[정보보안 담당자 설문②] 개인정보보호법, 시장 숨통 틔울까
상태바
[정보보안 담당자 설문②] 개인정보보호법, 시장 숨통 틔울까
  • 김선애 기자
  • 승인 2016.01.05 08:57
  • 댓글 0
이 기사를 공유합니다
개인정보보호법 개정안·일본 ‘마이넘버’ 시행…개인정보보호 관련 시장 성장 기대

2016년에도 정보보안 시장은 한파가 이어질 것으로 보인다. <월간 네트워크타임즈>가 매년 실시하는 ‘정보보안 담당자 설문조사’에서 정보보안 담당자들은 사이버 공격은 더욱 지능화 될 것이라고 우려하면서도 2016년 보안 예산은 기존 시스템의 유지보수 수준에 그칠 것으로 예상했다. 2015년 12월 1일부터 18일까지 진행한 이 조사에는 공공·금융·기업 등의 정보보안 담당자 375명이 참여했다.<편집자>

개인정보 보호법 강화로 시장 활성화 기대 높아

2016년에도 정보보안 시장은 매우 어려운 시기를 겪게 될 것으로 보이지만, 개인정보 보호 분야에서는 상당한 사업 기회가 있을 것으로 예상된다. 2016년 1월부터 시행되는 개정 개인정보보호법에서는 주민등록번호를 처리하는 모든 기관·사업자들은 반드시 주민번호를 암호화해 보관해야 하며, 개인정보 유출 사고를 일으키면 실제 손해액의 최대 3배까지 보상하도록 돼 있다.

금융권에서는 신용정보법을 통해 개인정보 규제를 받는데, 개인식별정보가 없는 정보는 마케팅 용도로 활용할 수 있지만, 개인정보 유출시에는 최대 50억원까지 과태료를 물어야 한다.

개인정보 보호 관련 법안은 개인정보 유출로 인한 피해 여부와 피해 규모를 개인이 아니라 사고를 일으킨 기업/기관이 입증하도록 하고 있어 기업/기관의 개인정보 보호 투자가 크게 늘어날 것으로 예상된다.

‘2016 설문조사’에서도 기업/기관이 개인정보 보호에 많은 관심을 갖고 있다는 사실이 분명하게 드러나는데, 2015년 발생한 보안사고 중 가장 위험한 것이라고 판단되는 것을 묻는 질문에 ‘개인정보/중요정보 유출’을 꼽은 응답자가 20%로, 랜섬웨어(48%)에 이어 두번째를 차지했다.

또한 ‘2016년 신규 도입하거나 업그레이드 할 시스템/솔루션 중 중요도가 높은 순서 부터 선택해 주십시오’라는 문항에서 개인정보·내부정보 보호를 1순위로 꼽은 응답이 14.1%, 2순위로 꼽은 응답이 20.6%에 이르렀다.

더불어 ‘귀사가 준수해야 하는 규제 중 가장 민감하게 여기는 것’을 묻는 질문에 절반이 넘는 56%의 응답자가 개인정보 보호 관련 규제를 들었으며, 정보통신망법이 15.5%로 그 뒤를 이었다.

그러나 정보보안 규제 준수를 위해 새로운 시스템을 도입하는 것 보다 내부 조직과 기존 시스템의 개선점을 찾는다는 답이 많아 규제준수 이슈로 인한 새로운 시장이 형성될 것으로 기대하는 것은 난망하다.

2016 설문조사에서 규제준수를 위한 노력으로 ‘전담인력과 조직을 구성한다’ 28.7%, ‘별도의 예산이나 사업을 배정하지 않고, 기존 시스템/프로세스 상에서 개선점을 찾아보고 있다’는 답이 24%를 차지했다. 전문 솔루션 도입 25.6% 전문기관의 컨설팅 17.9%로 새로운 투자가 대규모로 발생할 것으로 기대하지는 못할 것으로 보인다.

(자료: 월간네트워크타임즈)
(자료: 월간네트워크타임즈)

정보보안 규제, 현실성·방향성 없이 수시로 바뀌어

정보보안 규제와 관련, 정보보안 담당자의 대부분이 방향성 없이 수시로 변경되는 규제로 인해 보안정책 수립에 어려움을 겪고 있다고 호소했다.

우리나라 정보보안 산업은 컨트롤타워가 없이 여러 부처에서 규제를 남발하고 있다는 지적이 오래 전부터 제기돼왔다. 특히 대규모 사이버 공격이 발생할 때 마다 급히 규제를 새롭게 재정하고 이를 의무화하도록 하고 있어 기업/기관이 규제준수 요건을 갖추기가 쉽지 않은 상황이다. 또한 우리나라 규제는 지나치게 세부적인 항목을 강제하고 있어 전사적인 정보보호 체계를 수립하는데 걸림돌로 작용하고 있다.

우리나라에서 규제준수를 위한 기업의 노력은 다음과 같은 순서를 무한반복한다.

▲보안사고가 발생하면 ▲정부가 급히 해당 사고를 재발하기 위한 대책 마련을 위한 규제를 발표하고 ▲기업/기관은 이미 예정돼 있는 정보보안 투자 계획을 중단하고 규제준수를 위한 시스템 개편과 솔루션 도입 검토와 도입 작업에 착수한다 ▲해당 사업이 완료되기 전 보안사고가 다시 발생한다 ▲정부는 해당 사고를 위한 규제를 또 만든다 ▲기업은 진행되던 보안사업을 중단하고 새로운 규제 준수를 위한 검토를 시작한다.

이러한 악순환의 고리를 끊기 위해 정부는 불필요한 규제를 없애고 기업/기관이 정보보안 시스템을 자유롭게 구축하고 운영하되, 보안사고가 발생했을 때 전적으로 책임지도록 하는 자율보안 체계 구축을 주문하고 있다. 그러나 수많은 중복 규제를 파악조차 하고 있지 못하고 있는데다가 여러 관계부처에서 요구하고 있는 규제를 정비할 수 있는 독립적인 기관도 없어서 정보보안 규제를 효율화 하는 것은 소리만 요란한 빈수레일 뿐이다.

또한 정부에서 만들어내는 규제가 현실을 고려하지 않은 탁상공론으로, 현실에 적용하기 어려우며, 구체적이지 않고 모호하다는 점, 규제를 위한 규제라는 점 등이 반복적으로 지적되는 부분이다.

‘2016 설문조사’에서 보안 담당자의 39.5%는 현실을 고려하지 않은 보안규제를 개선해야 한다고 답했으며, 26.1%는 구체적이지 않고 모호한 규제로 인해 규제준수에 어려움이 있다고 답했다. 13.4%는 정보보안 규제가 업무에 지장을 준다는 점을 지적했다. 

(자료: 월간네트워크타임즈)
저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사