| 침해 시 '사후 대응력' 평가

| 인센티브로 기업 참여 유도

이기혁 중앙대 융합보안학과 교수

정부의 ‘정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증’ 제도 실효성에 대한 지적이 이어지고 있는 가운데 “회복탄력성(resilience) 역량을 평가할 수 있는 항목을 도입해야 한다”는 조언이 전문가들 사이에서 나온다. 기업의 적극적인 참여를 유도하는 인센티브가 필요하다는 의견도 설득력을 얻고 있다.

이기혁 중앙대 융합보안학과 교수는 18일 디지털타임스에 “정부가 단순 사고 예방을 넘어 회복탄력성 중심의 보안 체계로 전환할 수 있는 인증 제도를 마련해야 한다”고 말했다.

지난해 대규모 정보유출 사고가 잇따르면서 정부 보안 인증 제도에 대한 실효성 논란이 일었다. 국정감사에선 체크리스트 방식의 형식적인 심사 절차와 사후 관리가 제대로 되지 않는다는 점 등 지적사항이 쏟아졌다. 이에 과학기술정보통신부와 개인정보보호위원회는 지난해 11월부터 유관기관 등과 합동 제도 개선 태스크포스(TF)를 꾸려 현장 심사 중심으로 전환할 방안을 마련했다.

사후 심사를 강화하며 인증 기준의 중대한 결함이 발생할 경우 인증 취소하는 방안도 도입할 계획이다. 정부는 올 1분기 중 관련 고시를 개정해 단계적으로 시행할 예정이다.

이 교수는 “현장 중심의 심사를 강화하고 평가 항목 등 인증 기준도 손봐야 한다”며 “침해 사고 이후 얼마나 빠르게 회복하고 재발방지를 위한 방안이 마련됐는지를 평가할 수 있는 항목도 필요하다”고 강조했다.

이 교수는 “기업들이 보안 인증 심사 절차조차 비용 부담으로 인식하며 심사 규모와 일정을 최소화하거나 샘플링 위주의 점검으로 마무리한 사례도 있었다”며 “인증 제도의 본래 취지인 보안 수준 향상을 고려하면서 보안 위협에 대응해 세부적인 방안을 마련해야 한다”고 부연했다.

인증 항목 중 미흡한 기술적 요소를 개정한 종합 평가 방안도 마련할 필요가 있다고 했다. 그는 “보안 인증 심사가 관리체계 중심으로만 진행된 측면이 있다”며 “기업들이 갖춘 보안 인프라와 모의 해킹 및 위험 평가 등도 실시해야 한다”고 말했다.

기업들의 참여를 이끌어 내기 위한 인센티브 방안도 병행해야 한다고 말했다. 이 교수는 “기업의 실질적 이익으로 환류될 수 있는 방안을 제시할 수 있을 것”이라며 “보안 인증 결과를 공공조달 및 ESG 경영 평가에 반영하거나 금융 지원 연계 등의 방안이 있을 수 있다”고 제언했다. 

디지털타임스/ 임성원 기자

출처: https://www.dt.co.kr/article/12041531?ref=naver​