[뉴스토마토 류석기자] 미래창조과학부가 기업의 보안수준을 민간이 평가할 수 있도록 하는 본격적인 제도 시행 준비에 나섰다.

 

미래부는 오는 13일 서울 양재동 엘타워에서 기업의 정보보호 역량 강화를 위한 노력·준비 수준을 평가하고, 보안 등급을 부여하는 '정보보호 준비도 평가' 도입을 위한 기술설명회를 개최한다. 이번 설명회에서는 평가 주체로 활동을 원하는 민간 기업·기관과 평가를 받을 기업들을 대상으로 제도 도입 배경과 세부적인 사항에 대해 설명할 계획이다.

 

정보보호 준비도 평가는 미래부가 지난 3월 민간 신용평가사가 기업의 신용등급을 매겨 공개하듯이 민간이 기업의 정보보안 등급을 매기는 제도로 논의했던 '보안 등급제'에 대한 계획이 확정된 것이다.

 

이 제도는 각 기업들이 보안에 대해 얼마나 준비하고 있는지에 대한 노력에 따라 총 5단계 등급으로 평가된다. 총 30개의 평가항목으로 구성됐으며 ▲정보보호 예산·인력 ▲연간 직원 대상 보안교육 시간 ▲취약점 점검 횟수 등이 포함돼 있다.

 

미래부는 이번 정보보호 준비도 평가는 보안 사각지대를 해소하고, 기업 간 선의의 보안경쟁을 유도해 기업들이 스스로 보안역량을 강화하도록 하는 것이 목적이라고 설명했다. 현재 정부가 기업의 보안수준을 평가하는 정보보호관리체계(ISMS) 인증은 의무 대상 기업 위주로만 인증을 취득하는 문제점이 있었다.

 

ISMS인증 의무대상 기업은 정보통신망서비스 제공자, 직접정보통신시설(IDC) 사업자, 정보통신서비스 부문 매출액 100억원 이상 또는 일평균 이용자수 100만명 이상인 사업자로 한정돼 있다.

 

미래부는 이번 정보보호 준비도 평가가 ISMS 인증 등 기존 제도와 중복될수 있다는 지적에 대해 평가지표의 관찰 목적이 다르다고 설명했다.

 

기존 ISMS의 평가지표는 회사 보안체계의 겉모습만 볼 수 있었다면, 정보보호 준비도 평가지표는 기업이 실제 수행하는 정보보호 활동을 평가할 수 있는 지표로 바뀌었다는 것이다.

 

예를 들어 ISMS에서는 정보보호 최고책임자 지정 유무만 확인할 수 있었다면, 정보보호 준비도평가에서는 정보보호 최고책임자가 어떤 방식으로 지정됐고, 지정된 정보보호 책임자가의 업무가 무엇인지 등을 구체적 들여다 볼 수 있다.

 

미래부는 한국인터넷진흥원(KISA)과 함께 정보보호 준비도 평가의 등급 모델과 평가기준·방법 등 초기 설계를 한 후, 이를 민간에 평가방법에 관한 기술을 이전해 자율적으로 도입·시행하도록 지원할 계획이다.

 

미래부 관계자는 "정보보호 준비도 평가의 주체로 활동을 원하는 민간 기업이나 기관에게는 수행능력에 큰 문제만 없다면 대부분 기회를 줄 예정"이라며 "평가 주체로 활동하는 기업과 기관의 수익활동에도 도움이 될 것"이라고 말했다.  

 

또 미래부는 이 제도가 의무사항이 아닌 자율적 선택에 의한것임을 감안해 제도 활성화를 위해 적극적으로 홍보하고, 인센티브 등 다양한 지원 방안을 발굴해 나갈 예정이다.

 

강성주 미래부 정보화전략국장은 "올해 초부터 학계, 보안업계, 기업 보안담당자 등 다양한 분야의 전문가와 함께 '정보보호 준비도 평가'도입을 위한 지속적인 논의를 진행 해왔다"라면서 "정부가 아닌 민간주도의 제도가 도입되면 기업이 스스로 보안투자를 확대하고, 정보보호 조치를 강화하는 등 민간에서 자발적으로 보안수준을 높여나가는 정보보호 자율규제 문화가 정착될 것으로 기대한다"고 밝혔다.