입추를 지나더니 갑자기 날이 선선해 졌다. 막바지 여름휴가를 가시려는 분들의 마음이 바쁠 것 같다. 요즘은 휴가지부터 교통수단, 볼거리, 먹을거리 등 온갖 필요한 정보를 웹 사이트, 앱, 여행 서적 등 다양한 곳에서 수집한다. 여러 이름이 붙어 있지만, 결국 일종의 안내서들이다. 국어사전에서는 안내서란 ‘어떤 내용을 소개하며 알려 주는 책이나 글’이라고 정의한다.

보안 분야에도 안내서(가이드, 해설서, 권고, 지침)가 있다. 2016년 2월부터 2017년 8월까지 한국인터넷진흥원(KISA)의 자료실에 ‘기술안내서 가이드’로 분류돼 올라온 자료가 90개나 된다. 전통적인 네트워크 보안, 서버 보안, 개발 보안, 서비스 보안뿐 아니라 사물인터넷과 클라우드 서비스, 스마트공장의 정보보호, 유럽의 ‘일반 개인정보 보호법’(GDPR)에 이르기까지 많은 분야를 포괄하고 있다. 여기에 올라와 있지 않은 것까지 고려하면 그 수는 훨씬 더 늘어날 것이다.

이러한 안내서는 기업이 보안 문제를 이해하고 대응하는 데 큰 도움이 돼 왔다. 이 지면을 빌어 각종 보안 안내서를 통해 우리 사회의 보안 수준을 높이는 데 기여해 온 인터넷진흥원 임직원을 비롯한 산-학-연-관의 많은 분들께 감사의 말씀을 전한다.

최근에 나온 안내서 중 ‘정보보호 공시 가이드라인’(2016.8. 과기정통부)이 있다. 2015년 제정된 정보보호산업진흥법 제13조(정보보호 공시)에서는 적용되는 사업자의 범위와 공시에 따른 혜택을 명시했고, 시행령 제8조(정보보호 공시의 방법 등)에서는 정보보호최고책임자(CISO)가 주관하고 CEO의 확인을 거쳐 IT부문 대비 정보보호부문의 투자 및 전담인력 현황, 정보보호 관련 인증, 이용자 정보 보호를 위한 활동 등 정보보호 현황을 공시할 것을 규정했다.

이에 근거해 ‘가이드라인‘에서는 공시할 개별 항목과 계산식, ‘간주투자’와 같은 공시 내용의 세부사항까지 정의했다. 공시 절차 또한 구체화했는데, 사업자는 작성한 정보보호 현황을 회계법인 또는 정보시스템감리법인의 검증을 받아서 과기정통부가 운영하는 전자공시시스템(ISDS)이나 한국거래소가 운영하는 전자공시시스템(KIND)에 공시할 수 있도록 했다.

작년 8월부터 올해 7월까지 1년 동안 ISDS에 등록한 기업은 모두 6개에 불과하다. 작년 말 시범사업 때 두 기업이 등록했고, 올해 5월에 4개 통신사가 한꺼번에 등록했다. 공시 실적이 저조하자 이걸 법적 의무로 한 개정안이 제출되는 등 강제하려는 움직임도 있다.

ISDS에서는 정보보호 공시를 ‘이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화’를 위한 제도로 설명해 놓았다. 이 제도의 근거법인 정보보호산업진흥법의 취지를 고려하면 이를 통해 정보보호산업을 육성하겠다는 취지로 읽힌다. 하지만 이 제도가 취지에 맞는지는 의문의 여지가 있다. 예를 들어 정보보호 공시제도가 정보보호산업의 육성까지 이르기 위해서는 다음 단계를 성공적으로 거쳐야 할 것이다.

(1) 다수 정보통신서비스 사업자가 정보보호 공시시스템에 등록
(2) 다수 투자자 또는 이용자가 정보보호 공시사항을 기준으로 투자 또는 서비스 선택
(3) 투자자 또는 이용자의 이러한 행동을 다수 정보통신서비스 사업자의 경영진이 기회 또는 위험으로 판단
(4) 다수 정보통신서비스 사업자의 정보보호 투자비 증대
(5) 다수 정보통신서비스 사업자가 국내 정보보호산업의 제품 및 서비스 구매
(6) 국내 정보보호산업의 진흥

정보보호 공시제도가 국내 정보보호산업이 진흥하는 데 기여하려면 (1)에서 (5)까지 성공적으로 이뤄져야 한다. (5)에 이르러서야 정보보호산업의 매출이 증가하기 때문이다. 쉽지 않은 일이다. 그런데 공시시스템에 등록하는 (1)에서 이미 매출이 증가하는 기업들이 있다. 바로 회계법인과 정보시스템감리법인이다. 일정 규모가 있는 기업들이 공시한다고 가정하면 상장법인을 고객으로 둔 회계법인이 이 제도의 가장 큰 수혜자가 되지 않을까 싶다. 정보보호산업진흥법이 아니라 회계산업진흥법 같다는 우스갯소리가 나올 만도 하다.

법령의 취지대로 한다면 기업이 책임지고 공시 내용을 검증해 공시시스템에 등록하고, 여기에 허위사실이 발견됐을 경우에 책임을 지도록 하는 방법을 선택할 수도 있다. 최소한 정보보호 전문기업에서 검증보고서를 작성할 수 있도록 해야 정보보호산업진흥법 취지에 맞을 것 같다.

좀 더 들여다보면 공시 기업에 적지 않은 비용이 발생하는 절차를 가이드라인에서 강제하는 것 자체가 적절해 보이지 않는다. 사실 거의 법처럼 통용되는 ‘고시’도 원래 법적 효력이 없는 행정규칙이지만, 법령의 직접적 위임에 따른 구체적 시행사항 규정 등 요건에 맞아야 법적 효력이 발생하는데(헌법재판소 1992.6.26. 선고 91헌마25, 대법원 1999.11.26, 97누13474), 가이드라인은 제 아무리 변신해도 법적 효력을 갖기는 어렵다.

우리나라는 정보통신망법, 개인정보보호법, 전자금융거래법, 신용정보법, 정보통신기반보호법 등 세세한 규제와 강력한 제재를 특징으로 하는 정보보호 관련법을 갖고 있다. 게다가 하나의 법에는 그에 따른 시행령, 시행규칙, 고시, 앞서 언급한 각종 안내서에 이르기까지 규제가 정말 방대하다. 심지어 안내서도 거의 법처럼 여겨진다. 우리나라 사업자들 중 정부에서도 발간한 문서를 가볍게 볼 수 있는 기업은 거의 없기 때문이다.

보안처럼 정부의 영향력이 막강한 분야에서는 더욱 그렇다. 정보보호 공시의 범위, 절차 등 사업자의 의무가 발생하는 사항은 법령과 그 직접적 위임을 받은 법규 체계 내에서 신중하게 다뤄져야 하는 이유다. 이참에 안내서, 가이드, 해설서, 권고, 지침 등의 이름으로 발행된 보안 분야의 문서들이 본래의 역할에만 충실하도록 정부가 앞장서서 정리해 주면 좋겠다.

글 강은성(CISO Lab 대표)