‘정보보호산업의 진흥에 관한 법률(정보보호산업진흥법)’이 오랜 진통을 거쳐 지난 달 마침내 제정되었다. 작년 7월 권은희 의원이 발의한 지 약 10개월 만에 통과된 것으로 6개월 간의 경과기간을 거쳐 올 12월부터 시행될 예정이다.

본 법안은 국가 안보를 좌우하는 핵심 요인이자 새로운 미래 먹거리인 정보보호 시장의 수요와 공급을 활성화시키는 데 초점을 두고 있다. 정보보호 제품과 서비스에 대한 적정 대가 지급에 기반해 정보보호산업의 성장을 촉진하는 한편 우수 인력을 확보하고 기술경쟁력을 높임으로써 사이버 위협에 대한 체계적인 대응책을 마련하겠다는 것이 주요 골자다.

▲ 박성민 컨설턴트
국내 정보보호 기업 입장에서 볼 때, 본 법안 제정은 정보보호 산업 진흥을 가로막던 여러 제약 요인들이 해소되고, 직간접적으로 정부의 지원이 보장되는 제도적인 기반이 마련되었다는 점에서 그 의미가 매우 크다. 법안의 주요 내용을 알아보고 이로 인해 개선이 기대되는 내용을 다뤄보고자 한다.

우선적으로 눈에 띄는 것은 정보보호산업의 수요를 높이는 데 중점을 둔 규정들이다. 정보보호 산업이 사고 발생시에는 전국민적인 주목을 받으면서도 지속적으로 성장하지 못하고 있는 가장 큰 이유는 아직 많은 기업들이 정보보안을 기업의 성장을 위한 투자가 아닌 추가적인 비용으로 바라보고 있기 때문일 것이다.

실제로 한국인터넷진흥원이 조사한 ‘2014년 정보보호 실태조사’ 연구 결과에 따르면, 약 10%의 기업만이 정보보호 예산을 편성하고 있었고, 전체 IT 예산의 5% 이상을 보안 분야에 투입한 기업은 전체 응답 기업의 2.7%에 불과한 것으로 나타났다.

이러한 문제 해결에 초점을 두고, 본 법안에는 정보보안에 대한 인식을 근본적으로 개선할 수 있는 다양한 내용들이 포함되었다. 제 6조(정보보호산업의 활성화)는 정보보호와 관련된 공공의 수요가 늘어날 수 있도록, 공공기관들의 정보보호 구매 수요 정보 및 시스템 구축 계획을 미래부에 제출하도록 규정했다. 제 12조(정보보호 준비도 평가 지원), 13조(정보보호 공시)는 기업의 정보보호 투자 현황을 공개적으로 평가하고 알맞은 수준으로 수행하는 기업에 인센티브를 지원 하는 내용을 담고 있다. 기업이 의무적 정보보호 조치 수준에서 더 나아가 자발적으로 정보보호 분야에 대한 투자를 해 기업의 정보보호 역량과 수준을 높일 수 있도록 유도한다는 방침이다.

또한 정보보안을 추가적인 비용으로 바라보는 것과 더불어, 정보보호 제품 및 서비스에 대해 합당한 대가를 받을 수 있는 환경이 만들어지지 않았다는 점도 큰 문제였다. 정보보호 솔루션은 제품과 유지관리로만 이뤄진 상용 소프트웨어와 달리 외부 위협요인으로부터 보안성을 유지하기 위한 ‘보안성 지속 서비스’가 요구되는데, 많은 정보보호 기업들은 이러한 서비스를 제공하면서도 이에 대한 대가는 받지 못하여 온 면이 있었다.

제 10조(정보보호제품 및 정보보호서비스의 대가)는 이러한 문제에 주목하여, 공공기관들이 정보보호 시스템의 품질 보장을 위한 적정 수준의 대가 지급을 위해 노력하고, 발주 모니터링 체계를 운영하는 내용을 포함했다. 이에 따라, 정보보호 제품 및 서비스에 대해 제값을 주고 받을 수 있는 환경이 조성되고, 불합리한 발주 관행이 개선될 수 있을 것으로 기대되고 있다.

정보보호 기업 및 제품이 세계 시장에서도 경쟁력을 확보할 수 있도록 공급 면에서도 많은 개선이 이뤄질 것으로 보인다. 이와 같은 견지에서, 정보보호 산업 진흥에 필요한 정책 수립 및 예산 확보 근거를 규정한 제 5조(정보보호산업 진흥계획 수립), 정보보호기술의 표준화, 거래 활성화, 개발 및 투자촉진에 중점을 둔 제 14조(기술개발 및 표준화 추진) 규정이 마련되었다.

또한 전문 인력 양성에도 힘을 쏟는다. 국내의 경우, 2010년 이후 매년 약 10만 건의 사이버 범죄가 발생하고 있으나, 이에 대응할 전문 인력 확보에는 미진한 상황이다. 한국인터넷진흥원에 따르면, 보안 전문가에 대한 수요는 지속적으로 치솟아, 2020년에는 약 1만 3천여 명 수준의 인력 부족 현상이 예상되나, 정보보호 인력을 발굴, 양성하기 위한 노력은 부족했던 것이 사실이다.

제 15조(인력 양성)는 이러한 상황을 반영해 전문인력의 수요 실태 파악 및 양성, 관리에 초점을 두고 있다. 정보보호 특성화 대학 선정으로 뛰어난 인재를 발굴하고, 사이버 전문 하사관, 정보보호특기병, 사이버특기의경 등을 신설해 전문인력들의 경력 단절을 방지한다. 또한, 공공기관 이전을 고려해, 지방에 위치한 기업/기관 대상의 산학연계 형 인력 양성도 촉진한다.

정보보호산업진흥법은 그간 우리나라 정보보호 기업들이 겪어왔던 어려움을 해소하고 산업 발전을 촉진시키는 핵심 동인으로 기능할 것으로 보인다. 우리나라 정보보호 기업들이 글로벌 수준으로 발전할 수 있는 법적 기반이 마련된 만큼, 기업, 기관, 정부의 지속적인 노력, 집약적 투자로 ‘사이버 방위산업’이자 ‘미래 신성장 산업’인 정보보호산업의 경쟁력을 높이기 위해 매진해야 할 것이다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지