아주경제 장윤정 기자 = 정부가 그동안 설왕설래하던 '보안등급제'를 서둘러 전면 시행하기로 한 것은 최근 개인정보유출 등 잇달아 발생하는 기업의 보안 사고에 적극 대응하기 위해서다.

보안등급제의 필요성은 몇년 전부터 꾸준히 제기돼 왔지만 시행방법, 주체 등 구체적인 논의 단계에서 발목이 잡히며 번번이 좌절됐다.

크고작은 보안사고가 발생할때마다 필요성에는 공감하지만 누가, 언제, 어떻게 시행하느냐는 구체적인 시행과제로 들어서면 논의만 무성할 뿐 결과를 내지못했다.  최근까지는 안전행정부가 전자정부서비스 강화를 위해 전자정부시스템 보안등급을 1~ 5등급까지로 나눠 시행하자는 보안 대책을 내놓기도 했다.

그러나 최근 발생한 카드사와 통신사, 온라인 쇼핑몰 등 B2C업계에서 대규모 개인정보 유출 사고가 발생하면서 정부도 기업 대상의 '보안등급제'를 더 이상 미룰 수 없다는 위기의식이 작용한 것으로 풀이된다. 

최근 박근혜 대통령도 개인정보보호를 위한 기업의 투자를 강조하며 거들었다. 박 대통령은 지난 10일 수석비서관 회의 마무리 발언에서 "우리나라가 IT강국이라면서도, 정보보호를 위한 보안에 투자를 너무 안 했다"며 "이제는 성과보다는 개인정보보호에 대해 책임을 묻고, 투자를 하게 만들어야 한다"고 밝혔다.

하지만 총체적인 부진의 늪에 빠져 있는 재계가 보안 강화를 위한 신규 투자에 얼마나 실탄을 쏟아부을 수 있을 지는 과제로 남아 있다.

이처럼 '보안등급제'가 급물살을 탈 것으로 예상되면서 관련 전문가들은 급속한 추진보다 첫 단추를 잘 꿸 것을 주문했다.

김승주 고려대학교 정보보호대학원 교수는 "기업의 보안수준을 신용등급처럼 보안등급제로 상대평가하게 되면 각 기업들의 보안 경쟁력이 한눈에 비교돼 투자를 활성화하는 긍정적인 측면도 생기겠지만 상대 기업보다 낮은 평가가 나왔을 경우 논란이 발생될 수 있다"며 "논란 없이 시행될 수 있게 하려면 등급을 부여할 기관에 상당한 신뢰가 있어야할 것"이라고 지적했다. 

상대 기업보다 낮은 보안등급을 받았을 때 이를 수용하게 할 만큼 기관에 신뢰도가 있어야하는데 그 신뢰도는 기술력, 정부에서의 부여한 권위 등 다양한 요소가 필요하다는 설명이다.

염흥열 순천향대학교 정보보호학과 교수는 "보안등급제 시행에 있어서 관리 지표, 수준평가 지표 등 다양한 기준을 세워 체계적으로 개발하는 한편 국제 표준과의 관계를 고려, 국내 보안등급제 획득으로 국제사회에서 인정받을 수 있도록 해야한다"는 의견을 제시했다.

그는 "보안등급제가 국내에서만 통용되는 수준이 아닌, 국제사회와 조화롭게 발전돼 나갈 수 있도록 글로벌 표준과의 연계를 고려해야할 것"이라고 강조했다.

한편 정부는 '보안등급제' 시행 기관으로 전경련, 상공회의소, 중기중앙회 등을 두고 검토하고 있는 것으로 확인됐다. 또한 한국인터넷진흥원(KISA)이나 지식정보보안산업협회 등 보안전문기관이 수행하거나 협업하는 방안도 논의되고 있는 것으로 전해졌다.

심종헌 지식정보보안산업협회 회장은 "보안등급제는 기업의 보안수준을 제고할 수 있는 직관적 바로미터의 역할을 할 것"이라며 "보안등급제로 선진국 수준의 보안투자를 이끌어 내 더이상 국내에서 대규모 보안사고가 발생하지 않기를 바란다"고 말했다.