[범부처 정보보호 대책] “보안 이슈 여러 부처 연관…컨트롤타워 강화를”

업계·전문가 ‘긍정’ 반응 속

“후속조치가 중요” 한목소리

정부가 국가 전반 정보보호 역량 강화를 위한 종합대책을 수립한 가운데 업계와 전문가들은 이번 계획이 제대로 시행되기 위한 후속조치가 중요하다는 의견을 내놨다. 사이버보안이 여러 부처와 이해 관계자들이 엮인 만큼 국가안보실을 중심으로 컨트롤타워 역할이 강화돼야 한다는 의견도 제시됐다.

업계와 전문가는 우선 이번 대책 내용 가운데 정보보호 공시 의무 기업을 상장사 전체로 확대했다는 점을 높이 평가했다. 공공 정보화 예산과 인력을 확대하는 것과 개인정보 보호 기금 신설 논의도 시의적절 하다는 분석이다.

염흥열 순천향대 교수(한국개인정보보호책임자협의회장)는 “공시를 통해 소비자나 투자자, 정부 등이 기업의 정보보호 수준을 평가할 수 있는 만큼 상장사 전체 확대는 시장에 긍정적 영향을 미칠 것”이라며 “공공이 예산과 인력을 늘려 모범 사례를 보여주고, 그동안 활용이 어려웠던 과징금 수입을 피해자 지원 등 개인정보보호에 활용할 수 있는 길을 열어준 것도 바람직한 대책”이라고 말했다.

이어 염 교수는 “ISMS(보안인증제도) 현장 점검 강화는 동의하지만 샘플링 비율을 높이는 작업이 필요하다”며 “중대 결함 발생 시 인증을 취소한다는 내용의 경우에도 중대 결함의 구체적 가이드라인이 필요한 만큼 향후 이번에 발표된 대책 관련 세부 실행 계획, 후속조치가 제대로 뒷받침 돼야 한다”고 조언했다.

획일적인 물리적 망분리를 데이터 보안 중심으로 전환하고 클라우드 보안요건을 개선하는 내용 역시 인공지능(AI) 시대 맞춤 대책이라는 평가도 나왔다.

김승주 고려대 교수는 “망분리 개선과 클라우드 보안요건 재정립 문제는 전 정권때부터 필요성이 지속 제기됐지만 제대로 매듭짓지 못했다”며 “여러 부처가 엮여 있다 보니 해결하기 쉽지 않은 문제였는데 이번 대책에 이와 관련된 내용이 명문화 됐다는 점은 의미가 크다”고 말했다.

이어 김 교수는 “이번 정부 대책의 경우 기존 대책을 답습했다기 보다 원점에서 정보보호 체계를 바로잡기 위한 다양한 대책이 담겼다는 점에서 높게 평가한다”며 “공인인증서 등 여전히 소비자에게 설치를 강요하는 보안 SW를 단계적으로 제한하는 정책 역시 와닿는 내용”이라고 덧붙였다.

산업계도 환영의 뜻을 내비쳤다. 김진수 한국정보보호산업협회(KISIA) 수석부회장(트리니티소프트 대표)은 “이번 종합대책에 정보보호산업 성장의 밑거름이 될 정책이 잘 담겨있다”며 “조속히 이행해 산업 발전으로 이어지길 기대한다”고 말했다.

다만 해킹 정황을 확보한 경우 기업 신고 없이도 정부가 조사를 강행할 수 있다는 점에는 우려 목소리도 있다.

구태언 변호사(법무법인 린)는 “정보보호가 부실한 기업은 소비자가 해당 기업 서비스를 거부할 것”이라면서 “정보보호 역시 (정부가 공권력을 행사하기 보다는)시장의 논리에 따라 이뤄져야 하고, 정부는 정보보호 허위 공시 기업 등에 제재를 가하는 등 투명한 정보보호 공시가 이뤄지는 방향으로 정책을 집행해야 한다”고 말했다.

컨트롤 타워·거버넌스 강화 역시 남겨진 숙제다.

염 교수는 “사이버보안 이슈는 여러 부처가 연관돼 조정이 필요한 경우가 많다”며 “대통령의 관심과 지원이 필수인 만큼 국가안보실의 사이버안보 컨트롤 타워 역할을 강화하는 후속 대책이 필요하다”고 말했다.

한 대기업 최고정보보호책임자(CISO)는 “해외는 CSIO가 대표 직속으로 높은 임원급이 많은데, 여전히 국내 대기업 다수는 CISO 직책이 낮다보니 기업 내 예산·정책 등 집행력이 약하다”며 “정부 역시 공공 CISO의 영향력을 강화하는 동시에 민간 기업의 CISO 역할·책임을 강화하기 위한 직간접적 제도 지원이 필요하다”고 말했다.

김지선 기자 river@etnews.com