[IT 전문 블로그 미디어=딜라이트닷넷]

오는 12월 23일 시행하는 ‘정보보호산업의 진흥에 관한 법률(정보보호산업진흥법)’ 하위법령 제정안 공청회가 15일 삼성동 코엑스에서 열렸다.

미래창조과학부는 지난 6월 제정된 정보보호산업진흥법은 시행을 앞두고 후속작업에 박차를 가하고 있다. 이 법 하위법령인 시행령과 시행규칙 제정안을 마련해 지난달 28일부터 입법예고에 들어갔다. 이번 공청회도 관련 의견을 수렴하기 위해 마련한 자리다.

이날 토론회에는 정준현 단국대 교수가 좌장을 맡았으며, 박춘식 서울여대 정보보호학과 교수와 이경호 고려대 정보보호대학원 교수, 정경오 법무법인 한중 변호사, 홍기융 시큐브 대표, 이민수 한국통신기술 대표, 이준호 네이버 최고정보보호책임자(CISO), 손경호 한국인터넷진흥원 보안산업단장, 홍진배 미래창조과학부 정보보호기획과장이 토론자로 참석했다.

이날 공청회 관련기사에 미처 담지 못한 전문가들의 의견과 토론 내용을 거의 그대로 싣는다. (관련기사 “정보보호 투자 선순환 기반 마련…이젠 실행이 중요” 전문가들 한목소리)

<박춘식 서울여대 정보보호학과 교수> 



법률이 만들어졌다고 해서 산업이 진흥되고 인력이 양성되나. 정보보호 산업진흥 기반 정도를 마련했다고 평가하고 싶다. 지금부터 많은 분들이 같이 노력해야 한다. 후속작업 시행령 마련돼 공청회 갖는 것 큰 의미있다.
법 제정과정에서 진흥 위한 별도 기금이 삭제된 점, 산·학·연 공동 연구센터 조항이 삭제되고 전문인력 양성 조항이 축소돼 아쉬운 점은 있다. 앞으로 개선됐으면 하는 바람이 있다.

시행령 제10조 전문인력 인력양성기관 지정 등 조항과 관련해 전문교수 요원의 자격이 정해 질적 저하를 최소화하기 위한 방편이 필요하다. 전문인력 양성에서 전문교수 요원의 역할이 중요하기 때문이다. 교육생 관리 인력으로 4인 이상 확보하도록 돼 있는데 나름 이유가 있겠지만 관리인력 4명 이상이면 불편할 수 있다. 근거와 필요성이 같이 얘기돼야 할 것이다. 시행규칙 제5조 전문인력 관리시스템 등록된 전문인력을 국가가 지원하도록 한 것은 아주 잘 돼 있다.

<이경호 고려대 정보보호대학원 교수>


정보보호산업진흥법 제정은 축하받을 일이다. 인류역사에서 부와 힘의 원천이 어디있는가는 계속 달라졌다. 이전에는 농경자본이었다. 이 시대의 원천은 정보다. 정보를 어떻게 잘 유지하고 지키는 것이 경쟁력을 높이는 길이다. 국가의 부도 이런 것에서 생긴다. 이번에 산업 관련 법률이 제정된 것 의미가 크다. 산업을 진흥하기로 약속한 것이다.

정보보호는 ICT뿐 아니라 기술기반 다 들어간다. 대한민국 기술기반 사업에 거름 역할을 한다. 한 번 주고 끝나는 것 아니라 육성될 때까지 끊임없는 사이클로 발전시켜야 한다. 유지보수 대가기준 거의 7년간 얘기해 왔다. 소프트웨어 대가로 7.8%에서 15%까지 올려야 한다고 했다. 정부를 설득하고 기재부 설득하고 많은 노력했지만 안됐다. 정보보호 제품의 특징이 발현되지 못하고 불균형 상태에 있었다. 산업 분류에 있어서도 정보보호는 소프트웨어 아래 IT 아래 있다. 비무기체계 아래 비품 항목에 정보보호 잡혀있다. 본질 산업 핵심역량 인정받지 못했다. 그동안 산업군도 작았다. 10조 이상 산업이 안됐다. 때문에 역할 표현 못하고 있다가 드디어 균형점 찾았다.



