왔다.

이날 산업계를 대표해 토론자로 나온 홍기융 시큐브 대표 역시 “정보보호산업진흥법이 제정된 것은 정보보호산업계의 오래된 숙원사업이 해결된 것이라고 평가할 수 있다. 가장 중요한 것은 생태계가 선순환 발전할 수 있는 구조로 조성될 수 있는 큰 계기가 됐다”고 기대를 나타냈다. 그는 “의미있는 내용이 조항에 담겨있다”며 “이제는 어떻게 실행하느냐가 큰 숙제”라고 지적했다.

이를 위해서 필요한 점으로 홍 대표는 가장 먼저 “정보화추진 예산이 독자적 분리돼 얼만큼 실행됐는지 알 수 있어야 한다”며 “이 법으로 정보보호 예산을 분리할 수 있는 기반을 마련했고, 공공은 물론 민간 부분 정보보호 수준을 진정으로 향상시킬 기틀이 마련됐다는 점에서 의미있다”고 말했다.

이민수 한국통신인터넷기술 대표 역시 “일회성 법이 아니라 지속적으로 배양해야 한다”며 “정부가 발주자들의 실천의지를 높이는 것이 중요하다”고 강조했다. 이 대표는 “지속적인 모니터링과 개선 권고가 필요한데, 시행령에 이를 담은 것은 높이 평가할만하다”고도 했다.

그는 정보보호 서비스 적정대가 산정 관련 이행 중요성을 특히 강조하면서 “예산소관부처인 기획재정부 예산편성지침에 꼭 반영돼야 한다. 이를 반영하지 못한다면 의미없는 법이 되고 말 것”이라며 “공공기관 등에서 정보보호 대가를 현실화하면 품질이 향상되고 산업 경쟁력도 높아질 수 있다”고 제시했다.

이경호 고려대 정보보호대학원 교수는 “그동안 정보보호 제품은 그 특징이 발견되지 못했다. 정보보호 분류를 보면 항상 소프트웨어 아래, IT 아래에 있다. 국방분야에서도 비무기체계 아래 비품 항목에 정보보호가 잡힌다. 산업의 본질과 핵심역량을 인정받지 못했다. 산업군이 작았던 탓”이라며 “정보보호산업진흥법 제정으로 드디어 균형점을 찾았다”고 평가했다.

이 교수는 “이제는 정부입찰 참여시 정보보호 제품은 소프트웨어산업진흥법이 아니라 이 법의 적용을 받을 것이다. 제10조 정보보호 제품 및 정보보호서비스 대가 조항이 있으며 시행령과 시행규칙에 표준계약서를 작성하라고 돼 있다. 공공기관에서도 이를 이해하고 맞춰줘야 한다. 일부 예산이 추가 발생하겠지만 고리가 맞춰지고 선순환 구조가 생길 것”이라고 전망했다.

그는 “정보보호는 이제 ICT뿐 아니라 모든 기술 기반에 다 들어간다. 대한민국 사업에 거름 역할을 하기 때문에 육성될 때까지 끊임없는 사이클로 발전시켜야 한다”는 점도 강조했다.

정보보호 제품·정보보호서비스 대가, 구매수요정보 제공, 정보보호 공시 등을 보다 실효성 있게 운영할 수 있도록 지속적인 산업계'수요자들의 노력과 정부의 지속적인 관리와 지원이 필요하다는 점을 강조했다. 이밖에도 정보보호제품 성능평가와 정보보호서비스전문업체 지정, 정보보호 준비도 평가 등 시행에 있어 자칫 역기능이 생기거나 잘못 악용오용되지 않도록 세심한 노력을 기울일 것을 당부했다.

이준호 네이버 최고정보보호책임자(CISO)는 “정보보호공시제도는 CISO가 주관할 수 없다. 다만 확인만 할 수 있을 것이고 기업의 최고재무책임자(CFO)가 주관한다. 이를 위한 별도의 시스템이 필요하지 않을 것으로 보인다. 또 정보보호 공시에서 IT 인력 대비 정보보호 인력과 투자 등을 하도록 돼 있는데 네이버의 경우 관점에 따라서는 전체 인력이 IT인력이 될 수도 있기 때문에 정보보호에 많은 비용을 투자함에도 그 비중이 작게 보일 수 있게 된다. 비슷한 IT기업이 많이 있으니 세심한 배려가 필요하다”고 말했다.

미래부는 이번 공청회에서 제시된 의견 등을 반영, 시행령·시행규칙안을 수정·보완하고 규제심사 등의 입법절차를 거쳐 법률 시행 시기에 맞춰 시행령·시행규칙을 공포·시행할 예정이다.

이날 토론회에는 정준현 단국대 교수가 좌장을 맡아 진행됐다. 박춘식 서울여대 정보보호학과 교수와 이경호 고려대 정보보호대학원 교수, 정경오 법무법인 한중 변호사, 홍기융 시큐브 대표, 이민수 한국통신기술 대표, 이준호 네이버 CISO, 손경호 한국인터넷진흥원 보안산업단장, 홍진배 미래창조과학부 정보보호기획과장이 토론자로 참석했다.

<이유지 기자>yjlee@ddaily.co.kr

* 이날 공청회 패널토의 내용은 <이유지기자의 블로그(http://yjlee.delighit.net/)>에서 볼 수 있습니다. 기사에 다 담지 못한 전문가들의 의견을 확인할 수 있습니다.