법제도/정책

“내년부터 서비스 운영전에 보안 점검받아야”

이민형 기자
- 방통위, 내년 2월부터 ‘정보보호 사전점검에 관한 고시’ 시행

[디지털데일리 이민형기자] 영국의 시장조사업체 오범(Ovum)의 ‘2011 웹 시큐리티(Web Security)’ 보고서에는 흥미로운 부분이 있다. 지난해 소니와 같은 글로벌 기업들이 해킹을 당하게 된 이유는 웹 서비스 구축 시 보안(secure code) 설계에 시간을 투자하지 않았기 때문이라는 주장이 나온다.

최근 국내에서 발생한 한국교육방송공사(EBS) 해킹사건도 이와 맥을 같이한다. EBS는 게시판 취약점을 생각하지 않고 설계, 운영하다가 개인정보 유출이라는 결말을 가져왔다. 서비스 구축 시 보안에 대한 설계를 잘 했더라면, 혹은 서비스 운영전에 보안 컨설팅을 받았더라면 해킹이라는 불상사는 일어나지 않았을 지도 모른다.

방송통신위원회는 이러한 사고를 미연에 방지하고자 ‘정보보호 사전점검에 관한 고시(안)’를 내놓고 내년 2월부터 본격 시행할 계획이라고 밝혔다.

‘정보보호 사전점검에 관한 고시(안), (이하 사전점검)’는 IT서비스의 구축 단계(계획·설계·구현·테스트)에서 정보보호 위협, 취약점, 위험 분석 등의 진단을 통해 사전에 취약점을 제거하고, 보호대책을 수립, 적용하는 일련의 보안컨설팅 활동이다.

지난 13일 서울 역삼동 GS타워에서 ‘기업 정보보안 강화를 위한 정보보호 제도 설명회’에서 한국인터넷진흥원 박해룡 팀장은 “신규 IT서비스를 위한 시스템 구축시 보안 취약성 발생 가능성이 커지고 있으나, 이에 상응하는 예방차원의 선행투자는 미흡한 상황”이라고 강조했다.

사전점검의 근거법령은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법, 2012년 2월 17일 개정)’이다. 정보통신망법 제45조의2(정보보호 사전점검) 2항에는 ‘방송통신위원회는 정보통신서비스 또는 전기통신사업을 시행하고자 하는 자에게 대통령령으로 정하는 정보보호 사전점검기준에 따라 보호조치를 하도록 권고할 수 있다’고 언급돼 있다.

사전점검은 점검 대상자가 정보통신망을 구축하거나 정보통신서비스를 제공하기 전 구축이나 설계 단계부터 실시한다. 점검 대상은 해당 사업자가 제공하려는 사업, 서비스의 하드웨어, 소프트웨어, 네트워크 등의 유·무형 설치와 시설을 대상으로 한다.

사전점검 고시(안)이 등장함에 따라 사전점검 수행기관도 새롭게 지정된다. 이에 따라 기존 ‘안전진단’을 수행하던 19개의 ‘정보보호 안전진단 수행기관’은 그 효력을 잃고 사라지게 된다.

사전점검을 수행하는 기관은 ‘사전점검 수행을 위한 외부 전문기관(사전점검 수행기관)으로 명명되며, 방통위는 내년께 지정 공고를 통해 수행기관을 지정할 계획이다.

사전점검 수행기관으로 지정되기 위해서는 ▲10인 이상의 정보보호기술 인력 ▲정보보호컨설팅 수행실적 ▲사전점검 수행 구역, 설비, 인력, 자료에 대한 보호대책을 보유하고 있어야 한다. 사전점검 수행기관 지정의 유효기간은 3년이다.

박 팀장은 “아직 고시안이 의결된 상황이 아니라 사전점검 수행기관 지정은 다소 늦어질 것으로 예상된다”며 “기존 ‘안전진단’ 수행기관들이 사전점검 수행기관으로 진입할 것으로 예상된다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널