다른 법률과의 관계에서 앞으로 특별한 규정을 제외하고 정보보호산업에 해당할 경우 이 법 적용받는다. 정보보호 소프트웨어 개발할 때, 정부입찰 참여할 때 정보보호 제품으로 선언 안하면 소프트웨어산업진흥법 적용될 것이다. 이 법이 효과가 있을 것이다.

정보보호 산업은 소프트웨어 산업과 왜 구분해야 하느냐. 개발, 납품, 구축, 유지보수로 이어지는 소프트웨어 라이프사이클에서 일반 소프트웨어는 개발 단계에 핵심 역량 모아진다. 우수한 개발인력이 제품 개발에 투입하고 역량을 집중해 우수한 제품 개발해야 한다. 정보보호는 우수한 제품 납품했다고 해도 납품 후 검수받은 날부터 새로운 공격이 나온다. 좋은 소프트웨어 되려면 좋은 개발자를 투입해 완성도 높은 제품을 개발해 납품하지만, 정보보호 제품은 이후에 악성코드 업그레이드를 해야 한다. 지금은 제품 납품 계약으로 끝난다. 고객 원하는 니즈는 납품 이후에 발생하는데, 계약 구조는 납품에 국한돼 있다. 이해관계 완전히 어긋나 있는 것이다. 그래서 유지보수 대가가 중요하다.



이 부분을 맞춰내는 방법은 여러 가지가 있다. 기존에는 소프트웨어산업진흥법 지배 받아 기존과 차별화 어려웠다. 정보보호산업진흥법에 유지보수와 정보보호 서비스 관련해 제10조 정보보호 제품 및 정보보호 서비스 대가를 넣었다.


정보보호기업은 정보보호 제품이라 선언하고 그 틀에 넣어야 한다. 또 시행령, 시행규칙에 표준계약서를 작성하라고 돼 있다. 공공기관도 이 특성 이해하고 맞춰줘야 한다. 일부 추가 예산이 발생할 것이지만 전체적인 역량에 있어 보장받을 수 있다. 고리가 맞춰지고 선순환 구조가 생길 것이다.


다음은 하도급 이슈다. 소프트웨어(SW)산업진흥법에도 하도급 승인을 받도록 돼 있다. SW산업진흥법은 대기업 참여제한 더 강화되는 방향으로 개정된다. 사업자 입장에서는 SW로 선언하면 SW진흥법 규제를 받는다. SW사업자등록증 제시하게 돼 있다. 정보보호 산업으로 지정할 경우에는 정보보호산업진흥법을 따른다. 여기에서 하도급 승인 방식에 고민을 가질 수 있다. 유통을 책임질 수 있는 규모 있는 정보보호 기업은 대기업 참여제한을 원할 수 있다. 반면에 유통구조나 영업력 미천한 스타트업이나 소규모, 중규모 중 작은 곳은 대기업을 통해 납품을 원할 수 있다. 잘 조율해 이 조항이 마련됐으니 앞으로 시장 변화 보면서 개정해나가는 노력이 필요하다.


정보보호 준비도 평가 부분이다. 정보보호 예산과 인력을 노출할 경우 인센티브 주게 돼 있다. 대기업은 잘하고 있을 수 있다. 문제는 중견중소기업이다. 이 정보보호 준비도 등급제도를 면죄부 주는 형태로 접근돼서는 곤란하다. 준비도 기준 자체가 소송 발생시 형사적 근거로 남으면 곤란하다.
평가기관 지정은 엄격하고 과학적 접근이 필요하다. 평가를 기반으로 전체 조율도 할 수 있고 발전할 수 있는 관리노력이 필요하다. 중견중소기업 경우 보안상태가 허술하다. 90%의 기업이 개인정보보호 투자를 하지 않고 있는 상태에서 기준 너무 높아도 낮아도 문제다. 법적기준 영향을 줄 수 있는 적정수준이 필요하다.


