<사설>국제 인증제 대비책 급하다

국제표준화기구(ISO)가 민간기업들의 정보보호에 대한 국제인증제도를 도입할 예정이어서 국내 기업들의 대책마련이 시급하다는 보도다. 정보보호에 대한 국제인증제도를 도입하면 과거 품질인증제도(ISO9000)처럼 이 규격을 획득하지 못한 기업은 국제경쟁력을 확보하기가 현실적으로 어렵다는 것이다. 이에 따라 국내 기업들이 외국에 진출해 수출을 지속적으로 늘려 나가려면 이같은 국제규격인증의 획득이 필수적인 요건으로 등장한 것이다.

정보보호 인증제도는 기업들이 각종 정보를 어떤 기준에 따라 보호하고 처리하며 이에 적합한 정보보호시스템 운용여부와 업무좌표, 조직 등을 일정한 규격기준에 따라 평가하는 제도다. 우리가 가졌던 정보보호를 위한 하드웨어·소프트웨어 운용실태나 시스템 자체의 안정성을 평가하던 기존의 정보보안에 대한 인식과는 차이가 많다.

하지만 국내 기업들은 최근 들어 정보유출이나 헤커 등의 침입사태로 인해 과거에 비해 소프트웨어나 하드웨어적인 정보보안에는 관심을 많이 기울이고 있지만 전담조직이나 정보보호에 대한 업무좌표 등은 거의 이루어지지 않고 있다고 한다. 이에 비해 각종 국제표준화를 주도하는 ISO와 IEC 등은 산하 정보보호기술위원회에 3개 실무반을 두고 이미 정보보호 업무 및 시스템에 관한 표준규격 제정을 추진하고 있다. 이런 추세라면 이르면 2∼3년 안에 국제표준이 마련돼 시행될 것이라고 한다.

따라서 국내 기업들은 이제 정보보안에 대해 방화벽을 설치해 침입자를 막는 시스템 구축 수준에서 벗어나 정보보안 자체가 경영의 핵심사안이라는 관점에서 인증제도 도입에 따른 대책을 서둘러 마련해야 할 것이다. 그러자면 우선 최고경영자들의 정보보호에 대한 인식전환이 필요하다. 그동안 정보의 자산적 가치를 높게 평가하는 경영자 중에도 기업내에 국제규격 수준의 정보보안 경영체계를 구축한 경우는 극히 드문 실정이다. 이제부터는 정보보호가 경영의 핵심사안이며 특히 국제규격에 미달하면 경쟁력 향상이나 효율성 제고에 치명타를 받게 된다는 점을 인식해야 할 것이다. 전담부서의 설치와 운영도 적극 검토해야 할 일이다.

또 이같은 시스템을 구축해 놓아도 실질적으로 운용을 담당할 전문인력이 없거나 수요에 미달하면 효율성을 기대하기 어려울 것이다. 현재 국내에는 20여명의 정보보호 심사관이 활동하고 있으나 대부분 컨설팅 업무에 주력하고 있다고 한다. 국제인증이 본격적으로 시작되면 이런 인력으로 업무를 수행하기가 불가능하다. 인력양성이 시급한 과제가 아닐 수 없다.

아울러 외국에서는 국제인증제 도입에 대한 움직임이 빨라지고 있지만 국내에서는 이에 대한 활동이 전무하다고 한다. 하루빨리 정부와 관련단체, 연구계 등이 협의체를 구성해 국제인증제 도입에 따른 종합적이고 구체적인 대비책을 마련해야 할 시점이다.