[성지은기자] 정보보호관리체계(ISMS) 인증 대상자가 확대된 이후 의료 기관을 중심으로 보안 컨설팅 서비스 수요가 증가한 것으로 나타났다.
반면 ISMS 의무 대상자에서 제외된 금융권에선 인증 갱신 수요 외 신규 인증 수요가 미미한 것으로 확인됐다.
26일 보안 업계에 따르면, ISMS 인증 심사를 준비하는 기관이 급증했다. 기업마다 수요 현황이 달랐으나 인증 수요가 전년 대비 2배가량 증가한 곳도 있었다.
올해 하반기 ISMS 인증 수요가 급증한 것은 ISMS 심사 의무 대상자가 확대됐기 때문이다. 미래창조과학부는 지난해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 개정하면서, ISMS 심사 의무 대상을 기존 정보통신기술(ICT) 기업에서 의료·교육기관 등 비영리 기관으로 확대했다.
이에 따라 연내 세입 1500억원 이상인 상급 종합병원, 고등교육법상 재학생수 1만명 이상인 학교가 ISMS 인증 의무 대상자로 추가된 상황.
ISMS 인증 수요가 증가한 배경엔 과거와 달리 정보보안의 중요성이 강화된 것도 한몫하는 것으로 보인다. ISMS 인증 미취득자에 대한 과태료가 기존 1천만원에서 3천만원으로 상향된 것도 영향을 미쳤으나, 기본적으로 정보보안의 중요성이 강조되면서 기업들이 투자에 나선 것으로 풀이된다.
보안 컨설팅 업체 관계자는 "과거 일부 기업들은 컨설팅 및 ISMS 인증을 받는 비용보다 벌금이 저렴하다고 생각해 '벌금 내고 말지’라는 태도를 보이기도 했다"면서 "현재는 정보보호가 기업의 대외적인 신뢰도를 나타내는 하나의 척도로 자리 잡았기 때문에 벌금을 내기보다는 투자하는 쪽으로 변화한 거 같다"고 말했다.
정보보호에 투자를 미뤄온 기관들이 인증 준비에 나섬에 따라 보안 컨설팅 업계는 호재를 맞았다는 분위기다. ISMS 인증 및 보안 컨설팅 수요 증가로 "손이 모자라 인력을 파견 못한다"고 즐거운 푸념을 내뱉는 기업도 있다.
ISMS 의무 대상이 의료기관에서 상급종합병원으로 한정되며 당초보다 수요가 줄었지만, 의료 기관 내 정보보호에 대한 관심은 여전하다는 평이다.
또 다른 보안 컨설팅 업체 관계자는 "상급종합병원 외에 의무 대상자에서 제외된 일반병원 중 ISMS 인증을 추진하는 곳은 미미하다"면서도 "의무 대상자에서 제외된 병원이라도 언젠가는 ISMS 인증을 받아야 한다는 인식이 있기 때문에 관심을 두고 회사에 문의하고 있다"고 말했다.
금융권에선 여전히 수요가 존재하나 대개 기존 인증을 갱신하는 수요인 것으로 나타났다. 금융기관은 정보보호에 민감하기 때문에 이미 ISMS 또는 국제 정보보호 인증(ISO27001)을 받은 기업이 많고, 전자금융거래법, 전자금융 감독규정 등을 준수하며 정보보호 관리 체계를 유지하는 기업이 많기 때문이다. 이에 새로이 인증을 받는 곳은 드문 것으로 나타났다.
한편, 미래창조과학부는 기업이 정보보호 투자, 인력 관리 현황 등 침해 대응 수준을 공시 시스템에 자율 공시할 수 있는 '정보보호 공시제도'를 만들고, 이달 '정보보호 공시 가이드라인' 잠정안을 배포했다. 잠정안엔 정보보호 현황을 공시했을 시 ISMS 인증 수수료를 30%가량 감면하는 인센티브도 추가했다.
정부가 정보보호에 강력한 드라이브를 걸고, 정보보안의 중요성이 강조되고 있는 상황이다. 이에 따라 ISMS 인증 시장이 확대될 것으로 기대된다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기