KISIA, 정보보호 제도개선 협의체 4차 회의 개최

정보보호제품의 직접구매(분리발주)를 위한 개선사항 논의

[보안뉴스 원병철 기자] 한국정보보호산업협회(KISIA, 회장 이동범, 이하 ‘협회’)는 2021. 12. 8(수)에 ‘정보보호 제도개선 협의체 4차 회의’를 개최했다고 밝혔다. 협의체는 초대 의장을 맡은 엔시큐어의 문성준 대표를 중심으로 국내 주요 정보보호기업(협회 회원사) 8개사 대표가 한 자리에 모여 주제별 현행 제도에 대한 기업 대응 현황과 애로사항을 공유하고 제도 개선을 위한 전략의 제시와 실행방안 마련을 위해 설립되었다.

이번 4차 회의에서는 정보보호제품의 직접구매(분리발주)에 관하여 논의했다. SW직접구매는 발주기관이 공공 정보화사업 추진시 HW·SW구매, 시스템통합 등의 사업에 상용소프트웨어 구매를 포함해 발주하는 것이 아니라, 상용소프트웨어만을 별도로 발주, 평가·선정, 계약하는 제도이다.

정보보호SW도 이 제도에 적용되어 많은 기업들이 혜택을 받고 있지만, 문제는 방화벽(FW), 침입방지시스템(IPS) 등 일체형 정보보호 제품(Appliance)이다. 일체형 정보보호제품은 제도상 HW로 분류되어 직접구매 대상이 아니기 때문에 대부분 시스템통합(SI)사업으로 진행되어 제도의 사각지대에 놓여있다.

일체형 정보보호제품은 일반 네트워크 장비와 달리 최신 사이버 위협에 대응하기 위해 지속적인 SW업데이트 및 보안정책 관리가 요구된다. 즉, 일체형 정보보호 장비의 HW는 SW가 정상적으로 작동할 수 있도록 보조하는 역할이며, 실제적인 정보보호활동은 SW에서 이루어진다. 협회에서 자체적으로 정책연구를 통해 조사한 결과에서도 일체형 정보보호제품(Appliance)의 HW:SW 원가비율은 27:73으로 나타나 SW가 압도적으로 높은 비중을 차지하였다. 그러나 현재 일체형 정보보호제품은 HW로 분류되어 결국 SI기업의 하도급으로 참여해 가격을 하향 조정하는 폐해가 지속되고 있다.

이에, 협의체에서는 ‘소프트웨어사업 계약 및 관리감독에 관한 지침’에 직접구매 대상에 SW뿐만 아니라 일체형 정보보호제품도 포함하거나, 또는 ‘정보보호산업의 진흥에 관한 법률’을 개정해 ‘정보보호 직접구매’ 제도를 신설하자는 의견이 제시되었다.

문성준 협의체 의장(엔시큐어 대표)은 “디지털 전환이 가속화되면서 동시에 사이버위협도 고도화되고 있다. 그러나 사이버 위협을 방어할 정보보호제품의 적정대가 지급은 아직까지 이루어지지 않고 있는 것이 현실”이라며, “급변하는 디지털 환경 속에서 새로운 위협에 대응하고 국내 정보보호산업의 경쟁력 강화를 위해 정보보호 직접구매는 꼭 필요한 제도가 될 것”이라고 강조했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)