금융·공공분야 정보보안, 자율규제로 전환

행자부 · 지자체 등 속속 도입
보안업계 "책임 소재 늘어나"
현장선 어려움 호소 한목소리
체계적인 지원책 제공 지적도

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


금융·공공분야 정보보안, 자율규제로 전환


정부가 정보보안 규제를 '강제'에서 '자율'로 바꾸는 기조가 확산되고 있다. 1일 보안 업계에 따르면 최근 금융과 공공 분야에서 당국이 정보보안과 개인정보보호에 대한 규제를 '자율규제'로 전환하고 있는 것으로 나타났다.

금융보안원은 지난해 통합 출범과 함께 금융권의 자율 규제 패러다임을 정착시키기 위해 노력하고 있다.

허창언 금융보안원장은 지난 7월 기자간담회에서 "금융계에 자율 보안과 자율 책임을 정착시킬 것"이라며 금융권 최고정보보호책임자(CISO)의 권한을 강화하고, 대신 책임도 늘려 '규정 미충족 시 2000만원 이하의 과태료 사항'을 추가한 점을 강조했다.

행정자치부는 지난달 말부터 시작한 1865개 공공기관에 대한 개인정보처리시스템 일제 점검 과정에 자율규제 방안을 도입했다. 시·군·구 등 기초 지방자치단체는 28개 항목에 대해 4주간에 걸쳐 우선 자율점검을 실시하도록 한 이후에 상위 기관인 시·도와 행정자치부의 점검을 받게 된다. 자율점검 기회를 우선 부여한 뒤 그래도 현장점검에서 위반사항이 발견될 경우 엄정하게 책임을 묻겠다는 것이다.

이처럼 정부가 자율규제 방침으로 전환하면서 현장에선 어려움을 호소하는 목소리도 나오고 있다.

보안 업계 관계자는 "기존에는 기업이나 기관이 '정부에서 하라는 것만 하면 된다'는 사고방식이었는데, 자율에 따라 책임 소재가 늘어난다는 점에서 어려워한다"고 전했다.

가령 해킹에 따른 대규모 개인정보 유출사태의 경우 기존에는 정부 등 당국이 정해둔 규정을 지키면 상당 부분 참작을 받을 수 있었지만, 이제는 해당 기업·기관이 얼마나 자체적으로 대책을 세우고 대비했는지에 따라 배상금이나 과태료 규모가 달라질 수 있다는 의미다. 또 다른 보안 업계 관계자는 "방향은 바람직하고 좋으나 현장 담당자들은 한정된 예산과 자원 때문에 스트레스가 상당하다"고 말했다.

이 때문에 관계 당국이 자율규제 확대에 따른 체계적인 지원책을 제공해야 한다는 지적도 나오고 있다.

이경호 고려대 정보보호대학원 교수는 "클라우드와 기계학습의 등장으로 보안에 대한 패러다임이 완전히 바뀌고 있다"며 "(자율규제가 정착하려면)기존의 단순 운영 위주를 벗어나 데이터를 이해·분석하고 기획할 수 있는 역량을 갖춘 새로운 형태의 인력구조가 필요하다"고 말했다.

이재운기자 jwlee@dt.co.kr

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사