실시간 뉴스



'정보보호 준비도 평가' 민간주도로 올해부터 시행


강제성 없고 인센티브로 참여 유도할 계획

[김국배기자] 기업의 정보보호 수준 향상을 위한 '정보보호 준비도 평가'가 올해 말부터 민간 주도로 시행된다.

정보보호 준비도 평가는 보안투자 비율과 인력·조직 확충, 개인정보보호, 법규준수 등 기업의 보안역량 강화를 위해 정보보호 준비 수준(Readiness)을 평가해 준비 등급을 부여하는 제도다. 최하등급 B부터 최고등급 AAA까지 다섯 단계로 구분된다.

미래창조과학부와 한국인터넷진흥원(KISA)은 제도의 등급모델과 평가기준 방법 등 초기 제도 설계만 지원한 뒤 민간에 이전해 자율적으로 도입·시행하도록 유도할 계획이다.

강성주 미래부 정보화전략국장은 지난 13일 오후 양재동 엘타워에서 열린 '정보보호 준비도 평가 기술설명회'에서 "이제 정보보호는 기업들에게 있어 중요한 아젠다"라며 "제도가 정착되면 정보보호산업에도 기여할 수 있을 것"이라고 기대했다.

◆ 정보보호 준비도 평가, 기존 제도들과 뭐가 다른가

정보보호 준비도 평가의 가장 큰 특징은 '강제성'이 없다는 점이다.

현재 시행되는 유사 제도인 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 개인정보보호인증제(PIPL)는 모두 정보통신망법이나 개인정보보호법 등 관련 법률에 근거를 둔 제도다. 의무대상자는 미 인증시 과태료가 부과된다.

기존 제도와 달리 영세 중소기업과 비IT 기업까지 대상을 넓히고 인증 과정을 경량화시켜 '정보보호 사각지대'를 해소할 수 있다는 것도 정부가 내세우는 부분이다. ISMS는 104개의 기준으로 평가하는 반면 정보보호 준비도 평가는 3분의 1 수준인 30개 기준으로 진행된다.

이를 통해 기존 제도가 평가기간이 길고 전문 인력이 필요했던 것과 달리 짦은 기간에 적은 인력으로 평가할 수 있어 기업 부담을 완화할 수 있다는 것. 평가 비용도 기존 제도보다 저렴하게 책정될 전망이다.

한국인터넷진흥원 지상호 정보보호관리팀장은 "ISMS 인증은 법에 의해 의무 대상이 정해져 있고 인증을 받지 않으면 과태료를 물게 돼 있다"며 "의무 대상도 굉장히 제한적이라 대상 기업이 500개가 채 안 된다"고 설명했다.

그는 또한 "ISMS 인증은 5명 이상의 심사위원을 투입해 5일 이상의 심사기간이 소요되지만 새로운 제도는 심사원 2명을 투입해 2일 정도면 마칠 수 있어 기업 입장에서 시간적으로 용이하다"고 덧붙였다.

정보보호 준비도 평가는 강제화하지 않는 대신 기업이 자발적으로 참여할 수 있도록 인센티브를 부여하게 된다.

검토 중인 인센티브 방안은 기업의 관련 시설·제품 투자비용에 대한 세액공제 확대, 신규채용 인력의 인건비 보조 등 민간과 공공에 대한 정보보호 지원을 강화하는 것이다. 또 미래부 산하기관 입찰 시 가점 등을 줘 등급 취득 기업을 우대한다.

기존 제도들과 중복 규제가 아니냐는 지적에 대해서 지 팀장은 "두 제도는 중복 규제라기보다는 상호보완적인 관계로 운영될 계획"이라고 답했다.

한편 KISA는 '정보보호 준비도 평가 사업화 방안 연구' 용역을 발주했다. 오는 11월 이 사업이 종료되면 제도를 시행할 예정이다.

김국배기자 vermeer@inews24.com






alert

댓글 쓰기 제목 '정보보호 준비도 평가' 민간주도로 올해부터 시행

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스