[사설] 정보보호, 법·제도만으론 부족하다

　대기업은 이르면 내년부터 정보보호관리책임자(CISO)를 의무적으로 선임해야 한다. 연 매출 8000억원 이상 대기업이 대상이긴 하지만, 정책적 실효성을 높이기 위해 정보통신망법에 CISO 선임을 의무화하는 조항을 삽입하겠다는 것이다.

　국내 기업의 80% 이상은 전체 정보화예산 중 정보보호 예산은 3% 미만에 그치고 전담 인력도 없어 보안의 사각지대로 방치되는 현실을 감안한 고육책으로 읽힌다. 인터넷 침해사고로 인한 기업들의 경제적 손실이 매년 4000억∼5000억원에 달하는 현실도 고려됐을 것이다.

　고무적인 일이다. 그동안 정부의 정보보호 의지가 구두선에 그친 선례를 감안하면 정보보호에 대한 정책당국의 인식변화로 읽힘과 동시에 실효성 있는 정책으로 이어지리라는 기대 때문이다.

　방통위에 따르면 이 같은 조치가 이뤄지면 CISO 의무화로 기업 정보화 예산의 5% 이상, 정보화 인력의 10% 이상이 정보보호에 할당되는 효과가 있을 것이라고 한다.

　정부는 아예 대기업뿐만 아니라 중소기업들의 정보보호역량을 강화하기 위해 주요 정보통신서비스 사업자에 정보보호 취약점 분석과 대응체계 마련을 의무화하는 ‘정보보호안전진단제도’의 대상 범위를 확대하겠다고 한다.

　이와 함께 정보보호관리체계(ISMS) 인증제도 활성화를 위해 ISMS 인증을 취득한 기업에 1년 동안 안전진단을 면제해주던 것을 향후에는 3년으로 기간을 확대할 계획이다.

　아직 안심할 만한 수준은 아니다. 정부와 교육계는 물론이고 국방, 일반기업에 이르기까지 수시로 터지는 상황이 이를 방증한다. 법·제도와 정책만으로는 한계가 있다. 무엇보다 법·제도·정책과 함께 일반기업과 국민을 위한 인식제고 노력이 반드시 병행돼야 한다.