정보보안 관련 법규제, 대부분 폐지하자

기업이 자율적으로 보안정책을 시행하게 하는 것이  실질보안 강화의 출발점

보안사고만 나면 정부가 나서서 회초리를 든다

옥션부터 신용카드 3사 정보유출사고까지 정보보안 침해사고는 반복되고 정부는 재발방지를 위한 각종 대책을 내어 놓는다. 대부분은 규제강화로 이어진다. 과연 법으로 사고를 막을 수 있을까? 의도적인 정보보안 침해사고는 대부분 범죄적 동기에 의해 일어난다. 즉 행위자의 범죄적 욕망이 원인이라는 말이다. 해커들은 돈이 되는 개인정보, 영업비밀 정보를 입수하기 위해서 전산망을 뚫고, 내부유출자들은 돈이 되는 개인정보, 영업비밀 정보를 팔아먹기 위해서 정보를 빼돌린다. 이들이 법을 몰라서 범죄를 저지른다고 믿는가?

그렇게 강화된 정보보안 규제들은 이에 맞춰진 관치형 보안기술만 수혜를 누리게 하고 있다.

정부가 법으로 강화한 정보보안 규제들은 정보보안 침해사고를 막는데 충분한 조치들이 될 수 없다. 해킹기술은 날로 발전하고 해커들은 하늘을 날아다니고 있다. 역사상 어느 정부도 법으로 외적의 침입을 막아내지 못했고, 왕조의 멸망을 방지하지 못했다.

정부의 잘못된 처방이 나은 관산복합 정보보안 산업은 극도로 불편한 전자상거래 서비스와 전자정부 사이트로 귀결되었다. 그렇다고 정부가 정보보안을 책임지지도 않는다. 대통령이 액티브엑스를 걷어내라고 하였으나 달리 대안이 준비된 것도 아니어서 아직도 불편하기 짝이 없는 전자상거래 구매현실은 진행형이다.

정부가 보안을 법으로 관리해 주니 보안산업은 좋은가?

정부가 정보보안을 정해 산업을 진흥하면 당장은 수익원이 생겨 보안업체들도 좋을 것 같지만 딱 정부가 정한 수준밖에 발전하지 못하므로 사실상 소수의 기업만 특혜를 받는 레드오션이 되고 다양한 기술의 발전은 동력을 잃고 멈추게 된다. 다양한 보안기술이 경제원리에 따라 각축을 벌이는 것이 진정한  보안산업의 발전과 나라의 보안수준의 향상을 위해 필요하다. 그래야 정보보안의 수요자인 기업들이 다양한 보안기술 발전의 수혜를 누리게 될 것이고 보안수준이 강화될 것이 아닌가. 최근 전자금융거래에 공인인증서 의무사용이 폐지되니 드디어 인증에 관한 다양한 기술을 개발한 업체들이 등장하기 시작한 것을 보아도 규제가 정보보안의 발전을 가로막는다는 명제는 입증된 것이라고 생각한다.

보안규제의 폐지가 보안의 후퇴를 가져올 거라고요? 

아니다. 정부 주도의 보안에서 기업 주도의 보안으로, 관치보안에서 자율보안으로 문화가 변화되는 것이다. 기업이 고객의 정보를 지키기 위한 노력을 게을리 하였다면  고객들에게 손해배상을 통해 책임을 지게 된다. 오히려 그동안 각종 정보유출사고 때마다 정부가 나서서 먼저 '때리니' 정작 민사소송에서는 세게 때리기 어려워 손해배상을 청구한 피해자 원고들이 패소하는 일이 반복돼 왔다.

정부의 정보보안 세부규제는 국가배상소송을 불러와 세금으로 물어주게 될 것

정부가 온라인 '인증' 등 정보보안표준을 법으로 정해서 사업을 시행한다는 것은 너무나 위험하고 국가배상을 자초하는 일이다. 법률로 정한 정보보안표준은 반드시 실패하게 되어 있으므로 국가가 불완전한 정보보안 표준을 정한 책임을 지어야 한다. 전자금융감독규정, 개인정보보호법, 정보통신망법, 신용정보보호법이 모두 특정 보안조치를 법으로 강제하는 우를 범하고 있다.

정보보안 규제를 폐지하자니, 어떻게 하란 말인가?

각종 법령에서 '기업은 고객을 보호하기 위해 필요한 적절한 정보보안조치를 취해야 한다.'라고 규정하면 된다. 어떤 조치가 적절한지에 대한 고민은 기업에 맡기자. 그렇다고 기업들이 정보보안을 포기할 것으로 보는가? 그런 기업이 있다면 손해배상 집단소송을 내자. 법원은 천문학적인 손해배상액을 선고해서 기업을 망하게 할 것이다. 그래도 정보보안을 소홀히 할 기업이 있겠는가?