1. 목적

정보통신 기술분야의 의존도가 오르면서 사이버피해는 급증하고, 개인을 넘어 사회와 국가안보까지 위협하고 있고, 그 예로 각종 대형사이트의 개인정보유출사건, 농협 전산망 마비 사태, 6.25사이버테러, 한수원 해킹 사태 등이 있다. 사이버공간에서의 사고는 점차 현실공간보다 큰 위협으로 진행되고 있는 추세이다.

 사이버테러에 대한 대응과 예방을 완벽하게 하는 것은 매우 어렵고, 이를 위해서는 사이버 공간 보호를 위한 지속적인 노력이 필요하며 정보보호 역량강화를 위해 안정된 정보보호산업의 뒷받침이 필요한 상황이다.

 하지만 우리나라는 세계에서도 알아주는 IT강국임에도 불구하고, 정부차원의 체계적인 정보보호산업의 규율이 부재하여 정보보호산업의 발전과 일자리 창출 등의 환경조성이 어려운 상태이다.

 따라서 정보보호 산업육성 관련 법의 필요성이 더욱 커지고 있다. 이에 국내 정보보호시장의 확대, 정보보호전문가의 양성, 정보보호제품개발을 위해 수요확충, 새로운 시장 창출, 정보보호인력의 체계적 관리 등의 법적 근거를 마련하고, 정보보호산업의 경쟁력 강화를 위한 법률 제정을 목적으로 한다.

2. 법안통과 절차

1) 제안 접수

<의안 원문 일부>

2) 위원회 심사 (2014.07.08~2015.05.06)

3) 본회의 심의 (2015.05.29)

4) 정부이송 (2015.06.11)

3. 주요 내용

다음은 법안의 주요내용을 요약한 것이다. 법안 발의 목적과 같이 국내 정보보호 시장의 확대, 정보보호 전문가 양성, 세계 최고 수준의 정보보호 제품개발 등을 통한 수요 확충과 신시장 창출, 정보보호 전문인력의 체계적 양성·관리, 세계적인 정보보호 기업 육성 지원 등의 내용을 담고 있다.

ㆍ 정보보호, 정보보호산업, 정보보호 기업 및 이용자 등에 대한 개념을 정의함(안 제2조)

ㆍ 미래창조과학부장관은 정보보호산업의 진흥에 관한 정책목표 및 방향을 설정하기 위하여 진흥계획을 수립․시행하며, 필요재원을 확보할 수 있음(안 제5조)

ㆍ 정보보호와 관련한 공공 수요를 촉진하기 위하여 국가기관 등으로 하여금 정보보호 구매수요 정보 및 시스템 구축 계획 등을 미래창조과학부장관에게 제출하도록 함(안 제6조)

ㆍ 공공기관등은 정보보호시스템의 품질보장을 위한 적정 수준의 대가 지급을 위해 노력해야 하며, 미래창조과학부장관은 부당한 발주행위가 일어나지 않도록 조치하도록 함(안 제10조)

ㆍ 미래창조과학부장관은 정보보호산업과 그 밖의 산업 간의 융합을 촉진하기 위한 사업을 할 수 있도록 함(안 제11조)

ㆍ 미래창조과학부 장관은 정보통신서비스 이용자의 안전을 위하여 정보보호 준비도 평가 심사 및 인정을 수행하는 기관에 필요한 지원을 할 수 있도록 함(안 제12조)

ㆍ 미래창조과학부장관은 정보보호산업에 관한 기술 개발, 투자 촉진 및 표준화 추진을 위한 사업을 할 수 있도록 함(안 제14조)

ㆍ 미래창조과학부장관은 정보보호 전문인력을 육성하기 위한 시책을 수립·시행할 수 있고, 미래인재 발굴 및 학점이수 인턴제도 지원, 정보보호 융합 촉진 전문가 양성‧활용 등을 할 수 있도록 함(안 제15조)

ㆍ 미래창조과학부장관은 정보보호제품 및 기술 등의 품질확보․유통촉진․이용자 보호․융합산업 활성화 등을 위하여 성능평가를 지원할 수 있도록 함(안 제17조)

ㆍ 미래창조과학부장관은 매년 우수 정보보호제품‧서비스 등을 지정하여 우선구매 등을 지원할 수 있고, 우수 정보보호 기업을 지정하여 자금융자, 수출‧세제지원 등을 할 수 있도록 함(안 제18조부터 제22조)

ㆍ 미래창조과학부장관은 정보보호 서비스를 안전하고 신뢰성 있게 수행할 수 있는 전문업체를 지정‧관리할 수 있도록 함(안 제23조)

ㆍ 미래창조과학부장관은 정보보호산업의 진흥을 전담하는 기관을 설립하거나 위탁‧운영할 수 있도록 하고, 정보보호산업 관련 협회를 설립할 수 있도록 함(안 제24조 및 제25조)

ㆍ 정부는 정보보호 산업 관련 제품 및 서비스 이용자의 기본권익을 보호하기 위하여 필요한 시책을 수립·시행하여야 하며, 미래창조과학부장관은 정보보호 관련 사업자가 자율적으로 준수할 수 있는 이용자 보호지침을 정할 수 있음(안 제37조)

