[기고] 정보보안기금 설립을
입력
수정
지면A29
갈수록 대형화하는 정보보안 침해사고
보험 통해 위험수준 관리할 수 있어야
김태성 < 충북대 경영정보학 교수 >
보안 침해로 발생하는 손실을 ‘통제가 가능한 위험’과 ‘그렇지 않은 위험’으로 구분해 통제가 가능한 위험의 범주를 확대하고 경제원리에 의해 보안 위험을 적정 수준 이하로 관리하기 위한 제도적 장치의 도입이 필요하다. 현실성 있는(또는 판매 가능한) 보험 상품을 개발하기 위해서는 정보보안 위험의 유형과 영향(피해)에 대한 데이터를 확보해 그 특성을 분석해야 하는데, 이런 작업을 보험산업에서는 보험개발원이 수행하고 있다. 정보보안 분야에서도 정보보안 위험에 대한 데이터를 수집하고 분석해 경제적인 가치로 환산하는 역할을 할 ‘정보보안개발원’의 설립이 필요하다. 중장기적으로 정보보안개발원에서 수집하고 분석한 데이터를 활용해 정보보안 위험 중에서 측정·관리가 가능한 위험에 대해 보험업계에서 관련 상품을 개발할 수 있다. 하지만 정보보안 분야에서 보험 상품을 개발할 수 있을 정도의 데이터를 단기간에 축적하는 것은 매우 어렵다. 가입자와 보험회사 간 상품 거래라는 민간의 경제원리에 의해 위험을 관리하는 영역을 보험이라고 한다면 일정한 재원을 정부가 출연해 ‘정보보안기금’을 설치하고 정보보안 위험을 스스로 관리할 수 없는 조직에 회비를 납부하게 해 개별 조직은 물론 사회 전반적인 정보보안 위험을 관리하게 할 수도 있다. 정보보안의 중요성이 높은 업종인 금융회사, 통신 서비스, 인터넷 서비스 등 민간기관뿐만 아니라 공공기관도 이 기금의 가입 대상이 될 수 있다.
중소기업에 대해서는 위험의 정도에 비례해 회비를 납부하는 것은 적절하지 않으니 완급 조절이 필요할 것이다. 예를 들어 상대적으로 조직 역량이 낮고 정보보안 위험이 큰 조직(중소기업 등)은 위험의 정도에 비해 낮은 보수율을 적용하고, 그렇지 않은 조직에는 높은 보수율을 적용할 수 있다.
정보보안 위험을 회피하고 있는 조직에 위험관리 수단을 제공하고, 정보보안 위험을 과도하게 자체 부담하고 있는 조직에는 분담할 수 있는 유인을 제공함으로써 사회 전반적인 정보보안 위험 수준을 관리할 수 있게 된다. 단기적으로는 ‘정보보안개발원’을 ‘정보보안기금’의 하위부서나 부설조직으로 설치하는 것이 적절하지만 장기적으로는 분리하는 것이 업무의 독립적인 운영 차원에서 바람직할 것이다.
김태성 < 충북대 경영정보학 교수 >