“법 없이도 살 사람.” 우리는 보통 보편타당한 가치관을 가지고 기본에 충실한 삶을 영위하는 사람을 두고 이런 말을 한다. 그런 사람들은 굳이 법을 살펴보거나 법으로 무엇을 제약하는지 알 필요가 없다. 하지만 그런 사람 수가 부족하고 인위적인 통제가 필요할 때 법은 필요하고 만들어지게 된다.
지난 6월 22일 정보보호산업진흥법이 공포됐다. 일반적으로 산업 성장은 시장 성장에 비례하게 되는데, 우리나라 정보보호시장 성장이 최근 정체기에 돌입하면서 극단적으로 사이버안보 경쟁력으로 표현되는 정보보호산업을 발전시키기 위한 고육지책으로 법안이 제정되는 단계에 이르게 된 것으로 보고 있다.
우리 사회가 정보화가 급속도록 발전해 나가는 데 비해 역기능을 막거나 견제할 방도가 극히 미약한 실상을 증명이라도 하듯 각종 보안사고가 지속되고, 날로 피해규모가 커지고 있다.
이는 마치 브레이크 기능이 취약한 자동차가 고속도로에서 속도를 마구 높여가는 상황과 같다.
게다가 IoT 세상에서는 점점 더 정보화를 통한 인류생활 편의성을 도모하는 요소가 급속도로 확대되는데, 이런 과정에 나타나는 역기능들로부터 인간을 보호할 수 있는 유일한 견제책이자 치유책이 결국은 정보보호가 아닌가 싶다.
한편으로 생각해 보면 정보보호산업진흥법 출현은 정보화에 따른 역기능 대응수단을 체계적으로 제도화한 것이라고 긍정적인 해석을 해볼 수 있겠다.
정보보호산업진흥법은 이상의 산업성장과 정보화 역기능의 체계적 해결방안 수립이라는 두 가지 목적으로 제정 필요성이 오래전부터 산업계와 학계에서 제기됐다.
2013년 말 국회에서 법안 발의됐고 또 미래창조과학부에서 필요성을 강하게 요청해 지난 5월 말 법안이 국회를 통과했다.
12월에 발효될 이 법률은 기존 정보보안은 물론이고 IoT 등 융합보안을 모두 포함하고 있으며, 우수기술 개발 및 수출지원 등을 통한 글로벌 정보보호 기업 육성 지원 등 산업기반 조성을 위한 실질적인 내용을 담았다.
국내 정보보호 시장 확대와 정보보호산업 융합 발전에 큰 기여를 할 것으로 평가한다.
법률은 정보보호산업 활성화를 위한 현실적인 규정을 도입했다. 첫째로 공공기관 구매수요 정보를 정보보호 기업에 제공할 수 있도록 규정하고, 둘째로 기존 정보보호 제품 보안성 지속서비스 대가를 별도로 지급하도록 하는 규정과 합리적인 발주 관행 정착을 위한 제도도 규정하고 있다. 셋째로 기업의 자발적 보안역량 강화를 유도하기 위한 정보보호 준비도 평가제도 그리고 정보보호 투자 등 현황을 공개하도록 하는 정보보호 공시제도 도입 등을 포함하고 있다.
이러한 법령이나 규제가 정보보호를 강화하고 산업을 진흥할 최선의 대책이라 할 수는 없으나, 지금까지 우리나라의 정보보호 인식과 투자를 지속적으로 개선하고자 하는 정책적 노력이 이어졌다.
이러한 과정 속에서 무언가 혁신적인 대안이 없으면 산업 진흥이 아니라 산업 종속이 우려되는 상황에 직면할 수 있다는 위기의식이 보다 직접적이고 강력한 방안을 마련해야 한다는 것으로 연결됐을 것이라 해석해 본다.
이렇게 만들어진 정보보호산업진흥법 출현의 궁극적 목적은 결국 국가 정보보호 수준을 높이고 이를 뒷받침하는 산업 진흥과 사이버안보 기반을 높이는 데 있다. 우리 정보보호업계는 국가적인 바람에 부응하기 위해 첨단보안기술 개발을 위한 R&D 투자를 더 강화해 기능과 성능 면에서 글로벌 제품을 능가할 수 있는 기술력을 확보해야 한다. 또 기업 간 M&A 등을 활성화해 국제 경쟁력을 키움으로써 결국에는 한국의 새로운 먹거리를 창조할 수 있는 정보보호산업으로 성장하기 위한 노력에 만전을 기해야 한다. 산업계에서의 자발적인 노력이 이행되지 않는다면, 법안 제정을 위해 노력했던 각계의 노고들이 헛된 수고로 돌아가는 것은 물론이고, 법안이 목표하고 있는 산업발전은 요원해질 것이다. 정보보호산업 진흥법이 산업을 발전시키는 주체가 아니라 발전을 지원하는 객체임을 인식하며, 산업 발전을 위해 우리 업계 또한 최선의 노력을 다해야겠다는 다짐을 해본다.
심종헌 지식정보보안산업협회장(유넷시스템 대표) jhsim@unet.kr