수출진흥 부분. 산업 진흥을 이루려면 시장이 넓어져야 한다. 결국 해외로 나가야 한다. 정보보호 특성 자체가 우리보다 더 나은 우수 기업이 해외에 있으면 시장 장악이 어렵다. 우리가 잘 할 수 있는 곳에 안착해야 한다. 국가를 전략적으로 접근하거나 국가간 이해가 필요하다. 양쪽 정부간 인프라를 만드는 것도 방법인다. 이를 위해 정부와 기업, 비영리단체 및 민간기구 협력 안되면 해외수출 지속되기 쉽지 않다. 양쪽 협약 맺는 등 필요하다. FTA 협약 반영 노력 추가된다면 산업진흥에 도움될 것이다.
<정경오 법무법인 한중 변호사>



정보보호 공시제도와 관련해 구체적으로 공시할 내용이 열거돼 있다. 정보기술부문 투자 대비 정보보호 투자현황, 인력 역시 마찬가지다. 투자 인력이 적은 곳이 표적될 수 있다. 기업의 투자 현황, 보안 관련 투자 현황을 너무 세밀하게 공시하게 되면 해커 표적이 될 우려가 있다. 이 부분은 공시 내용을 제공받을 수 있는 별도의 방법이 있으면 보완했으면 한다.


정보보호진흥계획 5년 주기로 수립하게 돼 있는데 너무 기간이 긴 것이 아닌가 한다. 성능평가시험제도 부분은 소프트웨어진흥법 기존 품질인증 받은 경우나 평가시험 거친 경우 재활용할 수 있게 시행령 돼 있다. 그 내용이 없다.


하도급 승인 부문은 아쉽다. SW산업진흥법은 최근 좀 더 구체적으로 개정했다. 다단계 하도급 비율 50% 초과하지 못하도록 재하도급을 금지하는 것으로 개정했다. 이 부분 법률 반영했으면 하는데 아쉽다.

<좌장 정준현 단국대 교수>



정보보호 공시는 신중할 필요 있다. 일반 기업의 공시 내용을 보고 기업 영업비밀 침해받는 문제와 관련한 행정심판이 진행되는 사례도 있다. 정보보호 공시방법을 좀 더 세부적으로 다듬을 필요가 있다.

<홍기융 시큐브 대표>



법 제정된 것은 우리나라 정보보호산업계의 오래된 숙원사업이 해결된 것이라고 평가할 수 있다. 개인적으로 30여년 이 분야에서 몸담고 정보보호 기술 분야가 산업으로 성장하는 과정을 봤고 법제도 입안 기여하면서 살아왔다고 자부한다. 가장 중요한 것은 생태계가 선순환 발전할 수 있도록 조성이 되느냐에 있다.

우리나라는 정보화가 추진, 촉진되면서 역기능 막자, 첨단 범죄로부터 막아보자 차원에서 사회 전면에 정보보호가 등장했다. 산업으로 성장할 수 있는 생태계 조성돼 있나 하는 부분에서 많은 분들이 아직 생태계 조성된 것 같지 않다고 한다. 스스로 성장해야 하고 자생력 갖기 까지는 정부의 지원도 필요하다. 글로벌 경쟁력 갖고 유명한 기업으로 성장한 기업이 나타나야 하는데, 이번에 생태계 조성이 선순환 구조로 조성될 수 있는 큰 계기가 됐다. 법도 제정되고 좋은 환경 조성된다. 기쁜 한 해다. 법 조항에 의미있는 내용 담겨있다. 어떻게 실행하느냐가 큰 숙제다.



법에 정보보호 산업에 대한 체계적인 진흥계획 수립 내용이 담겨있다. 그동안에도 정보보호 발전 5개년 계획을 발표하고 이를 시행하기 위해 정부가 많은 노력을 했다. 실효적인 정보보호 대책이 되기 위해서는 업계 바라는 정보화 추진 예산 대비 정보보호 예산이 독자적 분리돼 얼마만큼 실행됐는지 알 수 있는 게 필요하다. 정보보호 예산을 분리할 수 있는 기반을 마련했다. 공공은 물론 민간 부분 정보보호 수준을 진정으로 향상시킬 수 있는 기틀이 마련됐다는 점에서 의미있다.


