‘정보보호산업의 진흥에 관한 법률(정보보호산업진흥법)’이 오랜 진통을 거쳐 지난 달 마침내 제정되었다. 작년 7월 권은희 의원이 발의한 지 약 10개월 만에 통과된 것으로 6개월 간의 경과기간을 거쳐 올 12월부터 시행될 예정이다.
본 법안은 국가 안보를 좌우하는 핵심 요인이자 새로운 미래 먹거리인 정보보호 시장의 수요와 공급을 활성화시키는 데 초점을 두고 있다. 정보보호 제품과 서비스에 대한 적정 대가 지급에 기반해 정보보호산업의 성장을 촉진하는 한편 우수 인력을 확보하고 기술경쟁력을 높임으로써 사이버 위협에 대한 체계적인 대응책을 마련하겠다는 것이 주요 골자다.
국내 정보보호 기업 입장에서 볼 때, 본 법안 제정은 정보보호 산업 진흥을 가로막던 여러 제약 요인들이 해소되고, 직간접적으로 정부의 지원이 보장되는 제도적인 기반이 마련되었다는 점에서 그 의미가 매우 크다. 법안의 주요 내용을 알아보고 이로 인해 개선이 기대되는 내용을 다뤄보고자 한다.
우선적으로 눈에 띄는 것은 정보보호산업의 수요를 높이는 데 중점을 둔 규정들이다. 정보보호 산업이 사고 발생시에는 전국민적인 주목을 받으면서도 지속적으로 성장하지 못하고 있는 가장 큰 이유는 아직 많은 기업들이 정보보안을 기업의 성장을 위한 투자가 아닌 추가적인 비용으로 바라보고 있기 때문일 것이다.
실제로 한국인터넷진흥원이 조사한 ‘2014년 정보보호 실태조사’ 연구 결과에 따르면, 약 10%의 기업만이 정보보호 예산을 편성하고 있었고, 전체 IT 예산의 5% 이상을 보안 분야에 투입한 기업은 전체 응답 기업의 2.7%에 불과한 것으로 나타났다.
이러한 문제 해결에 초점을 두고, 본 법안에는 정보보안에 대한 인식을 근본적으로 개선할 수 있는 다양한 내용들이 포함되었다. 제 6조(정보보호산업의 활성화)는 정보보호와 관련된 공공의 수요가 늘어날 수 있도록, 공공기관들의 정보보호 구매 수요 정보 및 시스템 구축 계획을 미래부에 제출하도록 규정했다. 제 12조(정보보호 준비도 평가 지원), 13조(정보보호 공시)는 기업의 정보보호 투자 현황을 공개적으로 평가하고 알맞은 수준으로 수행하는 기업에 인센티브를 지원 하는 내용을 담고 있다. 기업이 의무적 정보보호 조치 수준에서 더 나아가 자발적으로 정보보호 분야에 대한 투자를 해 기업의 정보보호 역량과 수준을 높일 수 있도록 유도한다는 방침이다.
또한 정보보안을 추가적인 비용으로 바라보는 것과 더불어, 정보보호 제품 및 서비스에 대해 합당한 대가를 받을 수 있는 환경이 만들어지지 않았다는 점도 큰 문제였다. 정보보호 솔루션은 제품과 유지관리로만 이뤄진 상용 소프트웨어와 달리 외부 위협요인으로부터 보안성을 유지하기 위한 ‘보안성 지속 서비스’가 요구되는데, 많은 정보보호 기업들은 이러한 서비스를 제공하면서도 이에 대한 대가는 받지 못하여 온 면이 있었다.
제 10조(정보보호제품 및 정보보호서비스의 대가)는 이러한 문제에 주목하여, 공공기관들이 정보보호 시스템의 품질 보장을 위한 적정 수준의 대가 지급을 위해 노력하고, 발주 모니터링 체계를 운영하는 내용을 포함했다. 이에 따라, 정보보호 제품 및 서비스에 대해 제값을 주고 받을 수 있는 환경이 조성되고, 불합리한 발주 관행이 개선될 수 있을 것으로 기대되고 있다.
정보보호 기업 및 제품이 세계 시장에서도 경쟁력을 확보할 수 있도록 공급 면에서도 많은 개선이 이뤄질 것으로 보인다. 이와 같은 견지에서, 정보보호 산업 진흥에 필요한 정책 수립 및 예산 확보 근거를 규정한 제 5조(정보보호산업 진흥계획 수립), 정보보호기술의 표준화, 거래 활성화, 개발 및 투자촉진에 중점을 둔 제 14조(기술개발 및 표준화 추진) 규정이 마련되었다.
또한 전문 인력 양성에도 힘을 쏟는다. 국내의 경우, 2010년 이후 매년 약 10만 건의 사이버 범죄가 발생하고 있으나, 이에 대응할 전문 인력 확보에는 미진한 상황이다. 한국인터넷진흥원에 따르면, 보안 전문가에 대한 수요는 지속적으로 치솟아, 2020년에는 약 1만 3천여 명 수준의 인력 부족 현상이 예상되나, 정보보호 인력을 발굴, 양성하기 위한 노력은 부족했던 것이 사실이다.
제 15조(인력 양성)는 이러한 상황을 반영해 전문인력의 수요 실태 파악 및 양성, 관리에 초점을 두고 있다. 정보보호 특성화 대학 선정으로 뛰어난 인재를 발굴하고, 사이버 전문 하사관, 정보보호특기병, 사이버특기의경 등을 신설해 전문인력들의 경력 단절을 방지한다. 또한, 공공기관 이전을 고려해, 지방에 위치한 기업/기관 대상의 산학연계 형 인력 양성도 촉진한다.
정보보호산업진흥법은 그간 우리나라 정보보호 기업들이 겪어왔던 어려움을 해소하고 산업 발전을 촉진시키는 핵심 동인으로 기능할 것으로 보인다. 우리나라 정보보호 기업들이 글로벌 수준으로 발전할 수 있는 법적 기반이 마련된 만큼, 기업, 기관, 정부의 지속적인 노력, 집약적 투자로 ‘사이버 방위산업’이자 ‘미래 신성장 산업’인 정보보호산업의 경쟁력을 높이기 위해 매진해야 할 것이다.