한국소프트웨어산업협회와 산하 서비스 혁신 위원회가 ISMS 인증 효율화를 위한 해법을 제시했다. 1년간 기업의 애로사항과 개선 요청을 취합한 결과 진입 장벽을 낮춰야 한다는 결론에 도달했다.
협회는 ISMS 인증 효율화를 위해 △ISMS 인증 항목 효율화 △ISMS 의무 대상자 기준 명확화 △민간 인증제도 활성화 △ISMS-P 인증 인센티브 및 지원책 법제화 등을 꼽았다.
먼저 불필요한 인증 항목의 수정·삭제 및 통제항목 경량화를 통해 기업의 ISMS 인증 부담을 완화하자는 주장이다. 인증 영역 간의 중복 항목, 물리적 부담을 가중시키는 항목, 해외 유사 인증 제도와 비교해 어긋나는 항목 등을 효율화하자는 해법이 제시됐다.
인증 획득 준비 시간을 보장하기 위해 의무 대상 기업을 구체화해야 한다는 점도 강조했다. 대상자 여부를 자체적으로 미리 확인해 벼락치기 인증을 받지 않게끔 담당 기관과의 기업 케이스 스터디를 활성화하자는 의견이다.
이와 함께 민간 인증 신설을 강조했다. 간소화된 버전의 민간인증을 통해 예비 인증 기능으로 활용하자는 것이다. 잠재 인증 대상 기업이 민간 인증을 준비할 때 기초 보안 시스템 구축을 돕는다면 ISMS 인증 획득 시 큰 무리가 없을 것이라는 전망이다. 추후 요건이 충족된다면 본 인증 시 일부 항목을 간소화해 받을 수 있도록 하는 방법도 제안했다.
B2C 사업이 활성화됨에 따라 개인정보 보호를 위한 ISMS-P 중요도가 부상하고 있다는 점을 고려, ISMS-P 인증에 대한 인센티브 및 지원책을 법제화하자는 의견도 나왔다. 인증 비용, 컨설팅, 교육 등 지원책 강화가 구체적 방안으로 꼽혔다. 현재 ISMS는 의무, ISMS-P는 선택 인증 체계다. 이 때문에 기업이 의무 인증인 ISMS에 대부분의 리소스를 투입한 이후 ISMS-P 인증은 기피하는 현상이 발생한다. 만약 인센티브를 도입할 경우, B2C 사업에 적합한 ISMS-P 인증을 활성화하는 요인이 될 것으로 전망했다. 이와 함께 ISMS-P 인증을 받은 사업자의 경우 사고 발생 시 벌금 경감 등 제도화 명문화가 필요하다고 덧붙였다.
이 외에도 인증 비용 및 소요기간 경감 방안 구체화 방안으로 KISA 측에서 인증 인력을 구성하자는 의견도 나왔다. 인증 갱신 기간을 기존 1년에서 2년으로 유예하는 방안도 제시됐다.
소프트웨어산업협회 관계자는 “국가 보안 역량 강화를 위해 기업의 인증 수요를 늘릴 수 있는 해법이 필요하다”며 “인센티브 제공이나 인증 지원 등을 통해 보안 효율화를 제고할 수 있을 것”이라고 말했다.
손지혜기자 jh@etnews.com