[아이뉴스24 오지영기자] 여기어때 해킹 사건으로 스타트업의 보안 관리가 도마 위에 오른 가운데 예방책인 정보보호관리체계(ISMS) 의무 인증을 두고 정부와 스타트업이 온도차를 보이고 있다.
정부는 이용자 보호 차원에서 정보보호가 필수라 판단되는 기업을 대상으로 ISMS 인증을 의무화하고 있지만, 스타트업은 비용 부담과 일률적 기준 적용을 근거로 현실적인 제도 개선이 필요하다는 입장이다.
11일 업계에 따르면 ISMS 의무대상자인 주요 스타트업들이 ISMS 인증을 고려하거나 인증 신청을 준비하면서 어려움을 호소하고 있다.
주요 O2O(온·오프라인 연계) 기업 중에선 부동산 O2O '직방'과 해킹 사태를 맞은 '여기어때'가 연내 인증 취득을 목표로 준비 중이고, 배달 O2O '요기요'는 올 초 인증 신청을 하고 현재 최종 심사 결과를 기다리고 있다.
ISMS는 미래창조과학부가 관리하고 한국인터넷진흥원(KISA)과 금융보안원(PSI) 등이 인증기관으로 있는 정보보호 인증 제도다. 미래부는 정보통신망법 제47조 2항에 근거해 정보 보호가 중요시되는 정보통신서비스제공자를 대상으로 일정 기준에 따라 ISMS 인증을 의무화하고 있다.
매출액 및 이용자 기준으로는 연간 매출액 또는 세입이 1천500억 원 이상이거나 정보통신 서비스 부문 전년도 매출액 100억 원 이상, 또는 3개월간 일일 평균 이용자 수 100만 명 이상 기업은 ISMS 의무대상자다. 1년 내에 인증을 받지 않으면 정보통신망법 제76조에 근거, 3천만 원 이하의 과태료를 내야 한다.
인증 기관인 KISA는 최대한 많은 채널들을 통해 의무대상자를 파악하고, 메일 또는 유선상으로 이를 안내하고 있다. 기업의 자발적 신청이 원칙이지만, 제도에 대해 잘 알지 못하는 기업들을 위해 직접 안내도 하는 것이다.
다만 의무대상자의 자발적 신청이 원칙인만큼 현재 스타트업뿐 아니라 ISMS 의무대상자의 구체적인 규모는 파악이 어렵다. 주요 스타트업 중 숙박 O2O 야놀자와 배달의민족을 운영하는 우아한형제들 정도가 ISMS 인증을 받은 기업으로 꼽힌다.
스타트업 포함 전체 기업에서 인증을 받아 유지하고 있는 인증 건수는 지난해 12월 기준 470건(의무대상자 319건, 임의신청자 151건), 현재는 468건으로 지난해와 크게 다르지 않다. 올해 인증을 받고 심사를 통과한 인증 건수는 현재까지 27건이다.
◆스타트업 "일괄 의무대상 포함, 기준 조정 필요"
스타트업은 인증 수수료를 비롯 인증 컨설팅, 자체 인력 투입 등 인증에 많은 비용과 기간이 소요되고, 까다로운 인증 절차 등 어려움으로 인증 획득에 적극 나서지 않고 있다.
업계 관계자는 "정보 보호가 중요하고, 제도의 취지도 공감하지만 부담이 되는 것도 사실"이라며 "비용도 문제지만 빠르게 진행이 안돼 본업에까지 부담이 된다"고 지적했다.
또 의무대상자 기준인 전년도 매출액 100억 원 이상을 대기업, 중소기업과 구분없이 일괄적으로 의무 대상에 포함시키는 것 역시 조정이 필요하다는 게 업계 지적이다.
가령 매출 1천억 원인 기업과 이제 막 매출 100억 원을 돌파한 스타트업이 같은 기준으로 의무대상에 포함되는 것은 문제가 있다는 얘기다.
특히 초기 투자 비용이 많이 들어가는 스타트업의 특성상 매출은 100억 원이 넘더라도 적자를 기록하는 경우도 많다.
업계 관계자는 "100억 원이라는 매출이 적은 돈은 아니나 계속 투자를 하고, 성장해야 하는 스타트업 입장에서 ISMS 인증은 부담이 될 수 있다"며 "대기업과 중소기업 역시 같은 기준이 적용돼 어려움이 많다"고 말했다.
◆정부-KISA "정보보호 노력 기울여야…볼멘 소리"
그러나 ISMS 인증을 담당하고 있는 KISA와 정부 측은 기업의 규모를 떠나 개인 정보 보호 강화 노력이 필요하다는 입장이다. 또 의무대상자에 포함될 정도의 기업이면 ISMS 인증에 투자할 여력이 충분하다는 판단이다.
KISA 관계자는 "매출 100억 원대면 어느 정도 규모를 갖춘 것으로 볼 수 있고, 정보 보호 강화를 위한 투자도 필요하다"며 "비용이라는 인식 대신 미리 준비해 (개인 정보 유출 피해 등) 사고를 예방해야 한다"고 강조했다.
인증 비용 부담에 관해서도 "규모가 큰 기업의 경우도 인증 컨설팅을 받는 데 평균 7천700만 원 정도가 들어가는 것으로 조사됐다"며 "인증 수수료도 1천만~1천800만 원 사이로 평균 1천200만 원 정도 로, 비용 때문에 투자를 안 하고 대신 과태료를 내는 건 맞지 않다"고 말했다.
미래부 관계자는 "정보 보호를 하면 핵심 정보도 보호하고 이용자에 대한 홍보 효과도 있어 결국 기업에 도움이 된다"며 "더욱이 문제가 발생하면 피해는 국민이 입게 돼, 정보보호 관점에서 자발적으로 인증을 받는 것이 최선"이라고 설명했다.
오지영기자 comeon0114@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기