최근 '정보보호산업법 시행령 개정안'이 입법예고 되었습니다. 주요 골자는 정보보호 공시 대상자의 대폭 확대입니다. 보안 수준을 높이겠다는 취지는 이해하지만, 현장에서 발로 뛰는 실무자로서 이번 개정안이 과연 '실질적인 보안 강화'로 이어질지, 아니면 '행정적 부담'만 가중시킬지 깊은 우려가 앞섭니다.
1. "모든 상장사"가 공시 대상? 현실과의 괴리
이번 개정안의 핵심 중 하나는 공시 의무 대상을 '모든 상장사'로 확대한다는 점입니다. 하지만 냉정하게 따져봅시다. 우리나라의 모든 상장사가 IT를 주력 사업으로 하지는 않습니다.
상장사 중에는 대외 IT 서비스가 전혀 없거나, 심지어 자체 서버 한 대 없이 운영되는 곳도 허다합니다. 이런 기업들에게까지 정보보호 현황을 공시하라는 것이 과연 실효성이 있을까요? 데이터 자체가 존재하지 않거나 무의미한 지표를 억지로 만들어내야 하는 상황이 불 보듯 뻔합니다. 현실을 도외시한 채 숫자 채우기에 급급한 법안이 아닌지 의심스러운 대목입니다.
2. ISMS 의무대상자 확대, 영세 업체의 비명
더 큰 문제는 'ISMS 인증 의무대상자' 부문입니다. 매출액 100억 이상, 회원 수 100만 명 이상의 기준을 충족한다면 어느 정도 규모가 있다고 볼 수 있지만, 현장에서 만나는 실상은 참담합니다.
인증 심사원으로 활동하다 보면, 정보보호를 전혀 모르는 개발자 한 명에게 '보안담당자' 타이틀만 달아주고 컨설팅 업체가 시키는 대로 형식적인 심사만 받는 기업이 수두룩합니다. 그나마 사정이 나은 곳도 담당자 한두 명이 예산도 없이 퇴근을 반납해가며 꾸역꾸역 보안 시스템을 지탱하고 있는 것이 현실입니다.
3. 보안 업무의 본질을 흐리는 '회계 데이터'와의 싸움
공시를 하려면 정보보호 투자액, 인력 현황 등 회계적인 데이터가 필수적입니다. 그런데 회사가 보안 담당자를 위해 회계법인 컨설팅을 붙여줄까요? 절대 아닙니다. "정보보호산업법이니까 보안팀이 알아서 해"라는 지시가 내려오겠죠.
결국 회계를 모르는 보안 담당자가 생소한 재무 데이터를 들여다보며 밤을 지새워야 합니다. 데이터의 정확성을 확신할 수 없으니, 혹시라도 현장 점검 대상이 될까 봐 가슴 졸이는 건 덤입니다.
4. 보안 강화인가, 보안 공백인가?
가장 우려되는 지점은 업무 우선순위의 역전입니다. 법적 의무를 준수해야 하니, 당장 눈앞의 취약점 점검이나 실시간 관제보다 '공시 서류 작성'이 최우선이 됩니다.
공시를 준비하는 1~2주 동안, 현장의 보안 담당자들은 본연의 방어 업무에 집중할 수 없습니다. 법을 지키느라 발생하는 역설적인 '보안 공백'입니다. 보안 수준을 높이기 위해 만든 법이 오히려 보안 현장을 무력화시키는 꼴입니다.
마치며: 보여주기 행정이 아닌 실질적 대안을
정보보호 공시 제도의 취지는 좋습니다. 기업이 보안에 얼마나 투자하는지 투명하게 공개하여 사회적 책임을 묻는 것, 필요한 일입니다.
하지만 지금처럼 사고가 빈번한 현실 속에서, 서류상의 수치만 늘리는 방식이 최선일까요? 현장 실무자들의 목소리를 반영하여 기업 규모와 특성에 맞는 유연한 적용이 필요합니다. 보안 담당자가 '서류'가 아닌 '자산'을 지킬 수 있는 환경을 만드는 것이 먼저여야 합니다.
여러분의 생각은 어떠신가요? 현업에 계신 다른 담당자분들의 의견도 궁금합니다.
'보안 이야기' 카테고리의 다른 글
| [보안 담당자의 고백] "들리지 않는 외침", 피싱·스미싱 교육의 현실과 해법 (1) | 2026.01.17 |
|---|---|
| ISMS-P 인증심사 강화, 제도의 취지와 현장의 현실 사이 (0) | 2025.12.17 |
| IT 스타트업, 보안조직 구성의 현실과 이상 (1) | 2025.08.31 |
| '체크리스트 보안'을 할수밖에 없는 중소기업 보안담당자의 현실 (3) | 2025.08.09 |
| SKT 가명처리 정지 소송 대법원 판결에 대한 보안담당자의 우려 (0) | 2025.07.21 |
ligilo
행복한 하루 되세요~