국내 정보보호산업은 언제 태동했을까. 관점에 따라 차이는 있겠지만, 정보통신부에 정보보호기획과가 설치돼 전통적으로 행정기관 중심의 정보보호를 산업정책의 대상으로 접근하기 시작한 것을 정보보호산업의 시작으로 볼 수 있겠다. 정보보호기획과에서 2002년 발표한 '정보보호 중장기 기본계획'은 최초의 정보보호산업 진흥을 위한 정책 로드맵이다. 정보보호산업의 초반 20년을 공공 수요, 정부 규제, 제품 중심의 정보보호산업 1.0 시대라고 한다면, 정보보호산업 2.0 시대엔 산업이 어떤 모습으로 변화해야 할까.
우선, 제품 중심에서 서비스 중심으로 바꿔야 한다. 서비스 제공자와 서비스 제공 대가를 정부가 정하지 않고 제공자와 이용자가 정하는 방식으로 전환해야 한다. 정보보호산업은 정보보호 제품과 서비스로 크게 구분하는데, 정보보호 수준을 평가하고 유지하기 위한 보안컨설팅이나 보안관제가 대표적 정보보호 서비스다. 2001년부터 주요정보통신기반시설에 대한 취약점 분석 및 보호대책 수립을 지원하기 위해 기술적·경영적 역량을 고려해 전문업체를 지정하고 있다. 전문업체로 지정되지 않으면 (실제 역량에 차이가 없는 경우에도) 입찰 참여 과정에서 불이익을 받을 수 있다.
정부의 전문업체 지정제도가 시장 자유경쟁을 저해하는 진입장벽 역할을 하는 것이다. 산업 초기엔 주요정보통신기반시설의 취약점 분석과 보호대책 수립을 할 수 있는 업체가 소수였고, 전문성을 판단하기 쉽지 않았을 것이다. 하지만, 기술이 보편화하고 경험이 풍부해진 현재 시점까지 전문업체 지정제도를 유지하는 것은 바람직하지 않다. 취약점 분석, 보호대책 수립, 컨설팅 등 발주기관이 전문기업을 직접 선정하는 방식으로 변경하는 것이 바람직하다.
또 '정보보호 교육은 (무료) 서비스 아닙니까'라는 발언을 어느 공공기관의 직원에게 들은 적이 있다. 정보보호 교육 서비스라는 말은 정보보호 교육이라는 용역(서비스)을 제공한 대가를 지급하는 대상이라는 것이지 무료로 제공되는 성격의 업무가 아니다. 공공기관의 정보보호 관련 평가에서 일정 수준 이상의 정보보호 관련 교육 이수 시간을 요구하고 있지만, 대부분 공공기관에서 제공되는 무료 교육으로 이수 요건을 채우고 있고 민간 유료 교육은 자격증 취득 과정 등을 위해서만 이용하고 있다. 정보보호 교육업체도 기존 콘텐츠 전달 위주의 사업방식에서 에듀테크, 인적자원(HR) 테크 전문기업으로 진화해야 할 시기다.
전문업체 지정제도, 정보보호 교육뿐만 아니라 초기 정책 목적을 달성했는데도 변화하지 않고 도입 당시 방식으로 유지되고 있는 제도를 정보보호 분야에서 어렵지 않게 찾을 수 있다. 그때는 맞았지만 지금은 틀렸을 수가 있다. 20년간의 정보보호산업 1.0 시대에 기술·관리 등에서 (선진국의 원천 기술을 개량한) 독자적인 국내 표준을 만들고 제품을 개발해 국내 공공 부문 중심의 보편적인 정보보호 수요 충족에 기여했다면, 새롭게 시작되는 정보보호산업 2.0 시대엔 기존의 성공 방식을 과감하게 탈피해 낯선 시도를 해야 할 것이다.
정보보호에서 필요조건을 확인하는 방식에서 충분조건을 갖췄는지 검증하는 방식으로 전환이 필요하다. 반드시 해야하는 보편적인 점검사항을 이행했는지 여부를 판단하는 방식에서 조직의 특성에 적합한 보안 프로세스를 보유하고, 그러한 의사결정을 조직 내부 중심으로 검증된 모형과 객관적 데이터에 근거해 수행하고 있는지를 평가하는 방식으로 변경해야 한다.
김태성 충북대 경영정보학과 교수(보안경제연구소장) kimts@cbnu.ac.kr
