▲ 임홍철 정보안전부장
▲ 임홍철 정보안전부장

분야를 막론하고 기업이 사업을 추진하는 과정에서 정보보안에 대한 고려가 필수로 인식되는 상황으로 변화되어 가고 있다. 특히 코로나 시대를 즉면해 많은 사업들이 인터넷을 통한 온라인으로 이루어지고 있음을 감안하면 보안의 도입은 더욱 절실하다.

작금의 시대에 보안의 도입없는 온라인서비스란 총알이 빗발치는 전쟁터에 방탄복없이 총만 들려 병사를 내보내는 것과 같다. 자살행위인 것이다. 그만큼 보안을 제대로 도입하고 운영하는 것이 중요해진 시대에 우리는 살고 있다.

현재 국내에서 온라인서비스에 대한 보안의 적절성을 평가하기 위해 이용되는 대표적인 제도는 ISMS-P(Personal Information & Information Security Management System)와 ISO 27001, ISO 27701 등이 있다.

ISMS-P는 국내 인증제도이며, 다른 두가지는 국제 인증제도로서 많은 기업들이 이 중 하나 이상을 선택해 보안성을 평가받고 있다.

중요한 점은 ISMS-P가 '국내용' 인증제도라는 점이다. 국내용이란 뜻은 평가결과 획득한 인증서가 국내에서만 가치가 있고 국제무대에서는 인정받지 못한다는 것을 의미한다.

기업들은 해외 사업을 위해 보안인증서가 필요한 경우 ISO 27001(ISMS)이나 ISO 27701(PIMS) 같은 국제인증서를 활용해야만 한다.

그럼에도 많은 국내기업들이 ISMS-P 인증을 받는 이유는 정보통신망법에서 강제화하고 있음에 기인한다. 자의반 타의반으로 법적 요구사항을 지키기 위해 인증을 받고 있다고 볼 수 있다.

트럼프 행정부가 들어서면서 시작된 보호무역주의의 강풍은 세계 많은 국가들을 보호무역주의로 돌아서도록 만들었다. 그에 발맞추어 자국 기업의 해외시장 진출에 장애가 되는 장벽을 찾아내 제거해 해외시장 진출을 강화하려는 움직임도 거세게 이루어지고 있다.

그 움직임에서 정보보안 시장도 예외는 아니다. 문제는 한국의 정보보안 시장 상황이 이같은 추세에 불리한 환경을 갖추고 있다는 점이다.

한국은 국제적으로 이미 통용되고 있는 ISO 27001·27701과 같은 인증제도를 활용하도록 하지 않고 국내용 인증제도인 ISMS-P를 만들어 활용하도록 강제하고 있다.

해외무역을 하는 기업들에게 이중의 비용을 지불토록 하는 부담을 안김과 동시에 국내에 진출한 해외기업에게 국제 인증서를 획득했음에도 국내 인증서를 다시 획득하도록 이중부담을 강요하는 모양세다.

중요 보안제품은 국제적으로 CC(Common Criteria) 인증제도가 있어 그 보안성을 평가하고 있다. 그러나 국내공공시장의 경우 도입시 CC 인증 외에도 국정원의 보안적합성 검증을 받도록 추가 요구하고 있어 해외기업들의 국내 공공시장 진출을 원천차단하고 있다.

클라우드 서비스가 최신 대세로 부각되고 있는 지금, 한국은 자체 클라우드 인증제도를 개발해 인증을 받도록 강요하고 있다. 이에 따라 국내에서 사업을 하고자 하는 클라우드 사업자는 국내 클라우드 인증을 받아야만 하므로 국내시장 진출의 걸림돌이 되고 있다.

정부기관의 한국시장과 국내 기업에 대한 보호의지는 이해할 수 있다. 더구나 지금까지는 국내시장과 보안기업을 보호하는 울타리 역할을 충실히 해온 것도 사실이다.

그러나 이제라도 세계시장을 향해 진출해야 할때다. 안전한 법의 보호 안에 머물러서는 한국 보안기업들의 국제경쟁력을 기대할 수 없는 무한경쟁시대에 우리는 살고 있다.

각국들의 첨예한 이해관계가 얽혀 있는 지금, 폐쇄적인 국내용 인증제도는 다른 국가들의 공격대상이 되기 좋은 먹이감에 불과해 그 자체로 차별화된 경쟁력을 가지지 못한다.

국내용 인증제도가 국제용으로 진화될 수 없다면, 과감히 국제표준을 선택해 해외시장 진출을 도모하는 공격적이고 적극적인 돌파의지가 필요하다. ⓒ 세이프타임즈

저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지

관련기사