국내에서 운영 중인 총 257개 인증이 통폐합, 삭제 등의 과정을 거쳐 189개로 축소되었다. 유사성, 중복성, 실효성을 따져 개선 조치되었다는 것이 국무조정실의 설명이다. 실제로 다른 선진국의 상황을 살펴보았을 때, 다른 나라는 법정인증은 안전, 의료, 보건으로 한정하기에 우리나라에 비하면 확실히 적은 편이다. 미국 93개, EU 40개, 중국 18개, 일본 14개니 말이다. 뭐 그렇다 한들, 사실 나야 여기서 관심있는 것은 ISMS 뿐이기야 하다.
ISMS의 경우, 연매출 100억 이상 의무 → 연매출 300억 이상 의무에 심사 항목과 기간마저 축소하여 엄청난 완화가 되었다.
당장 이 항목만 보면, 아니 그럼 기업 좋은 짓만 시켜주는 것 아니냐는 생각이 들 수밖에 없다. 보안에 있어서 마치 양보를 한 것처럼 보이니 말이다. 그러나 언제나 따져야 하는 것은 균형이다. 보안은 사실 아무리 투자하더라도 부족한 분야이기 때문에 그곳에 어느 정도의 여력을 쏟냐가 기업 입장에서는 매우 중요한 것이다.
그리고 국무조정실의 보도자료에서 밝히기를, ISMS에서 문제가 되었던 것은 과도한 인증비용이라고 한다.
사실 이 인증비용에 대해서는 꾸준히 문제가 되어오기는 했다. ISMS가 2002년에 도입되었고, 여러 과정을 거쳐 2018년에 ISMS-P의 통합 인증제도로 개선된 바 있다. 그러나 그 이후에도 인증의 부담을 낮춰달라는 요구는 지속적으로 존재했다. 그리고 그게 지금도 이어지고 있는 것이다. 단언컨대, 새롭게 완화된 2024년 2월 이후에도 이런 요구는 있을 것으로 보인다.
그리고 위에서 말했듯, 가장 중요한 것은 균형을 통한 최상의 결과다. ISMS, ISMS-P의 허들을 너무 낮추면 인증제도가 유명무실해질 것이고, 그렇다고 너무 높으면 그것을 포기하는 기업들이 생겨나 정보보호 관리와 인식의 고취를 퍼뜨리기 어려워질 것이다. 여기서 비용에 부담을 갖는 기업은 당연하게도 수익이 상대적으로 적은 소기업, 스타트업일 수밖에 없다. 인증 수수료, 시스템 구축 및 유지비, 컨설팅 비용까지 하면 억은 우습게 들어가기 때문이다. 특히나 실물 자산이 아닌 가상 자산을 주사업으로 내세우는 스타트업의 경우에는 더 부담스러울 수 있을 테고 말이다.
하지만 개인적으로 보안에 있어서 양보를 계속 하는 것이 맞나 싶기는 하다. '1년 수익의 절반이 들어간다.'는 것도 개인적으로는 너무 극단적인 예시를 들고 오지 않았나 싶다. 소기업 중에서는 그냥 과태료를 내고 말지의 경우도 있을 것이다. 그것도 결국 기업의 선택이라고 생각한다. 물론 안전한 것이 좋지만, 그것을 마냥 강요할 수는 없으니 말이다. 다만, 과태료가 조금은 저렴하지 않은가 싶기는 하다. 수 년마다 한 번씩 완화는 해주는데, 의무대상의 미인증 과태료는 과거와 그대로인 것이 과연 합리적인가 싶은 의문이 든다. 하나를 줬으면 하나를 받는 것이 인지상정인데 말이다.
개인적으로 미래에 추가적인 ISMS, ISMS-P의 완화는 가급적으로는 이루어지지 않기를 바란다. 그 시스템을 구축하기 위한 컨설팅 비용만 억대가 나온다는 하소연이 있지만, 그건 당연하지 않나 싶다. 이제 바뀐 제도를 기준으로 하면, 연매출 300억원 이상인 기업에서, 물론 이게 수익은 아니지만, 어찌되었건 그런 기업에서 컨설팅 비용 1~2억을 아쉬워 한다는 것은 소비자 입장에서는 다소 이해하기 어렵다. 이것도 결국 보안에 대한 인식이 더욱 높아져야 하는 일이라 생각한다. 보안을 선택이 아닌 필수로 여기는 사람이, 기업이 많아지길 바랄 뿐이다.
'IT 보안 소식 및 동향' 카테고리의 다른 글
| 팔로알토 "AI 공격에는 AI로 방어하라" (2) | 2024.03.07 |
|---|---|
| 3월 15일부터 시행되는 개인정보보호법 개정 핵심내용 4가지 (2) | 2024.03.06 |
| 가트너 선정, 2024 사이버 트렌드 (0) | 2024.02.23 |
| 구글 클라우드가 선정한 2024 사이버위협 빅4 국가 (1) | 2024.02.11 |
| 클라우드 보안인증 등급제 본격 시행 (0) | 2024.02.06 |