[뉴스토마토 류석기자] 미래창조과학부가 추진하고 있는 '정보보호 준비도 평가'가 우리나라 기업들의 정보보호 수준을 한 단계 끌어올릴 수 있는 대안으로 주목받고 있는 가운데, 업계와 제도를 운영하는 민간 기관에서는 제도가 활성화되기 위해서는 평가 후 기업이 받을 수 있는 혜택이 중요하다고 강조하고 있다.

 

정보보호 준비도 평가란 기업의 정보보호 역량 강화를 위한 노력과 준비 수준을 민간 평가기관이 측정하고, 결과에 따라 등급을 부여하는 제도를 말한다. 기존 '정보보호 관리체계(ISMS)' 인증은 일정 기준 이상의 기업에게만 의무를 부여하고 있어, 소규모 업체들은 참여하지 않았다.

 

이러한 이유로 소규모 기업들 경우 정보보호의 사각지대에 놓일 수 밖에 없었다. 이 같은 부작용들을 보완하기 위해 정부에서 ISMS와는 다른 정보보호 준비도 평가를 추진하게 된 것이다.

 

이 제도는 민간이 주도하는 것으로 기업의 정보보호 수준을 직접 들여다보고 평가하는 심사기관, 심사 결과에 따라 기업의 정보보호 수준의 등급을 부여하는 운영기관으로 분리돼 운영된다. 또 ISMS와 비교해 평가 기준이 다소 간소화 돼 평가에 들어가는 비용이 3분의 1정도로 줄어들었다는 차별 점이 있다.

 

 

15일 미래부는 정보보호 준비도 평가를 올해 안에 본격 시행되도록 할 계획이다. 현재 정보보호 준비도 평가 운영기관과 심사 기관은 공모를 통해 선정이 완료된 상태이며, 선정된 민간 기관에서는 서비스 시작을 위한 막바지 준비가 한창이다.

 

이번 평가기관 선정 공모에서는 컨설팅 업체 2곳과 정보·방송·통신 관련 기업들이 모여 설립한 민간협회인 한국정보방송통신대연합(ICT대연합) 등 총 3곳이 참여했다.

 

미래부가 마련한 별도의 선정 기준에 따라 심사기관 3곳과 컨소시엄을 구성해 참여한 ICT대연합이 평가 운영기관으로 선정됐다. 직접 민간 기업을 상대로 심사를 하는 기관으로는 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT), 한국침해사고대응협의회(CONCERT) 등 3곳으로 정해졌다.

 

ICT대연합은 본격 제도 시행에 앞서 시범서비스를 실시한다. 현재 시범서비스에 평가 대상으로 참여할 민간기관 3곳이 정해졌으며, 심사기관 세 곳이 각각 한 민간 기관을 맡아 평가를 진행할 예정이다. 시범평가를 통해 나온 결과를 바탕으로 평가 제도를 더욱 보완하고, 각계각층의 의견을 수렴하는 과정을 거칠 예정이다.

 

김민천 ICT대연합 정책연구본부 차장은 "현재 ICT대연합 자체적으로 정보보호 준비도 평가를 받는 기업이 받을 수 있는 혜택에 대해 논의를 진행하고 있으며, 향후 미래부 등 관련 기관과도 혜택에 대한 협의를 거쳐 정보보호 준비도 평가가 활성화 될 수 있도록 하겠다"라고 밝혔다.

 

 

정보보호 준비도 평가는 민간의 자율에 맡기는 평가제도다. 평가를 받지 않았을 경우 기업이 받는 불이익은 없다. 받고 싶은 기업만 참여해 자사의 정보보호 수준에 대한 평가를 받도록 하는 것. 이에 따라 제도 시행 초기에는 정보보호 준비도 평가를 받았을 경우 얻을 수 있는 기업의 혜택이 어느 정도이냐에 따라 활성화 여부가 갈릴 전망이다.

 

한 보안컨설팅업체 관계자는 "아무 혜택도 없고, 법적 강제 의무도 없는 준비도 평가를 돈을 들여 받을 기업이 얼마나 것이며, 평가 수요가 없는 상황에서 제도를 운영하는 민간기관도 얼마나 있을지 의문"이라고 말했다.

 

미래부는 정보보호 준비 평가 등급을 획득한 기업들에게 다양한 인센티브를 부여한다는 계획이다. 정보보호에 자신 있는 기업들은 정보보호 준비도 평가를 받고, 이를 바탕으로 공시 등을 통해 홍보할 수 있도록 하는 방안을 검토 중이다. 또 기획재정부 등 관련 기관과의 협의를 통해 세제감면, 공공사업 입찰 시 우대하는 등의 혜택을 주는 방안도 고려되고 있다.

 

지상호 한국인터넷진흥원(KISA) 정보보호관리팀장은 "제도 시행을 앞두고 향후 평가를 받은 기업들이 얻을 수 있는 혜택의 세부 내용들이 나올 예정이고, 또 정부차원에서 기업들에게 혜택을 줄 수 있는 법적 규정도 마련된 상황"이라며 "세부 계획이 정해지고 나면, 많은 기업들이 평가에 참여해 제도가 활성화 될 수 있을 것"이라고 말했다.

 

이지형 미래부 정보보호정책과 사무관은 "정보보호 준비도 평가는 기술 이전 후에는 민간이 주도해 활성화시키는 것이 기본 원칙"이라며 "다만 정부에서는 활성화 하는데 도움을 주기 위해, 평가를 받은 기업에게 주는 효과적인 인센티브에 대해 고민 중"이라고 설명했다.