'SK텔레콤 해킹' 정보보안 전환점 돼야 한다

"정부가 정보보호를 체계적 혁신 과제로 인식하며, CISO 역할 강화와 ISMS 기준 현실화 추진"

"서비스 설계 단계부터 보안을 내재화하고, 전 조직이 보안 책임을 공유하는 전략적 접근 필요"

"기업의 자발적 보안 역량 강화를 위한 차등 규제와 세제 혜택 등 실질적 정책 기대"

최우혁 과학기술정보통신부 정보보호네트워크 정책관은 21일 NSIS 2025 기조연설에서 향후 정보보호 정책 방향에 대한 중대한 구상을 발표했다. 이 구상에는 최고정보보안책임자(CISO)의 권한 강화, ISMS 제도 개선, 주요사업자 보안 점검 강화, 유심정보 암호화 등 당면한 업계 주요 현안이 담겼다. SK텔레콤 해킹 파문에 따른 후속 조치다. 정부가 정보보호를 단순한 규제가 아닌, 체계적 혁신 과제로 인식하고 있다는 점에서 매우 환영할 만하다.

그동안 ISMS(정보보호 관리체계) 인증제도는 국내 기업의 정보보안 인식과 역량을 크게 끌어올리는 데 기여해왔다. 제도 도입 초기에는 많은 기업이 형식적 대응에 그쳤지만, 점차 보안을 경영 리스크 관리의 핵심 요소로 인식하며 실질적인 체계 강화로 이어진 사례가 늘고 있다. 그러나 지금은 새로운 전환점에 서 있다. 인공지능 기술의 발전은 기존 보안 패러다임을 근본적으로 흔들고 있다. 공격자는 더욱 정교하고 빠르게 진화하고 있다. 이에 따라 ISMS 제도 역시 시대의 흐름에 맞춰 유연하고 현실적인 기준으로 개선되어야 할 시점이다.

기업 역시 이러한 변화에 능동적으로 대응해야 한다. 정보보호를 단순히 '사후 대응'의 영역으로 치부해서는 안 된다. Secure by Design. 즉 서비스와 제품의 기획과 설계 단계에서부터 보안을 내재화하는 접근이 필요한다. 정보보호 부서는 더 이상 생산성 블로커(Productivity Blocker)가 아닌 비즈니스의 연속성과 신뢰를 보장하는 전략적 파트너로 자리매김해야 한다. 이를 위해서는 개발·현업부서와 정보보호팀이 보안 책임을 공동으로 나누는 '책임 공유 모델'의 도입이 중요하다. 보안이 특정 부서에만 집중될수록 리스크는 커지고, 조직 전체의 보안 감수성은 약화될 수밖에 없다.

정부 또한 기업의 자발적인 보안 역량 강화를 유도할 수 있도록, 차등화된 규제 적용이나 세제 혜택 등 실질적인 인센티브 정책을 확대해야 한다. 인증 자체가 목적이 되어서는 안 되며, 지속 가능한 보안 수준 유지를 위한 동기 부여 장치로 기능해야 한다.

정보보호는 단순히 기술의 문제가 아니다. 이는 곧 국가 경쟁력, 국민의 신뢰, 디지털 사회의 안전과 직결되는 핵심 인프라다. 이번 정부의 구상이 선언에 그치지 않고, 실행 중심의 정책으로 구체화되기를 기대한다.

출처 : 세이프타임즈(https://www.safetimes.co.kr)

https://www.safetimes.co.kr/news/articleView.html?idxno=230194