[칼럼] 정보보호안전진단제도에 대한 이슈 및 시사점
[입력날짜: 2006-03-13]
  

 

<신수정 박사>

정보보호 안전진단은 1.25 인터넷침해사고 이후 이러한 대형보안사고의 재발방지 및 인터넷 관련 사업자들의 정보보호수준향상을 위해 정보보호컨설팅 전문업체를 통해 대상 사업자들의 정보보호조치 이행을 주기적으로 점검하게 하는 제도이다. 2005년 법률에 의거하여 약 150여 개의 정보통신망접속서비스를 제공하는 ISP, IDC, 쇼핑 및 포털 등 전자거래업체 들이 안전진단을 수검하였다. 처음 실시되어 비용부담 등과 관련하여 대상업체의 불만도 있었지만 전반적으로 인터넷 관련업체들의 보안 인식을 높이고 보안수준을 제고하게 되는 계기가 되었다는 평가결과가 제시되어왔다.

 


 

 

2006년에 들어서자마자 안전진단제도에 영향을 주는 두 가지 이슈가 발생하였다.

한가지 이슈는 리니지 명의도용 사태로 인한 것이었다. 대규모 개인정보유출이슈에 직면하게 된 엔씨소프트가 작년 안전진단을 수검받고 정보보호조치 이행에 문제가 없다는 필증을 받았다는데 대해서 몇몇 언론들은 이슈를 제기하였다. 즉, 정보보호안전진단결과 이상이 없다고 했는데 문제가 발생했다는 것은 정보보호안전진단제도에 무언가 허점이 있는 것이 아닌가라는 의문이 이슈의 초점이었다.


 

또 한가지 이슈는 정보보호 안전진단 수행기관을 현행 정보보호컨설팅 전문업체 뿐 아니라 기본자격을 갖춘 기관으로 확대한다는 법률안 개정조치에 대한 것이었다. 이로 인해 안전진단 제도나 시장이 어떤 영향을 받을 것인가라는 의문이 이슈의 초점이었다.


 

이에 대한 필자의 의견은 다음과 같다.

첫째 정보보호안전진단제도에 대한 일부 오해가 있다는 것이다. 정보보호안전진단제도라는 것은 혹자가 오해하듯이 어떤 해당기업의 정보보호가 100% 완벽하다는 것을 보증하는 제도가 아니다. 정보보호안전진단제도는 대상기업의 가장 기본적이고 핵심적인 보안조치의 이행여부를 점검하는 제도이다. 보안의 문제가 발생하게 하는 경우의 수는 상당히 많다. 이러한 부분을 모두 고려하고 점검한다면 대상기업은 점검기간과 비용 등에 상당한 부담을 가질 것이다. 그러므로 적절한 기준선을 정의할 필요가 있다. 이 의미는 기준선을 넘는 위험요소에 대해서는 대응이 어렵다는 것이다. 그러나 역으로 기준선내의 위험요소는 대응을 한다는 것이다. 그러므로 안전진단제도가 있어도 문제가 생기는 것이 아니라 안전진단제도가 있기 때문에 그나마 발생 가능한 많은 문제를 예방한다고 말할 수 있다.


 

둘째 그럼에도 불구하고 안전진단제도에 있어서 점검 항목은 새로운 위험요소 등을 반영하여 지속적인 수정보완이 이루어져야 한다. 공격형태는 지속적으로 변화하고 있고 새로운 치명적인 공격방식이 등장한다. 그러므로 점검항목도 기본적인 사항은 유지하지만 새로운 치명적 위협에 대응하기 위해서 보완되어야 할 항목이 추가되고 구태의연한 항목은 삭제되어야 한다. 이를 위해서 정부는 보안업체/대상업체/관련전문가 들을 포함한 가칭 ‘안전진단점검항목 개선 위원회’를 두어 주기적으로 점검항목 수정보완을 수행할 필요가 있다.


 

셋째 ‘개인정보보호’ 와 ‘일반정보보호’와의 사각지점을 고려해야 한다. 현재 정보보호안전진단제도는 ‘일반적인 정보보호’에 초점을 맞추고 있다. ‘개인정보보호’분야는 ‘privacy’에 초점을 맞추어 별도의 지침을 통해 고시되어 점검되고 있다. 두 분야의 점검항목을 통합해야 한다는 의견도 제시되고 있지만 정부의 담당과도 틀리고, 관점과 대상도 약간 틀리기 때문에 통합한다는 것이 반드시 바람직하지 않을 수도 있다. 그러나 최근의 보안문제는 ‘일반적 정보보호’와 ‘개인정보보호’의 복합적인 경우가 종종 발생한다. 예를 들면 인증의 취약성을 뚫고 들어가 타인의 명의를 도용하고 타인의 개인정보를 유출하는 경우 등이다. 이 경우 어디까지를 보안에서 점검해야 하고 어디까지를 개인정보보호에서 점검해야 하는지에 불명확할 수 있다. 그러므로 당연히 다른 쪽에서 점검하겠지 라고 생각하는 사각지대가 있을 수 있다. 이에 대해서는 상호 조율과 협의가 필요하다.


 

넷째, 안전진단 수행기관을 전문업체 외로 확산하는 이슈에 대해서는, 특혜 및 독과점의 위험을 피하려는 정부의 기본취지는 충분히 공감한다. 그러나 안전진단자체의 시장이 큰 시장이 아니고 현재 안전진단을 할 수 있는 전문업체만도 8개이므로 실제적으로는 독과점의 위험이 거의 없는 것이 현실이다. 도리어 안전진단 수행기관을 새로이 지정하고 관리하기 위해 발생되는 정부의 관리 비용 증대, 수많은 기관의 난립으로 인한 가격경쟁 및 질적 저하, 수검업체의 혼란 및 선택권의 과대 증가로 인한 공정성 문제 등 또 다른 이슈가 야기될 수도 있다. 이를 위해서는 세부적 이행방안에 대해서 조금 더 세밀한 검토가 필요하다고 판단된다.


 

정보보호안전진단제도가 몇 가지 논란에도 불구하고 출발이 되었다. 실행과정에서 여러 이슈들이 발생하고 있고 앞으로도 새로운 이슈들이 발생할 수도 있다. 그러나 이슈가 발생했다고 제도 자체의 근본 존재이유를 흔드는 것은 바람직하지 않다. 이러한 이슈들에서 시사점을 발견하고 보완해나갈 때 조금 더 목표한 바에 근접해 나갈 수 있을 것이다. 이는 단지, 정부만의 역할과 책임이 아니다. 인터넷서비스를 하는 대상기업, 진단수행기관, 정부 등 직접적 이해당사자 뿐 아니라 학계, 다양한 전문가들의 참여와 지속적인 의견제시 가 안전진단제도를 성숙하게 할 것이다. 이를 통해 대한민국이 세계에서 가장 빠르기만 한 인터넷 서비스를 제공하는 나라가 아닌 가장 빠르면서 가장 신뢰할 수 있는 인터넷 서비스를 제공하는 나라로 인정받기를 바란다.

[글: 신수정(sjs1234@skinfosec.co.kr) 박사, 인포섹 상무]


 

■신수정 박사는 서울공대와 서강대 경영대학원, 서울공대 대학원을 졸업했다. 한국HP, 삼성SDS, 넷시큐어테크놀러지 연구소장 및 컨설팅 본부장을 거쳐 현재는 인포섹 SI/컨설팅 본부장과 동국대학교 정보대학원 겸임교수로 재직중입니다. 


 

 

 

Copyright © 2001