[정보통신신문=최아름기자]

중소기업의 정보보호 역량을 강화하고 정보보호의 사각지대를 최소화하기 위해 중소기업용 정보보호 인증 체계 도입이 필요하다는 주장이 나왔다.

국회입법조사처는 3일 중소기업의 정보보호 강화 방안에 대한 보고서를 펴냈다.

최근 사이버 공격이 지속적으로 증가하고 있으며, 특히 예산과 인력이 부족해 상대적으로 정보보호를 위한 투자를 하기 어려운 중소기업의 피해가 심각한 상황이다.

한국인터넷진흥원에 신고된 사이버 침해사고는 2018년 500건에서 2022년 1142건으로 증가했다. 최근 5년간 총 신고건수 3303건의 84.4%인 2788건이 중소기업 신고건이었다.

또 한국인터넷진흥원과 경기벤처기업협회의 ‘2023년 경기지역 중소기업 정보보호 보안실태 조사’에 따르면 전체 중소·벤처기업 550개 중 149개 기업(27.1%)만 정보보호 전담직원이 있다고 답변했다. 특히 전체 기업의 62.9%를 차지하고 있는 매출액 50억원 이하 기업의 경우에는 전담직원이 없거나(67%, 232명), 잘모르겠다(17%, 59명)는 답변이 84%(291명)에 달했다.

입법조사처는 이에 대한 개선 방안으로 △법적 근거 마련 △지역정보보호지원센터 수 증설 △정보보호 컨설팅 및 보안솔루션 사업의 기업당 지원 한도 확대 △중소기업용 정보보호 인증 체계 도입 등을 제안했다.

강은수 입법조사관은 “중소기업 정보보호 지원에 관한 명확한 근거가 없는 상태에서는 체계화된 중소기업 사이버안전망 강화 사업 지원에 한계가 있다는 지적이 제기된 바 있어, 중소기업의 정보보호 지원사업을 보다 안정적 연속적으로 추진·확대하기 위해서는 법적 근거를 마련할 필요가 있을 것으로 보인다”고 말했다.

한국인터넷진흥원의 사업에 중소기업 정보보호 지원과 이를 위한 지역정보보호지원센터의 설치 운영을 · 추가하는 방안이 고려될 수 있다는 의견도 제기되고 있다.

보고서는 센터에 대한 법적 근거가 마련된다면 센터의 안정적 운영 및 기능 강화를 통해 정부의 중소기업 정보보호 지원 정책을 보다 효과적으로 추진할 수 있을 것으로 기대된다고 분석했다.

보고서는 중소기업용 정보보호 인증체계 도입이 시급하다고 강조했다.

정부는 정보통신망법에 따른 정보보호관리체계(ISMS, Information Security Management System)와 개인정보 보호법에 따른 개인정보보호관리체계(PIMS, Personal Information Management System)를 통합해 정보보호및개인정보보호 관리체계(ISMS-P, Personal Information & Information Security Management System) 인증 제도를 운영하고 있다. 해당 제도에는 정보보호 중심의 ‘ISMS 인증과’ 개인정보의 흐름과 정보보호 영역을 모두 인증하는 ‘ISMS-P 인증’ 두 가지 유형이 있다.

그런데 이 제도는 기업의 규모에 따라 인증항목이나 평가방법 등을 별도로 구분하지 않고 있어, 정보보호 자원이 상대적으로 열악한 중소기업은 시간과 비용부담 등으로 인증 취득에 어려움이 있다는 것.

보고서는 정부는 2021년 ‘2021년 달라지는 정보보호제도와 지원 사업‘을 발표했는데, 제도 중 하나로 영세 중소기업에 인증기준을 완화하도록 하는 ‘ISMS 간편 인증 신설’이 포함됐으나, 관련 법률안이 계류 중인 상황으로 현재까지 제도가 도입되지 못하고 있다고 지적했다.

강 조사관은 “이 제도를 조속히 도입할 필요가 있다”며 “관련 법률안이 통과된다면 적극적 홍보를 통해 보다 많은 기업의 참여를 유도함으로써 중소기업이 자발적으로 정보보호 역량을 강화하고, 정보보호 사각지대를 해소해야 할 것”이라고 전했다.

최아름 기자 다른기사 보기