[디지털데일리 최민지 기자] 내달 시행을 앞둔 정보보호 공시제도의 실효성을 두고 의견이 분분하다. 정부는 공시제도를 통해 정보보호 투자를 촉진하고 소비자 선택권을 확대할 수 있다는 입장이지만, 업계에서 내놓는 목소리는 다르다. 의무사항도 아닌 만큼 기업들을 끌어올 수 있는 강력한 혜택이 없다면 정보보호 공시제도가 활성화되기는 어렵다는 것이다.
27일 미래창조과학부(이하 미래부)는 서울 중구 포스트타워에서 정보보호 공시제도 설명회를 열고 관련 업계의 의견을 청취했다. 미래부는 정보보호관리체계(ISMS) 인증 수수료 30% 감면과 정부 연구개발(R&D) 사업 신청 때 가점 부여 등을 인센티브로 내놓았다.
이날 참석자들은 이러한 미래부의 인센티브 방안으로는 적극적 기업 참여를 이끌기 어렵다며 세금 혜택, 정부 사업 입찰 우대 등이 적용돼야 한다고 입을 모았다.
최명길 중앙대학교 교수는 “인증 수수료를 감면한다고 해도 정보보호 현황을 공시하려면 공인 회계사, 감리 법인을 거쳐야 한다”며 “이 경우에도 비용이 투입되기 때문에 큰 효과를 보기 어려우며, 정보보호에 투자한 부분이 세금 혜택으로 이어져야 한다”고 강조했다.
또, 최 교수는 기업 신용평가 때 정보보호 투자를 반영할 것을 제안했다. 기업 신용등급 향상을 꾀하기 위해서라도 정보보호 공시제도를 적극 활용할 것이라는 예상이다.
최용혁 아림디엠 대표 “3년 전 ISMS 인증을 받았지만, 이후에 혜택을 받은 바 없다”며 “조달청 입찰 참여 때 ISMS 인증 기업만 참여할 수 있다는 조건을 내걸면 적극적으로 투자하지 않겠느냐”고 말했다.
이어 “기업들이 정보보호 투자를 통해 실질적 이익을 볼 수 있는 대안이 필요하다”며 “교육, 기술, 컨설팅 지원도 병행했으면 한다”고 덧붙였다.
정보보호 공시 내용에 대한 적정성 문제도 제기됐다. 인력 및 투자금액 등 투입되는 수치적 부분만 정량화해 평가하는 경우, 추후 기업에서 이를 악용할 수 있기 때문에 결과 변수를 개발해야 한다는 의견이다.
최 교수는 “향후 정보보호 관련 사고 발생 때 공시제도를 악용, 인력 및 자금을 투입했으니 사고 책임에 대한 면제를 받을 수 있는 자격이 있다고 주장할 수 있다”며 “투입 변수도 중요하지만, 정보보호 성과 및 사고 등 결과 변수를 개발해 공시에 함께 적용해야만 신용을 확보할 수 있다”고 제언했다.
정부 정책에 따라 최소한의 투자를 했으니 결과에 대한 책임지지 않겠다는 기업 태도를 미연에 방지하자는 것. 또, 궁극적으로는 이번 제도가 의무사항으로 발전돼야 정보보호 공시 활성화를 꾀할 수 있을 것이라고 내다봤다.
이와 함께 정보보호를 비용으로 인식하는 경영진의 인식을 변화시키지 않으면 공시 참여율을 높이기 어렵다는 진단도 나왔다.
황재승 더존비즈온 차장은 “ISMS 담당자로, 보안을 유지하기 위해 매년 많은 비용을 투입하자고 이윤을 추구하는 기업 경영진에게 말하기 어렵다”며 “경영진을 설득할 수 있는 근거가 필요한데, 정부가 인증 취득으로 인한 경제적 성과 분석 모델을 마련했으면 한다”고 요청했다.
이은경 현재유엔아이 과장은 “ISMS, PIMS 등 정부에서 요구하는 인증만 갖추다 보면 해당 범위 내 보안만 강화하게 된다”며 “최근 보안 해킹 사고는 빈틈을 노리고 들어오기 때문에, 정보보호 공시제도로 동종업계 간 경쟁구도가 형성되면 경영진을 설득할 수 있는 명분이 될 수 있다”고 말을 보탰다.
미래부는 이날 제기되는 의견들을 청취하고 문제되는 부분을 보완할 수 있도록 노력해 현장에서 실효성을 갖추도록 하겠다고 밝혔다.
허성욱 미래부 과장은 “기업들의 자발적 참여를 위해 정보보호 공시 부담을 줄이고 인센티브를 늘리는 방안을 고민하고 있다”며 “2주가량 추가로 의견을 받을 예정”이라고 말했다.