민간이 주도하는 정보보호 준비도 평가 제도가 올해 말부터 시행된다. 이 제도는 강제성은 없으며, 최하등급 B 부터 최고등급 AAA까지 다섯 단계로 구분되며, 기업이 자발적으로 참여할 수 있게 인센티브를 부여한다.

미래창조과학부와 한국인터넷진흥원(KISA)이 등급 모델과 평가기준 방법 등 초기 제도를 설계한 후 민간에 이전해 자율적으로 시행토록 할 계획이며, 보안투자 비율, 인력·조직, 개인정보보호, 법규 준수 등 보안역량 강화를 위한 수준을 평가한다.

정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 개인정보보호인증제(PIPL) 등 기존의 제도는 정보통신망법, 개인정보보호법 등 관련 법률에 근거를 두고 있으며, 인증을 받지 않을 경우 과태료가 부과된다.

정보보호 준비도 평가 제도는 의무제도가 아니며, 평가 갯수도 다른 규제에 비해 적은 30개 정도 수준으로, 평가 기간이 짧고 필요한 비용도 저렴한 편이어서 대상 기업의 부담을 줄일 수 있다.

정부는 이 제도를 통해 비용과 전문성이 떨어지는 중소기업에서도 정보보호 관리 수준을 높일 수 있는 노력을 기울일 것이라고 전망하고 있다. 특히 기업 경영에 도움이 될 수 있도록 인증 등급에 따라 기업의 시설·제품 투자비용 세액공제 확대나 신규채용 인력 인건비 보조 등의 지원을 강화할 예정이다.

한편 KISA는 ‘정보보호 준비도 평가 사업화 방안’ 연구 용역을 발주했으며, 11월 용역이 종료된 후 본격적으로 시행할 예정이다.
 

김선애 기자 다른기사 보기