지난해 7월 발의된 정보보호산업진흥법이 국회 본회의를 통과하면서 시행령, 시행규칙을 마련해 오는 12월23일부터 본격 시행된다. 사이버공격이 전 세계적인 안보위협으로까지 이어지고 있는 가운데 국내서 정보보호산업기반을 마련하고, 사이버방위산업이자 미래 신성장산업으로서 정보보호산업을 키우기 위한 법적 기반을 마련하기 위한 조치다.
15일 미래창조과학부는 '정보보호산업진흥법 하위법령 제정안' 공청회를 열고, 연말께 법 제정과 함께 공포될 예정인 시행령 및 시행규칙 등에 대한 의견을 수렴하는 시간을 가졌다.
미래부가 마련한 관련 법 시행령 및 시행규칙에서 새롭게 눈에 띄는 것은 정보보호공시제도를 도입한다는 것이다.(시행령 제6조) 상장기업들이 기업경영현황에 대한 분기별, 연도별 보고서를 내듯이 정보보호현황에 대한 내용을 공시해 사용자들이 믿고 쓸 수 있는 서비스를 제공한다는 방침이다.
미래부 정보보호정책과 홍진배 과장은 "정보통신망을 통해 정보를 제공하는 기업들이 자사 정보보호 투자나 인력현황, 정보보호 관련 인증 등에 대한 내용을 공개할 수 있게 한 것"이라며 "공시를 한 기업들에게는 정보보호관리체계(ISMS) 인증을 받기 위한 수수료를 30% 감면해 주는 혜택을 제공할 방침"이라고 밝혔다.
최고정보보호책임자(CISO) 주관 하에 최고경영자(CEO)의 확인을 거쳐 IT 투자 대비 정보보호 투자 비중이나 IT 인력 대비 정보보호 인력 비율, 등이 포함되도록 자율적을 공시하도록 하겠다는 것이다. 이를 위해 미래부는 상장기업의 경우 공시를 통해, 비상장기업은 별도 포털사이트를 통해 이러한 정보를 제공하도록 한다는 계획이다.
이와 관련 공청회에 참석한 법무법인 한중 정경오 변호사는 "정보보호공시의 경우 이를 통해 기업들의 투자 활성화를 유도할 수도 있지만 반대로 관련 투자나 인력이 적은 곳이 사이버공격의 표적이 될 수도 있지 않느냐"는 의견을 제시했다.
네이버 정보보호실 이준호 이사(CISO)는 "(상장기업입장에서는) 공시를 통해 나오는 보고서에서 관련 내용을 함께 넣으면 되기 때문에 별도로 포털사이트를 마련할 필요가 있냐"는 의견을 냈다.
한국정보보호학회 회장을 맡고 있는 서울여대 박춘식 교수는 "기업들의 자발적인 정보보호분야에 대한 투자를 이끌어내기 위해 보안현황 정보를 공개하는 것에 찬성하는 입장"이라고 밝혔다.
홍 과장은 "정보보호공시는 의무사항이 아니기 때문에 기업 입장에서 정보보호에 대한 투자수준이 낮은데도 굳이 공시할 필요는 없다"며 "정보를 잘 보호하고 있다는 점을 일반 사용자들에게 알리는 커뮤니케이션에 활용할 수 있게 한다는 취지"라고 설명했다.
이와 함께 도입되는 정보보호준비도평가 역시 자발적인 기업들의 참여를 유도하기 위한 방책이다. 시행령 제6조에서는 보안투자, 관리체계 등 기업의 정보보호 준비노력(readiness)을 평가해 등급을 부여하는 정보보호준비도평가를 수행할 수 있는 기관에 대한 등록요건을 규정하고 있다. 이에 따르면 평가전담기구 설치, 5명 이상 수행인력 확보, 준비도 평가기술보유를 등록요건으로 하고 있으며, 평가기관 등록 유효기간은 3년이다.
정보보호기업들은 또한 공공기관 구매수요를 예측해 기술개발, 생산, 판매 등을 계획할 수 있게 돕는 '구매수요정보'를 매년 2회 가량 제공받을 수 있게 된다. 공공기관에는 공공기관운영법상 공공기관, 지방공사 및 공단, 각급학교 등이 포함된다.
그동안 공공기관이 발주하는 정보보호제품/서비스의 경우 기관의 상황에 따라 수요를 예측하기 어려운 탓에 새로운 제품, 서비스 개발에 어려움을 겪는 경우가 많았다. 미래부에 따르면 시행령을 통해 10월31일에 다음해에 예정된 구매수요정보를, 해당 연도에 확정된 구매수요정보는 3월31일에 제공하도록 했다.(시행령 제4조)
그동안 가장 중요한 사안 중 하나였던 정보보호제품 및 정보보호서비스의 대가 산정에 대해서는 매년 관련 제품, 서비스에 대한 대가 기준 조사를 실시해 유지관리비와 별도로 사후 대응 중심 정보보호 제품, 서비스의 특성을 고려해 보안성 지속 서비스에 대한 적정 대가를 지급하도록 한다는 방침이다. 이를 위해 적정대가기준이 반영된 표준계약서 사용이 권고되며, 민관 모니터링 조사도 진행된다.
예를들어 일반SW의 경우 유지관리는 제품자체결함에 대한 조치가 대부분이지만 보안제품이나 서비스의 경우 악성코드 분석, 보안업데이트, 보안정책관리, 침해사고조사 등 사후대응이 핵심이라는 설명이다.
고려대 정보보호대학원 이경호 교수는 "일반 소프트웨어는 개발, 구축, 납품 등 라이프사이클에서 핵심 개발자를 통해 완성도 높은 제품을 만들어내는데 핵심 역량이 모인다면 보안제품(혹은 서비스)은 납품 전 단계도 중요하지만 그 이후부터 사고대응이나 모니터링 등에 진짜 비용이 들게된다"며 "때문에 표준계약서를 통해 유지관리비와 별도로 정보보호 제품 및 서비스 특성을 고려한 비용을 산정한다는 취지에 동의한다"고 밝혔다.
관련기사
- 정보보호산업진흥법 제정, 12월 시행2015.09.15
- 정보보호서비스, 제값 받기 가이드 공개2015.09.15
- 정보보호산업진흥법, 국회 본회의 통과2015.09.15
- 지속성장 맞춤형 AI 거버넌스 구축 '선택 아닌 필수'2024.04.30
이밖에도 시행령 및 시행규칙은 5년마다 정보보호산업 진흥계획을 수립해 기술개발, 전문인력 양성, 융합 신시장 창출, 해외진출 지원 등을 추진한다는 계획 등이 포함됐다.
미래부는 오는 10월7일까지 정보보호산업진흥법 시행령 및 시행세칙에 대한 입법예고를 한 뒤, 공청회와 규제 및 법제처 심사 등을 거쳐 오는 12월23일께 최종 공포할 계획이다.
