[아주초대석]정보보호 준비도평가 기관 선정 등 지속적 수입원 확보 목표

심종헌 지식정보보안산업협회 회장은 정보보호 준비도 평가 등의 시행 기관으로 협회를 키워 협회의 경쟁력을 강화하겠다고 강조했다[남궁진웅 timeid@]

아주경제 장윤정 기자 = "지식정보보안산업협회(이하 KISIA)의 존재감이 너무 미약합니다. 강력한 협회로 키우는 것이 우선적인 목표입니다".

심종헌 지식정보보안산업협회 회장(유넷시스템 대표)은 국내 보안업계를 대표하는 KISIA가 위상 강화와 지속적인 수익모델 확보에 나서야 한다고 강조했다.

이를 위해 심 회장은 협회가 힘을 키워 중심에 서야 한다고 밝혔다. 협회 회원사인 국내 보안업체들의 권익을 옹호하기 위해서는 협회가 강성해야 하고 이는 곧 보안업계의 체질강화로 이어질 수 있다는 판단이다.

◆ KISIA, 정보보호 준비도 평가 수행 기관으로 키운다

관련기사

• 국내 정보보호업체, 베트남시장 진출 본격 공략”
• 한국정보보호학회·KISIA 공동 '정보보호산업 발전을 위한 공동 제안' 발표

심종헌 회장은 KISIA가 설립연도나 회원수에 비해 허약한 체질이 문제라고 지적했다.

그는 "국내 정보보호산업은 다른 IT산업에 비해 매우 열악한 상황"이라며 "영세한 정보보호산업계와 업체들이 모인 협회다보니 여유가 없다. 한정된 협회비안에서 운영하다 보니 장기적인 계획을 가지고 협회를 꾸려나가기가 어렵다"고 고충을 토로했다.

KISIA에 따르면 우리나라 정보보호산업의 지난해 전체 매출액은 약 1조 6100억원 정도에 불과하다. 전체 보안기업은 230개사로 그 중 200억 이상의 매출을 올리는 기업은 14개사 뿐이다. 코스닥에 상장된 기업도 총 13개사 밖에 없다.

이에 따라 심 회장은 최근 정부가 발표한 정보보호 준비도 평가가 전체 산업계는 물론 협회가 한단계 도약하는데 기회가 될 것이라고 내다봤다.

정보보호 준비도 평가는 민간이 주도하는 제도로 올해 말부터 시행될 예정이다. 

정보보호 준비도 평가제는 보안투자 비율과 인력·조직 확충, 개인정보보호, 법규준수 등 기업의 보안역량 강화를 위해 정보보호 준비 수준을 평가하는 인증 제도다. 기업들은 평가를 통해 B에서부터 AAA까지 다섯 단계(B-BB-A-AA-AAA) 중 한 등급을 부여받게 된다. 정보보호 준비도 평가는 민간의 자발적 보안역량 강화를 위한 자율규제로 보안업체의 보안등급 강화를 위해 힘이 될 것으로 전망된다. 

미래창조과학부와 한국인터넷진흥원(KISA)은 제도의 등급모델과 평가기준, 방법론 등 초기 제도설계만 지원하고, 이후 민간에 기술을 이전해 자율적으로 도입·시행하도록 유도할 계획이다.

심 회장은 "정보보호 준비도 평가는 기업이 정보보호 역량 강화를 위해 어떻게 노력하는지에 따라 결정된다. 또한, 법적 제도권이 ISMS 대상기업에서 모든 기업으로 확산되면서, 우리 모두가 정보보호를 의무화 그리고 체계화 시킬 수 있도록 스스로가 노력해 나갈 수 있는 환경을 조성, 정보보호 시장 저변확대에 크게 기여할 것"이라고 내다봤다.

또한 "정보보호 준비도 평가는 보안문화를 확산시키고 발전시키는데 획기적인 방법이 될 것"이라며 "이를 시행하는 시행 주체로 KISIA를 포함시켜 산업계에서 협회의 위상을 재정립하고 지속적인 수입원을 확보할 수 있는 기반을 닦겠다"고 밝혔다.

그리고 정보보호 준비도 평가와 같은 정보보호 활성화 대책 발표가 단지 발표만으로 그치지 않으려면, 실질적으로 이행되고, 후속 정책 지원이 중단없이 이루어지고 있는지에 대한 다양한 차원에서의 지속적인 관리와 관심이 필요하다고 강조했다.

그는 "보안산업계도 중소기업용 정보보호 상품과 서비스 개발에 더욱 노력해야 할 것"이라고 덧붙였다. 

이어 심 회장은 미래부에 제안해 둔 또 다른 방안도 소개했다.

그는 "공공기관에 보안제품을 납품하는 회사는 KISIA가 인정한 회원사에 한하도록 하는 법안을 정보보호산업진흥법의 시행세칙으로 포함시키는 방안에 대해 미래부와 논의중"이라고 밝혔다.

이어 " 정보보안 전문자격증(CISSP, CISA 등)을 보유한 전문인력을 일정 수 이상 포함하고 CC인증을 획득한 제품을 보유한 회사라든지 적정 보안 수준을 가진 업체를 심사대상으로 하고 협회의 심사를 통과한 업체에게만 납품자격을 부여하도록 하겠다"고 말했다.

