보안사고 때만 '반짝대책'..정보화강국 걸맞는 근본처방을
리니지 사태로 촉발돼 전 인터넷 업계와 국민을 불안으로 몰아넣었던 명의도용 사건이 피해자 30여만 명이라는 결과와 함께 수습단계로 접어들고 있다.

언론은 여느 때처럼 크게 다루며 국가와 사회의 근본적 대책을 촉구하고 있다. 보안사고가 발생할 때마다 정보통신부를 비롯한 여러 부처에서 제각기 대책을 발표하고 있지만 보유정보의 암호화, 휴대폰 SMS인증, 직원 보안교육 강화 등 기본적 보안 조치를 취하지 않는 업체들에게 새롭게 마련된 대책이 효과가 있을 지 의문이 든다.
지난 1년 연예인 X-파일 사건, 전자문서 위변조 사건, 국정원 도감청 사건과 이번 사건까지 사고의 빈도와 심각성이 커지고 있어, 국민의 불안과 불신이 증가하고 있지만 정보화 강국이라는 우리사회는 왜 실효성 있는 대책 마련을 못하고 성수대교 사건에서와 같이 안전 불감증에 빠진 게임이나 즐기는 정보화 강국이라는 외국의 비아냥을 듣고만 있을까?

전문가로서 몇가지 방안을 제안하고 싶다. 먼저 기업의 정보보호 분야 투자를 유도해야 된다. 이를 위해서는 정보보호 시장의 특성을 알아볼 필요가 있다. 정보보호 시장은 토탈 솔루션 제공이라는 서비스 시장으로 바뀌고 있다. 과거의 시스템, 네트워크 보안을 넘어서 콘텐츠, 디바이스, 기업 영업 기밀까지 정보화 사회의 거의 모든 것이 보호 대상이 되기 때문에 단품적 정보보호 제품 설치와 안전점검이라는 과거의 잣대와 기준으로 만든 안전대책으로는 부족하기 때문이다.

유수기업들도 감사실 밑에 실질적 권한을 가진 CSO(보안책임관) 제도를 도입하고 있다. 또한 정보보호의 개념도 과거의 소극적 보호가 아닌 합법적 사용은 존중하되, 오남용 방지라는 적극적 개념으로 바뀌었다.

이같은 정보화 시장의 특성을 감안해 개별 기업의 정보보호 안전수준이 명시되도록 함으로써 투자정도에 따른 차별화가 이루어지도록 해야한다. 현재도 정보통신 기반보호법, 정보통신망법 등에 의거 정통부가 안전진단을 시행하고 있지만 대상과 범위가 지극히 한정돼 있어, 실효성 확보에 실패하고 있다.

정부 차원에서 본다면 기업과 같이 장기적으로는 정보보호 문제를 종합적으로 다룰 수 있는 범정부적 부처의 탄생이 필요하다. 예를 들어, 정통부에 권한을 주던지 현재의 구도에서 총리 산하의 정보화 추진위가 적극적으로 가동되던지 범정부적 대책 마련이 필요하다. 현재의 제도가 실패한 또 하나의 이유는 비현실적인 평가 수수료, ‘합격과 불합격’이라는 차별화의 필요성을 느끼지 못하게 하는 평가제도, 실효성 없는 안전진단 방법 등 정보보호 시장의 특성을 반영하고 있지 못한 안전진단제도 자체에 있다.

서비스 시장으로서 시장성을 내다 본 미국의 유수경영컨설팅 회사 및 회계법인들은 고급화되고 차별화된 정보보호 서비스를 제공하기 위해 방법론 개발 및 우수인력 확보에 투자를 늘리고 있지만, 우리의 현실은 아직 걸음마 단계에 머물고 잇다. 정부는 더 이상 영세 업체의 현실을 감안한 느슨한 규제가 아니라 적극적 역할을 해야 한다. 세계 최고라는 우리의 정보화 수준을 감안한 안전진단 방법론을 개발하고, 우수인력을 공급하며 형식적 형사 처벌이 아닌 징벌적 민사 책임제도를 도입해 안심하고 정보화 서비스를 누릴 수 있는 인프라를 구축하는 데에 주력해야 한다.

마지막으로 정부는 효과가 눈에 보이지 않는 정보보호 투자의 특성을 감안해 R&D 투자의 경우처럼 세제 혜택 등 우수 정보보호 투자 기업에게 인센티브를 제공할 수 있는 방안을 강구해야 한다. 아무쪼록 이번만은 선진 정보화 강국이라는 국가 비전이 위협 받지 않는 실효성 있고 근본적인 대책이 마련되기를 촉구한다.