[정경섭 대표-The Dark Side Of ISMS(3)] ‘정보보호 공시제도’ 들어보셨습니까?

소비자 판단 기준 될 수 있도록 정보보호 노력하는 기업과 아닌 기업 의무공시 해야

정보보호 컨설팅 전문기업 이지시큐 정경섭 대표는 5회에 걸쳐 ISMS와 관련된 현실적인 이야기들을 데일리시큐 독자 그리고 국내 정보보호 실무자들과 공유하기 위해 아래 순서로 연재를 시작한다. ISMS 인증을 받았거나 준비하는 공공기관과 기업 보안담당자들에게 도움이 되길 바란다. -편집자 주-

[연재순서]
-The Dark Side Of ISMS 연재를 시작하며
-The Dark Side Of ISMS(1)-ITO의 딜레마
-The Dark Side Of ISMS(2)-ISMS인증 의무대상도 조정이 필요하다
-The Dark Side Of ISMS(3)-‘정보보호 공시제도’ 들어보셨습니까?
-The Dark Side Of ISMS(4)-ISMS인증 과태료는 어디로?
-The Dark Side Of ISMS(5)-하나가 될 수 없는 운명. ISMS와 -P

이 글을 읽는 사람은 정보보호 유관 업무에 종사하는 사람이거나 또는 정보보호에 관심이 있는 사람일 확률이 높다. 그렇다면 여러분들은 정보보호 공시제도를 들어본 적이 있는가?

정보보호 공시제도는 2015년 6월 제정된 ‘정보보호 산업의 진흥에 관한 법률(제13조) 및 동법 시행령 제8조’를 근거로 이듬해 8월부터 본격 시행된 제도다. 이해관계자의 알권리 확보 및 민간 정보보호 투자촉진을 위해, 기업의 정보보호 현황에 대한 정보를 공개하는 자율공시제도다.

“이용자에게는 기업 선택 시 정보보호와 관련한 객관적인 기준을 제공하고, 기업에는 경영의 주요요소로 정보보호를 포함하도록 하는 것”이 기본 취지다.

공시 대상은 정보통신망으로 정보를 제공하거나 정보 제공을 매개하는 자다.

△정보보호 투자 현황 △정보보호 인력 현황 △정보보호 관련 인증•평가•점검 등에 관한 사항 △정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황 등을 공시할 수 있다.

공시하고자 하는 기업은 자사 정보보호 현황을 작성하고, 과기정통부 장관이 운영하는 전자공시시스템(ISDS)에 입력하거나 한국거래소가 운영하는 전자공시시스템(KIND)에 입력하면 된다. 회계사, 정보시스템감리사, 정보보호 전문가 등으로 구성된 점검단으로부터 공시 모니터링 검증을 받을 수 있다.

공시한 기업에는 정보보호관리체계(ISMS)인증 수수료의 100분의 30을 감면해주고, 우수 기업의 경우 전자공시 시스템에 별도로 표시해 우대한다. 결론부터 말하면 매우 좋은 의도를 가진 좋은 제도다. 그래서 이 제도의 활성화를 위해 관련 부처는 설명회를 열기도 한다.

그러나 정보보호관리체계(ISMS)인증을 취득하고 유지하고 있는 기관의 숫자 대비 이 제도를 적극 활용하고 무려 30%의 할인을 누리고 있는 숫자는 매우 적다.

2019년 12월 중순 기준 정보보호 공시 건수는 55건이며 이 중의 대다수는 2~3회 이상 중복 등록한 건수이다. 그러면 순수 공시 기관은 그 반에도 미치지 못하고 있다는 말이 된다. 현재 ISMS와 ISMS-P의 인증 유지 건수는 합이 700건에 이르는데 그 5%에도 미치지 못하는 정보보호 공시건수.

왜 이럴까? 아마도 득보다 실이 크다고 느끼기 때문인 것으로 보인다.

"우리 정보보호 잘하고 있어요"라고 내놓고 자신있게 말할 수 있는 용기 있는 기관은 그리 많지 않으니까. 민족 정서상 눈에 띄거나 나서는 것을 별로 선호하지 않는 성향 때문인 것도 같지만 매년 들어가는 ISMS 인증 수수료의 30% 감면이라는 달콤한 미끼에도 혹하지 않는 것은 단순히 제도의 홍보 부족 탓 같지는 않다.

다소 이상한 해석처럼 보일지 모르겠으나 ISMS 인증을 취득하고 유지하는 기관들은 “우리 잘해요”라고 공시하는 순간, 시기와 질투의 대상이 되어 어둠의 공격자들에게 타깃이 되지 않을까 걱정한다.

필자 본인은 ISMS 컨설팅 최전선에서 수많은 고객을 만나면서 이 궁금증에 대한 답을 찾아보려 노력한 결과 아이러니하게도 위와 같은 대답을 가장 많이 들을 수 있었고 어느 정도는 공감이 되다가도 이어지는 안타까움이 더욱 뼈를 때려왔다. 왜냐하면 이들은 의무건 자율이건 ISMS 인증을 유지하고 있는 것만으로도 그 노력을 인정받아 마땅하기 때문이다.

그래서 필자가 생각하는 정보보호 공시제도가 표방해야 하는 방향은 제도의 도입취지에 매우 적합하게끔 수정되어야 한다고 주장한다. 달콤한 할인으로 유혹하며 정보보호 유관제도 홍보를 보조하는 “자율적” 제도가 아니라, 개인정보 주체에게 즉, 인터넷 서비스를 이용하는 소비자에게 “의무적”으로 공시되어야 한다고 생각한다.

다시 말하자면 이렇다. “ISMS 인증의무 대상 기관임에도 불구하고 인증의무를 회피하고 과태료를 내는 것으로 위험을 감수하는 (이것을 매년 반복하는) 사업자나 기관을 정부에서 공시하는 것. 반대로 ISMS 인증의무 대상 기관이 아님에도 불구하고 자발적으로 고객의 개인정보를 보호, 관리하기 위해 ISMS 인증을 취득하고 인증을 유지하는 기관을 공시하는 것”이다.

이를 개인정보 주체가 명확히 알도록 진정 소비자의 판단 기준에 참고될 만한 정보를 제공하는 것이 바로 진짜 정보보호 공시제도라 볼 수 있을 것이다.

적어도 “이용자에게는 기업 선택 시 정보보호와 관련한 객관적인 기준을 제공하는 것”이 제도의 취지라면 말이다. 정보보호에 관한 몇 가지 숫자와 내용의 나열로 인증 수수료 혜택을 주고 우대 정책을 적용하는 것보다 ISMS 인증의무 대상이 된 기관이 개인정보의 가치를 소중히 여기고 개인정보 주체의 권리를 무시하지 않고, 제도와 맞서지 않고, 인증 취득 및 유지보다 상대적으로 저렴하다고 판단해 과태료로 면죄부를 살 수 있도록 하지 못하게 하는 것.

이것이 진정 정보보호 공시제도가 가야 할 의미 있는 방향이다.