장석영 과학기술정보통신부 제2차관 /사진=뉴스1장석영 과학기술정보통신부 제2차관은 13일 비대면 화상 연결로 진행된 국회 과학기술정보방송통신위원회 국정감사에서 정보보호 공시 의무화법을 추진하겠다는 김상희 국회 부의장의 질의에 "일정한 기준과 요건에 맞는 기업에 대해 정보보호 현황 공시 의무화를 적극 검토해야 한다고 생각한다"고 말했다.
김 부의장은 이날 '정보보호산업의 진흥에 관한 법'을 대표발의하고 정보통신망을 통해 서비스를 제공하는 사업자들이 정보보호를 위한 투자나 인력 현황 등 '정보보호현황'을 임의로 공시하도록 한 제도를 의무화하는 방안을 추진하겠다고 밝혔다.
김 부의장은 "정보보호 공시제를 시행한 지 5년이 됐지만 공시를 이행한 기업이 37개 뿐"이라며 "정보보호 현황을 자발적으로 공시하도록 하고 있어서 국민을 보호하는 제도로 역할을 못하고 있다. 제도상의 허점이 있는 것"이라고 말했다.
김 부의장이 KISA에서 받은 자료에 따르면 2016년 정보보호현황 공시제 도입 이후 자율적으로 공시를 이행한 기업 중 지난해 매출 규모 1조원 이상 기업은 △SK텔레콤 △KT △LG유플러스 등 3대 통신사와 △SK브로드밴드 △크래프톤 △펍지스튜디오 △NHN △CJ E&M △삼성웰스토리 △서울아산병원 △한국동서발전 △한국중부발전 △부산은행 등이다.
이 시각 인기 뉴스
김 부의장은 이날 IoT(사물인터넷) 보안 인증도 의무화하도록 제도 개선이 필요하다고 지적했다. 김 부의장은 "한 보안업체가 커피머신 해킹에 성공해서 화면에 돈을 요구하는 내용을 띄우고 갑자기 뜨거운 물을 내뿜게 하더라"며 "홈네트워크가 해킹되면 사용자 동의없이 CC(폐쇄회로)TV나 출입문을 제어할 수 있기 때문에 굉장히 심각한 사안이라고 본다"고 우려했다.
김 부의장은 "특히 아파트는 가구별 망분리가 안 돼서 한 가구의 홈 네트워크가 해킹되면 아파트 전체로 피해가 확산될 수 있다"며 "IoT 보안 인증제도를 의무화해야 한다"고 말했다.
이에 김 원장은 "기술적 발전을 제도가 따라가지 못하는 사례로 보인다"고 호응했다. 김 원장은 "제도가 정비될 때까지 IoT 기업의 부담을 덜기 위해 인증 등급을 다양화했다"며 "인증 받은 제품이 시장에서 우선 선택받도록 (기기를) 대량구매하는 서울시 주택공사 등과 MOU(양해각서)를 체결했다"고도 설명했다.
