정부가 정보보호 강화를 위해 발표한 정책의 실효성이 새해 판가름난다.
과학기술정보통신부는 최근 사이버 위협 정보 공유체계(C-TAS)를 개방형으로 전환했다. 정보보호 기업만 정보를 공유하는 것이 아니라 일반 기업에도 정보를 공유함으로써 랜섬웨어와 피해를 막겠다는 취지다.
C-TAS는 한국인터넷진흥원(KISA)에서 다양한 사이버 위협 정보 공유를 통해 침해에 대응하기 위해 328개 회원사가 참여하는 시스템이다. 하지만 정보보호 여력이 부족한 중소·영세기업이 참여하지 않아 보안 사각지대라는 지적을 받았다. 실제로 2021년 랜섬웨어 피해 기업 중 93%는 중소기업이었다.
보안업계 한 관계자는 "일반 기업들에게는 도움이 되겠지만, C-TAS 내 정보는 이미 알고 있거나 수준이 높지 않기 때문에 보안기업은 사실 쓸만한 게 없다"며 "해외 보안기업이 유료로 제공하는 위협 정보도 포함해야 도움이 될 듯하다"고 말했다.
정부는 해외 기업의 정보를 정부 예산으로 구매하기가 현실적으로 어렵다는 입장이다. 과기정통부 관계자는 "가장 유용한 정보는 다크웹 정보지만, 불법이다 보니 정부가 구매할 수 없는 한계가 있다"며 "경찰청이나 국정원 등 수사기관이나 보안 기업들의 도움을 받아 간접적으로 얻는 방법밖에 현재로선 할 수 없다"고 말했다.
이어 "해외 기업의 정보를 구매하는 것 역시 정부 예산으로 하기에는 제약이 많다"며 "간접적인 방식으로 최대한 많은 정보를 확보하기 위해 노력 중이다"고 말했다.
C-TAS 활동은 2021년 12월 의무화된 ‘정보보호 공시'의 공시항목에도 반영된다. 정보보호 공시란, 정보보호산업법 제13조 등에 따라 정보보호 투자 활성화와 이용자 보호를 위해 일정규모 이상 기업의 정보보호 투자와 인력 규모, 보안 인증현황을 공시하는 제도다. 매출액 3000억원이상이거나 정보통신서비스 일일평균 이용자 수가 100만명 이상인 기업만 의무공시 대상이다.
과기정통부가 예외 규정(공공기관, 금융사업자 등 제외)을 신설했음에도 일부 기업들 사이에서는 여전히 중복 또는 과잉 규제라는 목소리가 남아있다. 반면 보안 업계는 정보보호 공시 제도 의무화로 기업들의 정보 보호 투자가 늘어날 것으로 기대한다.
보안업계 관계자는 "그동안은 IT 투자액에서 정보보호 투자 비중이 3%내외인 곳이 대부분일 정도로 기업들이 보안 투자에 인색한 경향이 있다"며 "하지만 보안에 투자를 하지 않은 곳에서 보안 사고가 났을 때 비난받을 여지가 크기 때문에, 기업들이 앞으로 정보보호에 더 신경쓸 수밖에 없을 것이다"고 말했다.
류은주 기자 riswell@chosunbiz.com