정보보호 구매수요정보를 제공한다는 것은 정보보호 산업계 너무나 환경할만한 일이다. 공공기관에서 기존에 수요예보 발표. 국회 예산 전후 대략의 가이드라인 제시했는데 법에 의해 규정 마련돼 있다는 것은 미래부에서 많은 노력을 벌인 결과다. 수요예측이 가능한 산업분야로 발전할 수 있다는 것이 중요한 조항이다.


정보보호서비스 대가규정 역시 마찬가지다. 관련법이 제정된 것은 그동안 정보보호 대가가 적정하지 못했다는 것을 반증한다. 선순환적 보안 산업계 발전을 위해서는 너무나 필요한 법제도적 장치다. 적정대가가 산정돼야 한다.


그동안 해킹사고 대규모 일어났고 전세계 개인정보 유출사고가 일어났다. 홀수년도를 조심해야 한다고 할 정도로 대형사고가 늘 있었다. 그 반면에 정보보호 관련 예산 투입이나 발전속도는 그에 비해 미진하지 않았나. 속도도 느리지 않았나. 내수시장이 전부는 아니지만 내수시장 침체 요소 해결해나가는 데 있어 법 제정이 중요 기틀을 마련해주고 있다.


성능평가는 보안 선진국가에서 중요한 전략 요소다. 정부가 산업을 무조건 보호하는 식으로만 포지셔닝할 수 없다. 국내 산업을 전략적으로 육성, 보호해야 한다. 또한 국제 사회 대등한 입장에서 경쟁할 수 있는 토양을 마련해야 한다. 각종 인증제도가 이미 있다. 힘든 과정이 하나 더 생기는 것 아니냐고 할 수 있지만 대등한 글로벌 경쟁력 수립 측면에서 중요하다.


정보보호시스템이란 말은 정보화촉진기본법 90년대 중반 법에 최초로 명시됐다. 이 법에 정보보호시스템 성능과 신뢰도에 대한 기준을 고시했다. 인터넷진흥원에서 평가기준을 고시하고 정보보호제품 평가인증을 고시한다. 20년 전에 기틀 잡힌 부분인데 성능평가는 일반적으로 업계에서 생각할 때 세세한 기능 유무를 따지기 보다는 기능 속도에 대한 가이드라인 측면에서 진행되는 것이 바람직하다. 국제사회에서 충분히 경쟁할 기틀 마련하는 것이 진정으로 정보보호산업이 발전하는 기반이 될 것이다.


구매수요정보는 제품이나 금액, 그리고 언제 투자할 것인지에 해당하는 시기가 중요하다. 정보보호는 제품과 서비스, 보안관제 컨설팅 등 다양한 분야 존재한다. 계약 체결시 요구사항 분석 적용 어떻게 할지 기준을 정할 때 업계의 요구가 반영될 수 있길 바란다.
국내에서 정보보호 컨설팅과 관제서비스, 제품이 적정 정보보호서비스 대가를 받고 글로벌 경쟁력 갖추고 우수한 제품이 많이 배출 수 있도록 정부와 학계 연구기관의 많은 관심과 격려 속에서 산업계가 진정 도약할 수 있길 기원한다.

<이민수 한국통신인터넷기술 대표>



일회성보다는 지속적으로 배양해야 한다. 정보보호서비스 적정대가 산정 관련해 컨설팅과 보안관제 서비스 측면에서 얘기하겠다. 컨설턴트 교육을 수행해야 하고 취약점 분석센터, 취약성 분석장비도 운영하고 유지해야 한다. 이러한 여러 특성 때문에 맞는 제경비 기술료에 대한 추가 적용이 필수적이다.


