「정보보호 국제 인증제」기업세계화 장벽 우려

정보보호의 중요성이 날로 더해가는 가운데 최근 국제표준화기구(ISO)가 민간기업들의 정보보호에 대한 국제인증제도를 도입할 예정이어서 대책마련이 시급한 것으로 지적되고 있다.

정보보호에 대한 국제인증제도가 도입되면 과거 품질인증제도(ISO9000)처럼 각 기업들이 국제인증을 획득하지 못할 경우 국제간 거래의 장애요인으로 작용, 국제경쟁력에 상당한 타격을 입을 것으로 우려된다 . 관련기사 5면

전문가들은 국내업체들의 경우 정보보호에 대한 인식이 턱없이 부족하고 표준화된 전담조직은 물론 업무지표마저 전무하다시피한 실정이기 때문에 국제동향에 관심을 갖고 적극 대처해야 한다고 지적했다.

정보보호 인증제도는 각 기업들이 어떤 기준을 가지고 각종 정보를 처리하고 또 보호는지 그리고 이에 걸맞은 정보보호시스템을 운영하고 있는지를 일정한 규격에 따라 평가하는 제도로, 각 기업의 일관된 정보보안 업무좌표와 이를 수행하기 위한 조직운영 등을 평가하는 제도다. 이는 단순히 정보보호를 위한 하드웨어나 소프트웨어를 도입해 운영하는 것이나 정보보호시스템 자체의 안정성을 평가하는 것과는 큰 차이가 난다.

정보보호관련 전문가들에 따르면 각종 국제표준화를 주도하고 있는 ISO·IEC는 제1공동기술위원회(JTC1) 산하 27소위원회(SC27)에 정보보호기술위원회(TC)를 두고 3개 실무작업반(WG)을 통해 정보보호 업무 및 시스템에 관한 표준규격 제정을 추진중이다.

이 중에서 영국의 표준기구인 BSI에 의해 주도되고 있는 제1실무작업그룹(WG1)에서는 정보보호 관리업무에 관한 표준화를 추진하고 있으며 나머지 2개 실무작업반에서는 정보보호시스템에 대한 안정성 평가기준을 제정중이다.

특히 BSI는 이미 BS7799라는 정보보호 국가표준을 제정해놓고 국내뿐 아니라 해외업체들에까지 인증서를 발급하는 등 이 분야를 주도하고 있으며 BS7799 규격의 국제표준 채택을 강력히 추진중이다.

이들 워킹그룹은 현재 국제표준 제정을 위한 기초작업을 진행하고 있으며 특히 오는 31일에는 도쿄에서 국제회의를 개최할 예정으로 있는 등 움직임이 갈수록 활발해지고 있다.

전문가들은 기술위원회의 작업을 거쳐 국제표준으로 제정되는 기간은 통상 2∼3년이 걸리나 국내업체들의 경우 정보보호에 대한 관리체계가 워낙 일천하기 때문에 이 기간도 대처하기에 충분치 않을 것으로 우려하고 있다.

에스큐브의 박태완 이사는 『그동안 많은 국제표준규격이 BSI의 주도로 제정됐기 때문에 정보보호 국제표준도 머지 않아 BSI규격에 기초해 제정될 가능성이 높다』며 국내업체들의 대책마련을 촉구했다.

BSI의 국내 대행업체인 BSI인증원 천정기 사장은 『모든 국제간 상거래에서도 정보보호의 중요성은 날로 높아지고 있다』며 『정보보호 인증제도가 도입되면 과거 ISO9000처럼 인증획득 여부가 국제경쟁력에 막대한 영향을 미치기 때문에 재빨리 대응하지 못하는 업체들은 도태될 것』이라고 말했다.

<유성호기자 shyu@etnews.co.kr>