[정보보호]망분리 골자로 한 정보통신망법 시행...업계 특수 기대 고조

개인정보를 처리하는 시스템 간 망 분리를 의무화시킨 정보통신망법 개정안이 18일부터 시행에 들어갔다. 정보보호 관리체계 인증제도(ISMS)도 신설되는 등 보안 관련 법제도가 크게 변경됐다.

그동안 투자를 미뤄왔던 기업들은 최근 정부가 관리감독 강화 방침을 천명하자, 서서히 움직이기 시작했다. 망 분리 등 기술적 보호조치를 하지 않는 기업에 3000만원 이하의 과태료가 부과되며, 이를 어겨 개인정보를 분실·도난·누출한 사업자는 2년 이하 징역, 1억원 이하의 과징금에 처해 진다.

◇달라지는 보안 법제도 살펴보니=정부는 우선 18일 이후 망 분리 의무화 기업을 대상으로 관리 감독을 강화할 방침이다. 기업들은 내부망과 외부 인터넷망을 분리해야 하거나, 하나의 전송망이나 PC를 사용하지만 가상화로 내부망과 외부망을 분리 차단하는 가상화를 이뤄야 한다. 망 분리와 함께 정보보호 안전진단 제도가 폐지되고 정보보호 인증제도(ISMS)가 도입된다.

방송통신위원회 관계자는 “ISMS는 지금까지는 권고사항이었지만 연말까지는 받아야 한다”며 “15일 현재 103개 기업이 인증을 취득한 상태”라고 설명했다.

정보보호 조치를 잘 했는지 살펴보는 항목도 종전 48개에서 57개로 늘어난다. 또 현행 정보보호 책임자는 정보보호 최고책임자로 격상되고, 이사 이상의 상근임원 중 선발해야 한다.

보안에 대한 투자현황도 공개해야 한다. 정보보호 투자액과 전담인력 등 기업 현황을 자사 홈페이지에 매년 공개해야 한다. 보안 투자 역시 5% 이상이 될 수 있도록 통제항목을 추가했다. 정보보호 투자 비중으로는 지난해 정부기관이 8.1%, 금융기관이 7%를 기록했다.

◇업계, 망 분리 및 ISMS 특수 기대=국내외 보안 업계는 지난해 개인정보보호법 특수만큼이나, 정보통신망법 특수를 기대하는 모습이다. 지난해 DB암호화 전문기업들이 특수를 누린 것처럼 망 분리 및 ISMS 인증 의무화에 따른 새로운 수요 창출을 기대하고 있다. 망 분리는 금융권 및 공공기관을 중심으로 프로젝트가 진행될 예정이며 일부 기업에서는 구축작업이 시작됐다.

국정원의 CC인증을 받아야 하는 망 분리 솔루션 시장은 안랩, 미라지웍스, 브이엠크래프트 등 국내 업체가 경쟁하고 있다. 외산 업체로는 시트릭스와 VM웨어가 가상화 사업에 참여하고 있다.

홍성구 미라지웍스 상무는 “물리적으로 망을 나눌 경우 구축과 유지보수 비용에 많은 투자를 해야 한다”며 “경기가 나쁜 탓에 전반적으로 가상화를 통한 논리적 망 분리가 선호되는 추세”라고 분위기를 전했다.

미라지웍스는 이미 서부발전을 비롯 홈플러스 SK이노베이션에 망 분리 구축을 완료했다. 망 연계솔루션인 `아이-컨넥트(I-Connect)`를 보유한 LK시스템즈 등도 사업기회를 엿보고 있다.

최인영 LK시스템즈 전무는 “보안대책에 따라 망을 분리하는 경우 업무 단절 등 불편을 초래할 수 있어 망 연계 솔루션의 필요성이 대두될 것”이라며 “국정원 CC EAL3 인증을 받은 아이-컨넥트는 이 같은 문제를 해결할 수 있다”고 강조했다.

◇시행령 15조 혼란 우려=일각에서는 정보통신망법 개정안에 대해 좀 더 선명하게 보완해야 한다는 목소리도 제기되고 있다.

우선 업계는 망법 시행령 15조가 혼란을 불러올 수 있다고 지적한다. 시행령 제 15조 3호가 `개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷 망 차단`에 관한 의무화를 명시하고 있으나, 일부 금융권에서는 `개인정보취급 컴퓨터`가 아닌 `개인정보취급자 컴퓨터`라는 문구 때문에 개인 PC망 분리만을 검토하고 있다는 것이다. 단순히 관리자 PC만을 분리하면 책임을 회피할 수 있도록 오해할 소지가 있다는 지적이다.

업계 관계자는 “개인 PC망 분리만을 고려대상으로 하고 시급성이 높은 서버의 정보보호 또는 망 분리 조치를 등한시 하는 역효과가 나올 수 있다”고 설명했다.

정보보호조치에 관한 지침 주요 개정 내용 비교

김원석기자 stone201@etnews.com