보안관제는 365일 24시간 실시간 감시 분석 대응활동 해야 하는데도 불구하고 인건비 편성이 근로기준법에 근거하지 못해 야간과 주말 근로에 대한 적정 예산 반영을 못하고 있다. 이에 대해 산업협회에서 많은 노력하고 있다. 잘 반영되길 기대한다.

앞으로 정부 주도로 발주자들의 실천의지 높이는 것이 중요하다. 일회성 법을 만들거나 조치하는게 아니라 지속적인 모니터링과 개선 권고 등 모니터링이 필요하다. 시행령에 모니터링 부분이 들어간 것은 평가할 만하다. 예산소관부처인 기재부의 예산편성지침에 꼭 반영돼야 한다. 반영 못한다면 의미없는 법이 되고 만다.



정보보호 서비스 적정대가 산정되면 일자리 창출에도 영향을 미친다. 정부가 2만개 일자리 창출 기대하고 있지만 ICT 기술 발전 역기능으로 일자리는 오히려 감소한다. 미래학자들은 20년 후에 직업 수가 현재의 절반으로 감소한다고 한다. 미래 직업에서 절대 없어지지 않는 직업, 빠지지 않는 유망직업이 정보보호 전문가다. 정보보호산업 활성화 시켜야 아이들 취직자리 늘어난다. 우수인재가 유입되려면 기본 전제는 먹고 살고 돈 잘 버는 것이다. 정보보호 대가 현실화는 필수적이다. 공공기관 적정대가가 제공돼 품질 향상되면 산업 경쟁력이 높아질 것이다.


정보보호서비스전문업체 지정은 우수기술기업 지정에 관한 것과도 통한다. 인위적인 양극화 가능성을 염두에 둬야 한다. 이는 경쟁력 있는 기업과 아닌 기업을 나누는 기준이 아니다. 그럼에도 우수기술 기업으로 지정 받지 못한 곳과 받은 곳 양극화가 나타날 수 있다. 지속적 관리 이뤄지지 않는다면 그럴 수 있단 얘기다. 한 번 우수기술, 우수기업으로 지정되면 10년간 유지되고 다른 기업은 그 기간 우수 기술 기업 지정받지 못한다면 새로운 우수기업 나타날 수 있는 것이 차단된다.


2002년 정보보호컨설팅전문업체가 지정된 후 2014년에 추가지정이 있었다. 올해는 없었다. 미래부가 2017년까지 209개까지 늘리기 위해 정보통신기반시설을 100개 더 추가한다고 한다. 정보보호컨설팅 수요 확대가 예상되는 상황에서 지식정보보안컨설팅전문업체 추가지정이 필요하다. 마찬가지로 지속적 관리와 추가지정 없다면 임의적 양극화가 나타날 수 있다. 심사숙고해 필요한 분야를 정해야 한다.
2002년 8월에 정보보호컨설팅 수행기관 안전진단 수행기관을 지정했었다. 2014년 2월 그 제도가 사라졌다. 제도의 일관성이 없다면 전문업체 지정제도도 원래 목표한 산업경쟁력 제고 가치를 가질 수 없다. 정보보호서비스 지정관리 지속적으로 했을 때 새로운 업체가 시장에서 제 역할을 할 수 있는 공정한 기회를 부여받게 된다. 업계는 품질경쟁 통해 산업경쟁력을 높일 수 있다.


<이준호 네이버 정보보호실 이사> 


구매수요정보 제공이 명시돼 있다. 사용자 입장에서 구매수요를 제공한다고 가정해봤다. 별로 낼 게 별로 없을 것 같다. 두 번 내도록 돼 있는데 일 년에 한 번이라도 잘 받을 수 있는 방법을 고민해야 할 것 같다. 공공기관이 어떠한 솔루션 갖고 있는지 파악하는 게 더 중요하다. 해당 솔루션을 갖고 있으면 투자할 필요가 없을 것이고 보통 5년의 감가상각 시한까지는 구매하지 않을 것이다. 수요를 거짓으로 줄 수 있고 10월에 제품을 구매할 예정이지만 3월에 살 거라고 할 수도 있다. 실질적인 정보 받을 수 있도록 해야 한다.

