싸고 간소하게…'정보보호 준비도 평가' 출범


민간 주도, 중소영세 기업도 평가 확대 기대

[이부연기자] "'정보보호 준비도 평가'는 건강검진 제도처럼 기업의 정보보호 상태를 확인하고 대응하는 제도입니다. 민간 주도의 제도로, 비용과 측정 지표수를 줄여 활용성을 높였습니다."

정보보호 준비도 평가 출범식이 29일 서울 역삼동 한국기술센터에서 열렸다. 정보보호 준비도 평가 주관기관인 한국정보방송통신대연합과 주관 부처인 미래창조과학부를 비롯해 유관 기관과 기업 관계자들이 참석했다.

정보보호 준비도 평가 제도는 민간 기관이 기업의 정보보호 수준을 측정하고 등급을 부여하는 것을 골자로 한다. 기존에 정부가 주도한 '정보보호 관리체계(ISMS)' 인증은 비용이 상대적으로 많이 들고 평가 기간도 7일 이상으로 길어 소규모 업체들은 참여하지 않았었다.

예를 들어, 100인 규모 기업이 ISMS 인증을 받으려면 1천176만원이 소요되고, 유효기간이 3년이긴 하나 매년 갱신 비용이 추가된다. 기존에 민간 평가 제도인 PIMS, PIPL 등이 있는데, 이 역시 모두 비용이 ISMS보다 높다(100인 규모 기업 기준 약 1천430만원 가량).

반면 정보보호 준비도 평가는 비용(500만원 이하, 중소기업의 경우 30% 가량 할인)을 낮게 책정해 기업들의 부담을 줄였다. 평가 지표도 27개로 줄이고(ISMS는 104개 지표), 평가기간도 2~3일(ISMS는 최소 7일 이상 소요)로 짧다.

정보보호 준비도 평가 심의위원장을 맡고 있는 순천향대학교 염흥렬 교수는 "전문성, 비용 등의 어려움으로 ISMS 등 기존 정보보호 인증제도의 사각지대를 해소하기 위해 정보보호 준비도 평가가 필요하다"며 "해외와 같이 정부는 기준과 체계를 제시하고 민간 기관을 통해 자율적인 제도를 운영해야 할 시점"이라고 설명했다.

이미 해외에서는 민간이 중심이 돼 기업들의 정보보호 역량을 측정하는 제도가 많다. 이미 잘 알려진 국제표준화 기구(ISO/IEC JTC), 2009년부터 실시돼온 일본 민간 정보보호 등급, 유럽 클라우드 서비스 사업자 정보보호 등급제, 미국 NIST 사이버보안 프레임워크 등이 그것이다.

염 교수는 "정보보호 준비도 평가 제도는 앞으로 전 산업 부문으로 확대되야 할 것"이라면서 "이를 위해 우수 등급을 받은 기업들에 조세감면, 세제 혜택 등 다양한 효과를 누릴 수 있게 하는 등 보상 제도도 확보해나가야 한다"고 말했다.

한국정보방송통신대현합 김민천 차장은 "중소, 영세 기업까지 모든 기업이 정보보호 평가를 받음으로서 보안 역량을 강화할 수 있다"며 "5등급으로 평가되는 정보보호 준비도 평가 등급을 획득한 중소 기업은 정보보호서비스 컨설팅 비용 조세 감면, 정보보호 신규 인력 채용시 인건비 보조 등 인센티브를 받을 수 있어 활용 유인도 높였다"고 했다.

이부연기자 boo@inews24.com







포토뉴스