[ET단상] 정보통신망법 개정, 韓 보안 생태계 전환점

김진수 한국정보보호산업협회 회장

최근 빈번히 발생하는 해킹과 정보유출 사고는 더 이상 개별 기업의 내부 관리 문제에 머무르지 않는다. 디지털 사회에서 침해사고는 국민의 일상과 기업 활동, 나아가 산업 전반의 신뢰와 국가 경쟁력에까지 영향을 미치는 구조적 위험으로 확대되고 있다. 이러한 점에서 이번 정보통신망법 개정안은 변화한 환경에 맞춰 우리 사회의 정보보호 체계를 한 단계 끌어올리기 위한 제도적 기반을 강화한다는 점에서 중요한 의미를 가진다.

이번 개정안의 핵심은 기업 내부의 정보보호 거버넌스를 강화하고, 침해사고 대응 체계를 보다 실효성 있게 정비하는 데 있다. 특히 정보보호 인력과 예산 확보를 위한 적극적 노력을 명시하고, 정보보호위원회의 설치·운영 근거를 둔 것은 정보보호가 단순한 기술적 관리 업무가 아니라 기업 경영의 핵심 과제라는 점을 분명히 한 조치다. 그동안 일부 기업에서는 보안을 비용으로만 인식하거나 후순위 과제로 두는 경향이 있었지만, 이번 개정을 계기로 정보보호를 기업 운영의 기본 인프라로 바라보는 인식 전환이 더욱 확산될 필요가 있다.

정보보호관리체계(ISMS) 인증의 실효성을 높이려는 방향 역시 긍정적으로 평가할 수 있다. 인증 제도는 형식적 확인 절차가 아니라 조직의 보안 역량을 체계적으로 관리하기 위한 최소 기준이 되어야 한다. 인증의 운영과 관리 수준이 높아질수록 기업은 보다 안정적인 보안 체계를 갖추게 되고, 이는 산업 전반의 신뢰성과 경쟁력 강화로 이어질 수 있다. 아울러 해킹 사고의 뚜렷한 정황이 있는 경우 정부가 기업의 신고 이전에도 현장 조사를 실시할 수 있도록 한 점, 신고 지연이나 미신고에 대한 책임을 강화한 점도 초동 대응의 속도와 정확성을 높이는 기반이 될 수 있다. 결국 사고를 숨기거나 축소하는 것보다 초기 단계에서 투명하게 신고하고 후속 조치를 성실히 이행하는 것이 기업에도 더 이익이 되는 구조를 만드는 것이 중요하다.

반복적으로 침해사고가 발생하는 기업에 대한 책임을 강화하는 방향도 주목할 필요가 있다. 반복된 사고는 단순한 우연이 아니라 조직 관리와 보안 거버넌스의 취약성을 보여주는 경우가 많다. 따라서 보안을 일회성 점검이 아니라 지속적인 경영 과제로 관리하도록 유도하는 제도적 장치는 산업 전반의 책임성과 지속 가능성을 높이는 데 도움이 된다.

다만 제도의 효과가 현장에서 실질적으로 나타나기 위해서는 산업계와의 충분한 소통과 균형 있는 정책 운영이 함께 이뤄져야 한다. 기업이 법적 의무 이행 여부에만 매몰된 형식적 대응에 머무르지 않도록 지원 정책과 기술 협력도 병행돼야 한다. 특히 중소기업의 경우 보안 인력과 투자 여력이 충분하지 않은 만큼 전문 서비스 활용 기반과 정부 지원 프로그램의 확대가 중요하다.

이 과정에서 협회의 역할도 더욱 중요해진다. 지금 필요한 것은 개별 주체의 분절된 대응이 아니라 협업과 연대의 체계다. 정부와 국회, 산업계와 학계, 수요기관이 긴밀히 협력하고 산업계의 목소리가 정책과 제도에 충실히 반영될 때 비로소 보안은 현장에서 작동하는 경쟁력이 된다. 또한 개별 기업의 각개전투를 넘어 K-시큐리티 얼라이언스와 같은 연대의 틀을 통해 공동 대응 역량을 키우고, 인력양성·AI 보안·자율보안과 같은 미래 분야를 함께 준비해야 한다. 여기에 열린 소통과 환대의 문화가 더해질 때 정보보호 산업 생태계는 더 큰 신뢰와 시너지를 만들어낼 수 있다.

이제 정보보호는 선택이 아니라 국가 경쟁력과 산업의 지속 가능성을 떠받치는 필수 인프라다. 이번 개정안이 협업과 연대, 그리고 현장과의 열린 소통 속에서 균형 있게 추진된다면 한국의 사이버보안 생태계는 한층 더 성숙한 단계로 도약할 수 있을 것으로 기대된다.

김진수 한국정보보호산업협회 회장 jskim@kglory.co.kr