정보보호 제품 및 서비스의 적정대가 지급은 아마도 부당한 요구할 때는 계약서에 쓰지 않고 조용히 얘기하게 될 것이다. 증거가 없기 때문에 이를 신고하는 경로도 있으면 좋겠다. 보안성지속서비스, 악성코드 분석 업데이트나 사고복구 지원 등 적정대가를 지불해야 한다고 하는데 문제는 이러한 조치가 매일 일어나지 않는다는 점이다. 때문에 업계에서 쉐어드서비스로 활용할 수 있다는 문제가 있다. 오히려 단가가 낮아져 오히려 스타트업이 정보보호산업에 들어오는데 걸림돌로 작용할 수도 있다.



정보보호 공시 방법 관련이다. 네이버는 사업보고서에 해킹당할 경우 사업에 큰 영향 받아 주식이 급락할 수 있다. 어느정도 투자할 수 있다고 적어놓고 있다. 이를 주관하는 것은 최고재무책임자(CFO)이다. 서열 2위정도 된다. CISO가 주관하라고 하는데 하기 힘들다. 다만 확인할 수는 있을 것이다.

공시시스템을 별도로 구축한다는 것은 리소스 낭비다. 보고서는 볼 수 있도록 공시시스템에 나오기 때문에 별도의 정보보호공시시스템은 없는 게 낫다. 네이버페이 서비스를 하고 있어 전자상거래법 영향을 받는다. IT인력 대비 정보보호 인력 비중을 적용받는다. 네이버는 관점에 따라 전 인력이 IT인력이 될 수 있다. 수많은 네트워크 비용을 들이고 있는데 정보보호에 상당히 많은 투자를 함에도 불구하고 상대적으로 비중 작아보일 수 있다. IT기업 많이 있으니 세심하게 배려해 줬으면 한다.



우수정보보호기업 부분은 만일 지원한다면 구체적으로 어떤 것을 지원할 것인지 세부 항목이 있었으면 좋겠다. 우수정보보호기업으로 지정받을 당시에 받은 제품이 아니라 해당이 없는 제품 팔면서 우수정보보호 기업이라고 했을 때는 어떻게 할지 생각해봐야 한다.

<손경호 한국인터넷진흥원(KISA) 보안산업단장>


법을 만들면서 정보보호 산업과 기업에 어떤 효과, 혜택 있을지 많이 고민했다. 우수 정보보호기업 지원 내용이 제정 과정에서 누락됐다. 조달 가점이나 인센티브 지원이 대표적이다.


현재는 컨설팅전문업체만 전문업체로 들어가 있는데 보안관제전문업체, 사고조사전문업체까지 확대하려고 한다. 향후 법 반영해야 한다.

법의 효과성이나 산업계에 효과가 있을지 의구심을 가질 것이다. KISA에서는 정말 중요한 내용이 있다. 법에 의해 정부에서 사업이나 예산 받아 프로그램을 관리한다. 다양한 정보보호 스타트업, 융복합집적시설, 수발주, 수요예보제, 고충처리센터, 인력양성, 정보보호 R&D 표준화 등 사업이 많다. 이를 감안해달라. 이 법에 의해 이끌어나가도록 하겠다.

12월 23일 시행까지 제 방을 산업진흥 의견수렴 창구로 만들어 다양한 의견을 자유롭게 청취할 수 있도록 하겠다.

9월 28일 클라우드산업 진흥과 이용자 보호에 관한 법률 시행된다. 일부 참여하고 있다. 보안 산업에 대부분 담겨있는 부분을 그쪽에 적용해보려고 한다. 공시제도도 클라우드 사업자 공시 조율해보려고 한다.

<참관객 질문>

: 이용균 이글루시큐리티 부사장
사업 하도급 승인 이슈에 관해 의견을 얘기하겠다. 현재는 하도급을 승인만 받으면 되는 절차로 돼 있다. 그런데 사업이 올 말에 끝나는데 아직까지 계약이 안되고 연말 사업이 끝날 때 계약돼 소급되는 일 빈번하다. 사업자 승인받을 때 서류 외에 계약한 계약서를 첨부하도록 추가해주면 이런 일이 생기는 것을 방지할 수 있을 것 같다.