그래야만 정보보호 업체들이 KISIA를 필요로 하고 자발적으로 가입, 회원 자격을 유지하려 애쓸 것이라는 설명이다.

◆ 공공 보안제품 납입 자격, KISIA에서 부여토록 할 것

심 회장은 "정보보호 업체들이 협회에 가입해야 정보보호 투자를 한 것으로 인정받을 수 있도록 가닥을 잡겠다"고 강조했다.

현재 KISIA에는 지속적인 수입원이 없다. 매년 미래부, 방통위, KISA 등에서 부여받은 연구과제 등을 수행하고 협회비를 받아 근근이 이어간다. 그나마 협회비도 제대로 내는 회원사가 손에 꼽을 정도다.

때문에 정보보호 준비도 평가 인증수행 기관으로  선정돼 지속적인 수입원을 확보하겠다는 각오다.

그는 "KISIA가 인증평가 수행기관이 되는 것은 협회만의 물리적인 조직체를 위한 것이 아니라 보안업체라는 이름을 달고 있지만 전문성이 의심되는 업체도 간혹 있기 때문"이라며 "공급자가 많아지면 소모적인 비용 경쟁도 늘어나기 때문에 협회에서 자격을 갖춘 업체를 걸러내면 적절한 경쟁력을 갖출 수 있어 전체 산업의 건정성을 위해서도 필요한 일"이라고 강조했다.

심 회장은 점점 분위기가 나빠지고 있는 국내 보안업계 실적에 우려를 내비쳤다.

그는 "국내정보보호 업계의 올해 상반기 실적은 지난해 대비 80% 수준인 것으로 나타났다. 업계의 실적부진도 걱정이지만 대한민국의 정보보호가 허술해지고 있다는 것을 반증하는 것으로 향후 또 어떤 사고로 이어질지 더 큰 고민이 된다"고 설명했다.

심 회장은 국내 보안산업의 성장이 정체된 이유로 양질의 R&D인력의 부족과 공공부문의 정보보호 투자 부진, 낮은 유지보수 요율 등을 꼽았다. 이같은 부분들이 해결되어야 보안 업계의 질적, 양적 성장을 도모할 수 있고 이는 곧 대한민국 전체의 정보보호 강화로 이어질 것이기 때문이다. 

 

특히 공공부문의 정보보호 투자 부진에 대해서는 "정부의 정보보호예산이 정보화예산 안에 들어가 있는 상황에서, 정보보호 예산을 정보화 예산의 한 부분으로 여겨 예산을 늘리기가 실질적으로 어려운 상황"이라고 꼬집었다. 따라서 공공 정보화 예산에서 정보보호 예산을 분리, 집행할 필요가 있다는 지적이다. 

 

낮은 유지보수 요율에 대해서는 기업·기관의 인식 부족을 원인으로 봤다. 심 회장은 "사람들이 유지보수라고 하면 고장났을 때 고치는 기계적 요소라고 생각하고 있다"라며 "보안제품은 납품된 즉시 유지관리가 시작되어야 하는데, 그런 개념이 아직 없다"라고 말했다.

정보보호에 있어 유지보수 요율에 대한 보안담당자들의 인식 변화도 주문했다. 그는 "유지보수 요율을 현실화 시켜야 한다"라며 "낮은 유지보수 요율로 인해 전문인력의 인건비가 하락하고, 기술개발비도 축소되는 악순환을 막아야 한다"고 덧붙였다.

특히 심 회장은 정보보호 예산의 중요성을 역설했다.

그는 “정보보호 육성을 위해서는 관련 예산 확보가 무엇보다 중요하다”며 “미국의 경우 2007년부터 지속적으로 정보화 예산 대비 9% 이상을 보안분야에 투자하고 지난해에는 사이버 보안 예산을 전년 대비 6배 증액해 편성한다”고 설명했다. 반면 우리나라의 정보보호 예산은 2010년 2700억 원에서 지난해에도 비슷한 수준을 보여줬다. 지난 5년간 정보보호 예산의 큰 변화가 없었다.

아울러 “사이버 관련 정보 유출이나 범죄 사건이 발생하면 정보보호 예산이 증가했다가 그 다음해는 다시 감소하는 추이를 보이고 있다”며 “정보보호 예산이 정보화예산 대비 10%, 20%로의 증액이 아닌 지금 수준의 2~3배 정도 배정되야 제대로 된 정보보호산업의 외연이 확장될 수 있을 것”이라고 강조했다.

또 심종헌 회장은 “향후 사물인터넷, 빅데이어 등이 가시화되면 정보보안이 기업 뿐 아니라 개인에게도 영향을 미칠 수 있을 것”이라며 “이전에 정보보안이 건물의 문 한짝 정도였다면, 현재는 벽이고 기둥이 되는 시대”라고 평했다. 해커들의 사이버 공격이 이제는 특정 기관 및 기업 뿐 아니라 개인에게 직접적 피해를 끼치는 사회가 되었기 때문에 정보보호의 중요성은 그 어느때보다 강화되어 갈 것이라고 전망했다.