정보보호 인증제 `유명무실`

정보보호 관련 인증제도가 시행 1년 만에 유명무실해지면서 정부 인증제도의 전면적인 개편이 강력히 제기되고 있다.

　정부가 작년 7월 기업의 정보보호 수준을 평가하는 ‘정보보호관리체계인증’과 정보보호 제품 성능평가 인증제도인 ‘한국형CC(Common Criteria)’를 도입했지만 효과가 국내에 한정되고 영역중복 및 비용 등의 문제로 업체들의 외면을 받고 있다.

　현재 정보보호관리체계인증을 받은 업체는 3곳에 불과하며 심사를 받고 있는 업체도 1곳뿐이다. 그나마 4곳 모두 정보보호업체 일색으로 전체 산업영역을 대상으로 한다는 당초 취지가 무색한 실정이다. 이에 비해 국제인증인 BS7799는 같은 기간에 삼성전자를 비롯, 데이콤·우리은행 등 11곳에 달하며 심사신청 업체도 국민은행·삼성생명 등 7곳에 이른다.

　한국형CC 역시 마찬가지다. 시행 이후 인증받은 제품은 하나도 없으며 2개 업체, 3개 제품만이 평가를 받고 있는 중이다. 같은 기간에 기존 인증인 ‘K시리즈’는 8개 업체, 13개 제품이 신청해 대조적인 모습을 보이고 있다.

　이에 대해 업체의 한 관계자는 “정보보호관리체계인증은 국제인증인 BS7799와 중복되면서 일종의 경쟁 관계지만 업체 입장에서는 국내뿐 아니라 해외에서도 통하는 제도를 선호하는 것이 당연하다”고 밝혔다.

　정태명 성균관대 교수는 “정보보호관리체계와 한국형CC는 애초부터 기존 인증과 중복되고 그 효과가 국내용이라는 한계를 갖고 있었다”며 “정부가 정보보호에 관한 주도권에 연연해 하지 말고 관련업체에 실익을 줄 수 있는 방안을 다시 찾는 편이 바람직하다”고 말했다.

　정통부 관계자는 “문서검토 위주의 BS7799에 비해 정보보호관리체계 인증은 실제 기술평가를 거친다는 장점이 있다”며 정보보호관리체계인증의 당위성을 강조했다.

　<장동준기자 djjang@etnews.co.kr>