성능평가 지원과 관련해 이 제도를 반대하는 입장이다. 정보보호 제품 만드는 기업은 CC인증을 기본 받아야 한다. 공공기관 납품시 가산점 받기 위해 대부분 GS인증도 받는다. 특정 공공기관은 원하는 제품 사기 위해 TTA BMT를 실시하는 경우도 있다. 성능을 확인하고자 하는 경우 기존 틀을 활용해도 된다. 법 시행령 항목에 적혀있는 것이 이미 GS인증에서 하는 경우 있다. GS인증은 굿소프트웨어 인증이다. 이제는 굿(Good)을 위한 최소 기준을 만족시키는지 확인하는데 그친다.
성능평가가 비슷한 인증 받는 또 다른 혹 될 수 있어 시행령에 명시적으로 표현하는 것이 굉장히 부담스럽다. 시행령에 관련내용을 많이 죽이거나 아예 빼는 것도 방법이다.

수출지원 관련이다. 중소기업도 그렇고 대기업도 그렇고 해외 수출에서는 수출대금을 미수금 없이 다 받을 수 있느냐가 관건이다. 계약 여부보다 계약한 돈 끝까지 잘 받을 수 있냐가 중요한 이슈다. 삼성, LG같은 대기업들도 여러 클레임 등 이슈 때문에 대금 10%를 포기하는 상황에 몰린다. 중소기업 리스크 감당하기 어려운 경우 뭔가 지원할 제도 있었으면 한다. 아이디어 차원인데 이전에 보니 자원외교의 경우에는 실패할 경우 이에 들어간 돈을 정부에서 보전해주는 제도 있던데 유사제도 반영해 미수금 생길 경우 이런 형태나 제도로 리스크를 줄일 수 있는 방법이 있으면 좋겠다.
수출 컨설팅 사업 하다보면 다른 나라에서 우리나라가 가진 좋은 법을 많이 부러워한다. 이 법을 영문화해서 배포한다면 아주 요긴하게 쓸 수 있을 것같다.


<박춘식 교수> 


공시제도는 기업의 투명성을 바탕으로 투자자의 올바른 투자를 유도하기 위한 것이다. 정보보호 관점에서는 기업 CEO 차원의 정보보호 투자를 유도하는 여러 정책 가운데 하나가 정보보호 공시제도로 알고 있다. 그런 차원에서 시행령 권고에 그친 것 아쉽지만 언젠가는 의무화돼야 정보보호 제대로 투자될 수 있다.
앞서 말씀한대로 영업비밀 누출이나 해킹 등 우려하는 점도 있다. 투자를 유인할 때 기업에서 IT 기준 정보보호 투자인력, IT기준 정보보호 인력, 예산이 돼 있는데 앞으로는 IT에 기준하지 말고 매출액 기준으로 한다던지, 바뀌어야 한다. 해당 조직이 해킹 당했는지 개인정보보호 유출 있는지 알려줘야 투자자가 알 수 있다. 그래야 정보보호 투자 유인하는 길이다. 일본에서는 그렇게 돼 있다. 이 부분 참고가 돼야 한다.
그리고 효과적 되려면 기존 자본시장과 금융투자에 관한 법률에서 기업들이 제출하는 것은 따로 봐야 한다. 미래부 정보보호공시제도 따로 보는 것은 효과적이지 않아, 연동을 하거나 해당기업의 보고서 보고자하는 사람이 함께 볼 수 있도록 해야 한다. 전자공시시스템 구축할 때 이 부분 고려해 기존과 연계된다면 좋은 방안이 될 것이다.


<홍진배 미래창조과학부 과장> 


오늘 나온 좋은 말씀 세부 기준 잡을 때 잘 반영될 수 있도록 노력하겠다.다만 몇가지 오해하는 부분이 있어 이를 얘기하고 싶다.

