2008년 국내 최대 전자상거래업체인 옥션에서 1863만건의 고객 개인정보가 유출된 이래로 1000만건 이상의 개인정보유출사고가 끊이지 않고 발생하고 있고, 개인정보를 수집하여 자사의 서비스 제공에 활용하고 있는 금융, 통신, 게임, 포털 등 거의 대부분의 사업자들이 이러한 침해사고에 노출돼 있다. 전체 국민의 상당수, 경우에 따라서는 대부분이 피해자가 되고 있는 사건이 이어지고 있는데도 실제 피해에 대해 적절하게 보상이 됐다는 소식은 들어본 적이 거의 없고, 이어지는 사고에 개인들은 점점 무디게 반응을 하는 것으로 보인다.
개인정보침해사고로 발생한 손실은 환경 파괴로 인한 손실과 유사하게 단기적으로 측정되기가 어렵고 경제적으로 환산하기가 어려운 측면이 있다. 하지만, 개인정보침해를 포함한 사이버보안사고로 인해서 발생하는 사회적 비용을 사업자가 부담하지 않을 경우 그 피해는 고스란히 이용자들에게 돌아가게 된다. 징벌적 배상이나 단체 소송제가 도입되지 않은 국내의 경우 정부의 규제와 과징금 부과가 사회적 비용을 사업자에게 내재화하는 수단이 될 수 있다. 개인정보취급사업자의 경우 과징금 부과를 회피하기 위해서는 사이버보안 사고를 예방하거나 손실의 규모를 최소화할 수 있도록 노력을 하게 될 것이다.
미래창조과학부는 지난 6월 2일 시행된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'의 시행령 및 시행규칙 개정안에 따라 정보보호 관리체계(ISMS) 인증제도의 인증 의무대상을 의료 및 교육 분야로 확대시켰다. 이에 따라 국내 대학 중에서 재학생 수 1만명 이상의 종합대학과 세입 1500억원 이상의 상급 의료기관은 의무적으로 ISMS 인증을 받아야만 한다. 이번 조치 이전에도 11개의 사이버대학이 ISMS 인증을 받은 적이 있지만, 일반 종합대학은 아직 인증을 받은 사례가 없다. 민감정보를 취급하는 비영리기관으로 ISMS인증의 대상을 확대하는 것은 늦었지만 장기적인 관점에서 적절한 조치로 판단된다. 다만, 제도의 안정적인 정착을 위해서 몇 가지 제언을 드리면 다음과 같다.
먼저, 자율규제와 의무규제의 병용이 필요하다. 자동차 보험도 책임보험과 종합보험으로 구분해 모든 자동차 소유자가 의무적으로 대인과 대물에 대한 일정 수준의 배상 한도를 보험으로 보장받을 것을 요구하고 있다. ISMS 인증도 의무대상기관 지정과 병행해 의무대상서비스를 구분해 지정하는 형태로 개선하는 것이 바람직할 것으로 판단된다. ISMS의 필요성에 대해서는 인지하고 있더라도 전담인원과 예산의 부족 때문에 인증 신청을 꺼리고 있는 기관들이 다수이고, 특정 기관에서 보유한 정보시스템이나 제공하고 있는 정보서비스 중에도 상대적인 중요성이 다를 수 있기 때문이다. 인증도입이 시급한 기관과 서비스의 유형을 구분해 점진적으로 의무대상을 확대해나가는 것이 수검기관의 제도수용에 도움이 될 것이다.
주요정보통신기반시설에 대한 관리와 연계되는 것이 중복규제 등의 우려를 방지할 수 있을 것이다. 주요정보통신기반시설에 대한 취약점 분석·평가와 ISMS인증 대상자가 중복되는 경우에는 취약점 분석·평가를 받은 기관에 대해(ISMS 인증을 받은 기관의 경우) 당해년도 ISMS인증의 사후관리에 대한 심사를 면제해주거나, 중복된 항목에 대해서는 기존 취약점 분석·평가 또는 ISMS 인증 결과를 사용하는 등의 형태로 연계하는 것이 피검기관의 부담을 경감할 수 있을 것이다. 주요 정보통신기반시설의 보호에 관한 사항을 심의하기 위해 국무총리 소속하에 정보통신기반보호위원회를 두고 있는데, ISMS인증 대상이 미래부 이외 부처 관할 범위로 확대되고 있으므로 ISMS인증에 대한 사항을 심의하기 위한 범부처적인 별도의 위원회를 두는 것이 적합할 것이다.
ISMS인증의 경제적 효과에 대해 측정할 수 있는 체계적인 연구가 병행돼야 할 것이다. 정보보호 투자로 얻을 수 있는 편익에는 무형적 요소가 다수 존재하며, 정보보호의 성과가 광범위해 범위설정이 어렵고 성과를 얻기까지 많은 시간이 소요되므로 직간접적인 편익을 측정하는 데에도 많은 어려움이 존재한다. 따라서 조직의 자율적이면서 체계적인 정보보호 인프라 구축을 독려하기 위해서는 투자의사결정을 지원하기 위한 가이드라인이 필요하며, ISMS인증을 포함한 정보보호 투자의 경제적 효과를 측정하기 위한 자료 축적 및 연구 분석이 지속적으로 수행돼야 한다.
지난 7월 미래부의 정보보호 특성화대학 지원사업에 선정된 충북대학교에서는 보안컨설팅 전문인력을 양성하기 위한 한가지 방안으로 충북대의 ISMS인증 수검 준비와 사후 관리를 지원사업에 참여하고 있는 산업체 전문가, 교수, 학생이 정규교과목과 현장실습을 활용해 자체적으로 진행하는 계획을 준비하고 있다. 산학협력을 통한 자체적인 인증 컨설팅이 성공한다면, 충북대병원, 충북도청, 청주시청 등 중부권 교육기관, 의료기관, 행정기관 및 그 산하기관에 ISMS인증을 지원할 수 있는 지역 기반의 선순환적인 정보보호 생태계가 형성될 것이다.
