분야를 막론하고 기업이 사업을 추진하는 과정에서 정보보안에 대한 고려가 필수로 인식되는 상황으로 변화되어 가고 있다. 특히 코로나 시대를 즉면해 많은 사업들이 인터넷을 통한 온라인으로 이루어지고 있음을 감안하면 보안의 도입은 더욱 절실하다.
작금의 시대에 보안의 도입없는 온라인서비스란 총알이 빗발치는 전쟁터에 방탄복없이 총만 들려 병사를 내보내는 것과 같다. 자살행위인 것이다. 그만큼 보안을 제대로 도입하고 운영하는 것이 중요해진 시대에 우리는 살고 있다.
현재 국내에서 온라인서비스에 대한 보안의 적절성을 평가하기 위해 이용되는 대표적인 제도는 ISMS-P(Personal Information & Information Security Management System)와 ISO 27001, ISO 27701 등이 있다.
ISMS-P는 국내 인증제도이며, 다른 두가지는 국제 인증제도로서 많은 기업들이 이 중 하나 이상을 선택해 보안성을 평가받고 있다.
중요한 점은 ISMS-P가 '국내용' 인증제도라는 점이다. 국내용이란 뜻은 평가결과 획득한 인증서가 국내에서만 가치가 있고 국제무대에서는 인정받지 못한다는 것을 의미한다.
기업들은 해외 사업을 위해 보안인증서가 필요한 경우 ISO 27001(ISMS)이나 ISO 27701(PIMS) 같은 국제인증서를 활용해야만 한다.
그럼에도 많은 국내기업들이 ISMS-P 인증을 받는 이유는 정보통신망법에서 강제화하고 있음에 기인한다. 자의반 타의반으로 법적 요구사항을 지키기 위해 인증을 받고 있다고 볼 수 있다.
트럼프 행정부가 들어서면서 시작된 보호무역주의의 강풍은 세계 많은 국가들을 보호무역주의로 돌아서도록 만들었다. 그에 발맞추어 자국 기업의 해외시장 진출에 장애가 되는 장벽을 찾아내 제거해 해외시장 진출을 강화하려는 움직임도 거세게 이루어지고 있다.
그 움직임에서 정보보안 시장도 예외는 아니다. 문제는 한국의 정보보안 시장 상황이 이같은 추세에 불리한 환경을 갖추고 있다는 점이다.
한국은 국제적으로 이미 통용되고 있는 ISO 27001·27701과 같은 인증제도를 활용하도록 하지 않고 국내용 인증제도인 ISMS-P를 만들어 활용하도록 강제하고 있다.
해외무역을 하는 기업들에게 이중의 비용을 지불토록 하는 부담을 안김과 동시에 국내에 진출한 해외기업에게 국제 인증서를 획득했음에도 국내 인증서를 다시 획득하도록 이중부담을 강요하는 모양세다.
중요 보안제품은 국제적으로 CC(Common Criteria) 인증제도가 있어 그 보안성을 평가하고 있다. 그러나 국내공공시장의 경우 도입시 CC 인증 외에도 국정원의 보안적합성 검증을 받도록 추가 요구하고 있어 해외기업들의 국내 공공시장 진출을 원천차단하고 있다.
클라우드 서비스가 최신 대세로 부각되고 있는 지금, 한국은 자체 클라우드 인증제도를 개발해 인증을 받도록 강요하고 있다. 이에 따라 국내에서 사업을 하고자 하는 클라우드 사업자는 국내 클라우드 인증을 받아야만 하므로 국내시장 진출의 걸림돌이 되고 있다.
정부기관의 한국시장과 국내 기업에 대한 보호의지는 이해할 수 있다. 더구나 지금까지는 국내시장과 보안기업을 보호하는 울타리 역할을 충실히 해온 것도 사실이다.
그러나 이제라도 세계시장을 향해 진출해야 할때다. 안전한 법의 보호 안에 머물러서는 한국 보안기업들의 국제경쟁력을 기대할 수 없는 무한경쟁시대에 우리는 살고 있다.
각국들의 첨예한 이해관계가 얽혀 있는 지금, 폐쇄적인 국내용 인증제도는 다른 국가들의 공격대상이 되기 좋은 먹이감에 불과해 그 자체로 차별화된 경쟁력을 가지지 못한다.
국내용 인증제도가 국제용으로 진화될 수 없다면, 과감히 국제표준을 선택해 해외시장 진출을 도모하는 공격적이고 적극적인 돌파의지가 필요하다. ⓒ 세이프타임즈
관련기사
- [데스크칼럼] 코로나19가 초대한 불청객 'DDoS 공격'
- [시큐리티] 코로나19가 불러 온 정보보안교육의 변화
- [시큐리티] IT기술·보안능력 갖춘 신흥강자의 부각
- [시큐리티] 간편결제, 편리와 위험의 공존
- [시큐리티] 5가지 기준 있어야 'IT업계 재택근무' 성공한다
- [시큐리티] 코로나19와 정보보안 업계의 고통
- [시큐리티] 정보보안 재택근무 철저한 준비 없다면 또다른 재난된다
- [시큐리티] CISO와 CPO 분리 과연 필요한가
- LG유플러스·한국전자통신연구원, 5G 기술분야 협력 MOU
- [시큐리티] 진취적 창업 가로막는 정보보안업계 '제약'
- [시큐리티] '랜섬웨어 감염' 이랜드그룹 사태를 보는 시각
- [시큐리티] '신한은행 공격' 해커 사이버 전쟁 포문 열다
- [시큐리티] GDPR과 개인정보보호위원회
- [시큐리티] 아파트 월패드가 해킹된 진짜 이유
- [시큐리티] 역사상 최악의 위협 'Log4j' 사태를 보며 …
- [시큐리티] 암호없는 세상이 다가온다
- [시큐리티] 정보보호 공시 발효했지만 아쉬움이 남는 이유
- [임홍철 칼럼] SK C&C 데이터센터 사고가 간과하고 있는 중요한 사실들
- [시큐리티] 가장 무서운 해킹공격은 메일 공격