ㆍ 정부는 공공기관의 경영실적 평가 시 정보보호 실적(정보보호의 관리적, 기술적, 물리적 조치 현황 및 운영 실적 등)을 반영하여 평가하도록 함(안 제38조) ​

4. 현재 상황 및 기대 효과

앞서 이 법안의 통과 절차를 보면 알겠지만, 지난해 7월에 발의된 법안이다. 이는 국회 파행과 다른 법들에 밀려 이제서야 통과되어 올 해 말에 시행될 예정이다. 정보보호산업진흥법 제정이 지지부진한 사이에도 국가주요기반시설에 대한 공격이 계속되었던 정황이 포착되었고, 이 중 대표적인 예로 한수원 원전 도면 유출 사태를 들 수 있다. 이처럼 열악한 환경에 놓여있는 국내 정보보안산업의 현 주소와 이번 법 제정으로 인해 개선이 기대되는 사항을 알아보자.

​
1) 예산 관련

이처럼 국내 기업의 정보보호에 대한 투자는 매우 부족하다고 볼 수 있다. 이는 한국인터넷진흥원에서 실시한 “2014년 정보보호 실태조사”에서 수치상으로도 확인이 가능하다.

<2014년 정보보호 실태조사 중 예산부문>

국내 기업의 경우 5%이상의 예산을 투자한 기업의 비율은 2.7%에 불과한 반면 미국 기업의 경우 동일 항목에 대해 40%에 육박하는 것과 크게 비교가 된다. 
다행히도 이번 법률안 중 제6조(정보보호시스템의 공공 수요 촉진), 제7조(공공기관 등의 정보보호시스템 구축 등 계약), 제20조(자금융자), 제22조(세제 지원 등) 의 항목에 수요증가와 예산편성 증가 등의 내용이 직접적으로 명시되어 있어 추후 개선의 여지가 충분하다고 보여진다.
​

2) 인력 관련

2010년 이후 매년 약 10만 건의 사이버범죄가 발생하고 있으나 이에 대응할 정보보안인력이 매우 부족하다는 사실이 최근 국정감사에서 지적된 바 있다. KISA에 따르면 앞으로 5년 동안 1만 3천여 명의 보안인력이 부족할 것으로 예상하고 있다.
이는 점차 개선되는 모습이 보이고 있는데, 일부 대학 중 정보보호관련 학과를 신설하고 있고 최근에는 고려대, 서울여대, 아주대가 정보보호특성화대학으로 선정되었고, 내년에 추가로 특성화 대학을 선정할 예정일 뿐만 아니라, 대학 외에도 이달 말 글로벌 정보보호센터를 출범하는 가운데, 이번 법안 중 제15조(인력양성)과 함께 등 정보보안인력 양성을 위하여 많은 시설 확충과 정책 수립이 가속화할 것으로 기대된다.

5. 결론

우리나라 뿐만 아니라 정보보안업계에 있어서 가장 큰 문제는 정보보안을 소홀히 한다고 해서 그에 따른 문제가 가시적이지 않다는 점이다. 그렇기에 유능한 인재 육성, 예방, 직원 교육 등에 투자를 줄이게 되고, 결국 큰 보안사고로 이어질 수 있게 되는 것이다.
미국의 경우 정보보호 예산을 IT업계 전체 예산의 16%정도로 편성하는데, 우리나라는 그의 반에 못 미치는 6%정도의 수준을 보이고 있다. 매년 크고 작은 보안사고를 겪으면서도 처우가 많이 나아지지 않고 있는 실정이다. 그 외에도 한국 정보보안업계의 대표격 기관이라 할 수 있는 한국인터넷진흥원(KISA)의 전체 근무자중 절반에 가까운 43%가 비정규직이라고 한다. 거기에 추후 계획대로 나주로 본사를 이전하게 되면 고급인력을 더욱 잃게 될 것이다. 이처럼 열악한 환경이야말로 우리나라 정보보안업계의 현주소를 대변하는 요소 중 하나라고 생각한다.
다행히도 이번에라도 이를 개선하기 위한 정보보호산업진흥법이 통과되었다. 아무리 좋은 정책과 제도가 마련돼도 이를 실천하는 적극적인 의지와 노력이 없다면 결코 성공할 수 없다. 우리 모두 이번 기회를 정보보호 강국으로 도약할 수 있기를 기대해 본다. ​

<참고문헌>

ㆍ 정보보호산업의 진흥에 관한 법률안 의안원문
ㆍ 사이버안보 특전사라구요? 43%가 ‘장그래 신세’죠 (디지털 타임스 뉴스 기사)
ㆍ 한수원 등 대형 사이버 테러는 빈번…정보보호산업진흥법 이번엔 만들자 (전자신문 뉴스 기사)
ㆍ 2014년 정보보호 실태조사 (한국인터넷진흥원)
ㆍ 보안강국 '골든타임' 놓치지 말자 (머니투데이 뉴스)​
​