미래부, 정보보호산업진흥법 시행령·시행규칙 제정안 공청회 개최
[아시아경제 한진주 기자] 정보보호산업진흥법이 내년부터 본격적으로 시행된다. 전문가들은 정보보호산업 발전을 위한 기반이 마련된만큼 법이 실효성을 갖도록 제대로 실행해야 한다고 목소리를 높였다. 상장기업들이 정보보호 투자 현황을 공시하는 것이 되려 마이너스가 되지 않도록 잘 보완해야 한다는 지적도 나왔다.
미래부는 15일 서울 강남구 삼성동 코엑스에서 '정보보호산업 진흥에 관한 법률 시행령 및 시행규칙 제정안'에 대한 공청회를 개최했다.
지난 6월 제정된 정보보호산업진흥법은 ▲정보보호 서비스의 대가 정상화 ▲정보보호 공시제도 도입 ▲정보보호산업 기반 강화 등의 내용을 담고 있다. 미래부는 하위법령을 다듬고 입법심사를 거쳐 내년부터 시행한다는 계획이다.
이밖에도 진흥법은 정보보호 제품·서비스 대가 기준 조사를 실시해 적정한 대가를 지급하도록 유도한다. 보안 서비스의 특성상 프로그램 업그레이드에 드는 유지관리비와 별도로 악성코드 분석과 패턴 업데이트 같은 사후 대응이 더 중요하기 때문이다.
또한 진흥법은 공공기관은 적정대가 기준을 반영한 표준계약서를 사용하도록 권고하고 있다. 불합리한 발주 관행을 개선하기 위해 민간 모니터링 결과를 공개하기로 했다.
이경호 고려대 교수는 "정보보호 소프트웨어의 경우 일반 소프트웨어와 달리 납품 이후에 새로운 공격이 발생하기 때문에 사후 관리와 유지보수비용이 특히 중요하다"며 "납품받는 공공 기관들도 적정 대가 지급을 위해 표준계약서를 최대한 활용해야 한다"고 설명했다.
이민수 한국통신인터넷기술 대표이사는 "발주자의 실천의지를 높이는 것이 무엇보다 중요하며 일회성 법 제정이나 조치보다 지속적 모니터링과 개선권고 등의 노력이 필요하다"며 "시행령에서 모니터링이 들어간 부분은 긍정적이지만 빠뜨리지 말아야 할 부분이 기재부의 예산편성지침에 반영하는 것"이라고 말했다.
또한 진흥법에서는 '정보보호 준비도'를 평가해 등급을 부여하는 '준비도 평가기관 등록제'도 도입이 명시돼있다. 인프라와 정보보호활동 수행 정도를 따져 AAA등급부터 B등급까지 점수를 매긴다. 의무사항이 아니기 때문에 보안투자에 관심이 없거나 평가 결과가 미흡한 경우 공란으로 표시하는 기업도 상당수 있을 것으로 보인다.
진흥법이 시행되면 상장기업들은 정보보호 투자와 인력 현황도 함께 공시해야 한다. 공시 내용은 ▲IT 투자 대비 정보보호 투자 ▲정보보호 인력 ▲정보보호관련 인증 현황이다. 정보보호 공시의 경우, 의무사항이 아니라 권고사항이다.
정보보호 공시제도가 상장기업의 영업비밀 유출이나 해킹 피해를 야기할 수 있다는 지적도 나왔다. 대부분 인력과 투자가 IT에 집중돼있는 IT회사들의 경우 정보보호 투자 규모가 적은 것으로 비춰질 수 있어 보완이 필요하다는 주장도 나왔다.
이준호 네이버 CISO는 "네이버는 관점에 따라 전 직원이 IT 담당 직원에 속할 수 있고, 서버 등에 투자하는 비용이 엄청나 정보보호에 투자해도 비용이 적게 비춰질 수 있으므로 세심한 배려가 필요하다"고 말했다.
홍진배 미래부 정보보호기획과장은 "IT인력이 많은 기업들이 공시하는 방법에 대해서는 서비스 개발자를 제외하고, 시스템을 운영하기 위한 IT인력 대비 보호인력이 얼마인지만 공시할 수 있게 구분하겠다"고 설명했다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>