정보보호 준비도 평가가 면죄부 주는 것으로 되면 안된다는 점에 공감한다. 그래서 이름 자체를 인증이라는 용어를 쓰지 않고 준비도(레디니스)라고 했다. 오늘 평가 받아도 내일 뚫릴 수 있는 것이 사이버보안사고 속성. 준비도는 이정도 수준 돼 있다는 것이지 사고 안난다는 의미는 아니라는 점에서 준비도라는 용어를 사용한 것이다. 운영할 때 참고하겠다.
정보보호 공시제도 영업비밀 침해 여부성 말씀해주셨다. 해커 악용 가능성도 말씀하셨다. 투자수준이 낮은 경우엔 공시를 안하면 된다. 이 부분은 규제가 없다. 성능평가 규정 등도 선택사항이다. 공시의 경우 자신이 없고 너무 낮다면, 약하다는 것을 세상에 알려야하는 처지라면 선택 안하고 내가 투자해서 좋은 상태 됐을 때 이정도로 우리 회사가 고객정보를 잘 보호하고 있다는 것을 대외적으로 고객들에게 제시할 때 활용해라는 것이다. 우려를 해소될 수 있다.


정보보호진흥계획 5년 주기 너무 길지 않냐 하는데, 그래서 매년 롤링플랜을 수립하도록 돼 있다. 우수정보보호기업 정부조달시 가점 지원하는 부분 시행령 변경, 최종안 만들 때 반영해볼 수 있도록 하겠다.



정보보호컨설팅전문업체 추가지정은 시행령상의 문제는 아니다. 시장 상황을 보고 진행해야 한다. 작년 7개 추가해 현재 18개가 됐다. 전문업체의 인력수급이 안정화되는 기간 필요하다. 시장 상황 감안해 능력있는 컨설팅업체 잘 만들어나갈 수 있도록 하겠다.

정보보호서비스 대가기준과 관련해 악성코드 분석 업데이트가 상시 이뤄지지 않는다고 하셨는데 이는 상시 이뤄진다. 정보보호서비스 대가는 소프트웨어 유지보수 대가 이외로 반영돼야 한다는 것이 기본 생각이다. 대가기준은 표준계약서에 잘 반영해 이행되도록 하겠다.



정보보호공시시스템 구축 측면에서는 상장사와 비상장사 잘 조합해 진행하도록 하겠다. IT인력 많은 인터넷기업의 공시방법은 이미 고민하고 있다. IT서비스를 제공하는 개발인력은 다 빠진다. 어느 회사든 자기 시스템을 운용하기 위한 인력을 운영한다. 돈을 벌기 위한 서비스 개발 인력이 아니라 운용인력 대비 인력 따져보는 작업이 될 것이고 구체적인 기준을 고민하고 있다.

하도급 관련해서 계약서를 첨부하도록 하는 것은 좋은 아이디어다.



성능평가 관련한 의견과 관련해 CC인증은 보는 항목이 정해져 있다. 성능평가는 BMT다. CC인증은 그 기능이 있는지 여부를 본다. 체계적인 성능 평가가 이뤄지지 않는다는 반성에 따른 것이다. 보안기업 입장에서는 성능을 평가받는 것 부담스러울 수 있다. 정보보호 제품 성능평가 시범 테스트를 했을 때 의외로 성능 잘 안나오는 경우가 있었다. CC인증으로 잡아주지 못하는 부분이 존재한다. CC만으로 하던, 발주처가 능력있는 곳이라면 직접 BMT 하면 된다. 다만 발주처가 작아 스스로 BMT를 할 수 없을 경우 성능 확인하고 싶을 때 활용할 수 있다. 제품의 해당 기능에 대한 탐지율이 얼마되는지 차이가 많이 나 깜짝 놀라는 경우가 있다. 발주처 상황에 따라 탄력적으로 채택하면 된다. 발주처가 적합한 공급자를 선택할 수 있도록 하는 것이 정보보호산업 경쟁력 향상에도 도움될 것이다.

[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/16 14:09 2015/09/16 14:09

트랙백 주소 :: 이 글에는 트랙백을 보낼 수 없습니다