[사설]`정보보호 안전진단`파행 우려

　대형 쇼핑몰이나 포털사이트의 해킹 피해를 막기 위해 도입된 정보보호 안전진단제도가 결국 시행 첫해부터 파행 운영이 우려된다고 한다. 오는 7월 말까지 정보보호 안전진단을 받아야 할 기업이 149개사에 이르지만 이 가운데 지금까지 안전진단을 완료한 기업은 10개사에 불과하고 현재 진단을 받고 있는 기업이 51개사라는 것이다. 나머지 60%에 달하는 90여개 기업은 아직까지 안전진단 수행 계약조차 하지 않고 있다니 해킹 피해를 보지 않을까 걱정이다.

　안전진단제도 마감 시한이 3개월도 채 남지 않았지만 한 기업의 정보보호 안전진단을 하는 데는 최소 2주일 정도 소요되므로 아직 여유가 있다고 생각할 수도 있다. 하지만 아무리 정보보호시설을 잘 갖췄다고 하더라도 안전진단 결과 미흡한 시설이 나오기 마련이고 이를 보완 또는 개선해 그야말로 해킹으로부터 안전하다는 필증을 교부받기까지는 적어도 3개월이 소요되는 점을 감안하면 그리 여유가 있는 편이 아니다. 오히려 빠듯한 실정이다.

　더욱이 안전진단을 해줄 정보보호 컨설팅 업체도 10개사에 불과하다. 이들 컨설팅 업체가 현재 컨설팅 인력을 완전 가동하고 있는 상태여서 나머지 기업에 대해 기한 안에 안전진단을 해 주기에는 물리적으로 한계가 있을 수밖에 없다.

　이런 상황에서 막판에, 그것도 한꺼번에 수요가 몰릴 경우에는 전체 안전진단 진행에 차질이 불가피하다. 컨설팅 업체들이 최대한 수용을 한다는 입장이지만 수요 업체들이 아직도 다른 기업의 상황을 지켜보면서 계약을 계속 미루고 있어 자칫 부실 진단 우려마저 나오고 있는 상황이다.

　이 제도 시행 전부터 적용 대상 기업들이 집단 반발할 정도로 말이 많았던 것을 감안하면 이런 결과는 어찌 보면 당연하다. 특히 수수료와 안전진단 이후의 책임 문제 등으로 정보보호 컨설팅 업체들까지 사업 참여를 기피하는 등 난항을 겪다가 올해 초에야 겨우 시행된 것을 고려하면 더욱 그러하다. 게다가 대상 기업들이 반발할 때마다 정부가 적용 대상 기업을 축소해 주는 등 느슨한 제도 추진도 이런 결과를 초래한 한 요인으로 판단된다. 기업들이 마감 시일 이전에 진단 계약만 하면 된다는 움직임을 보이는 것도 이런 이유에서라고 하니 어처구니가 없다. 정책 불확실성의 한 단면을 보는 것 같아 씁쓸하다. 정부가 업계에 끌려다니는 것도 문제지만 정보보호 안전진단제도를 시행할 의지가 있는지 의심스러울 뿐이다. 한국정보보호진흥원이 정보보호 안전진단율이 저조하자 소규모 재판매 IDC와 쇼핑몰 등 30여개 대상 기업을 묶어 함께 안전진단을 받게 하는 방안을 고려중이라니 더욱 염려스럽다.

　이런 점에서 이번 정보보호 안전진단제도 파행의 책임이 정부 측에 있다고 본다. 명분만 그럴 듯할 뿐, 실은 제도 시행 과정에서 대상 기업들의 반발을 무마하기 위한 임기응변식 정책이 자주 나오기 때문이다.

　정보보호 문제는 국가 차원에서 접근해야 한다. 정보보호 소홀로 인한 피해는 해당 기업에만 그치지 않고 국가에도 엄청난 타격을 준다는 점에서 그렇다. 한 기업이 완벽하게 정보보호망을 구축했다고 해서 해킹이나 바이러스로부터 자유로울 수는 없다. 한 대의 컴퓨터가 바이러스에 감염되면 그것을 매개로 주변 컴퓨터가 감염되는 등 정보보호 소홀로 인한 돌출변수가 사회문제로 비화되는 경우가 종종 발생해 왔다. 이런 점에서 각 기업의 사정을 봐주며 이 제도를 시행한다면 국가 보안 수준을 높일 수 없다. 오히려 허점만 노출시킬 뿐이다. 소 잃고 외양간 고치는 식의 대처가 지속되어서는 IT강국 이미지를 유지할 수 없다는 점을 잊어서는 안 된다.