by지영한 기자
2003.03.13 11:23:36
`공공부문 정보보호영향평가 의무적용` 의견도
[edaily 지영한기자] 사이버테러에 종합적으로 대응하기 위해 정부차원에서 사이버공격대응센터(가칭)의 구축이 필요하다는 의견이 개진됐다.
또 정보보호 투자확대를 위해 세액공제(3%) 제도를 종전 중소기업에서 일반기업으로까지 확대하고, 공공부문 정보화사업에는 `정보보호영향평가`를 의무적으로 적용해야 한다는 주장도 제시됐다.
이같은 의견은 13일 오전 서울 프레스센터에서 정보통신부 주최로 열린 `정보보호 강화대책` 정책토론회에서 나왔다.
이날 토론회는 김세헌 KAIST 교수(한국정보보호학회장)의 사회로 ▲`정보보호체계 강화방안`, ▲`정보보호법·제도의 정비방안`, ▲`정보보호 기술개발·투자확대·인식제고 방안` 등을 주제로 놓고 주제발표와 토론 형식으로 진행됐다.
주제발표 요약은 다음과 같다.
◇정보보호체계 강화방안(차양신 정보통신부 정보보호기획과장)
`1.25 인터넷 침해사고`와 같은 피해를 입지 않기 위해서는 사이버공격에 대한 대응체계를 강화해야 한다.
현재의 문제점으로 ISP, IDC 등 관련기관간 상호 공조 체계가 미흡하고, 통합 네트워크 트래픽 분석·관리체계 부재 및 예·경보 전달기능도 미약하다는데 있다.
이를 해결하기 위해 (가칭)사이버공격대응센터를 구축하고, 동 센터에서 24시간 네트워크 모니터링, 예·경보 발령, 긴급조치 등 사이버공격에 대응하는 종합적인 기능을 수행해야 한다.
아울러, 인터넷침해사고 원인분석 등을 위해 자료제출권, 현장조사권을 도입하는 것이 필요하다.
◇정보보호 법·제도 정비(강경근 숭실대 교수)
우리사회 각 부문별 정보보호체계를 강화하기 위해 정보보호 안전기준 부과 및 안전진단 의무화가 필요하다.
이를 위해 전국망을 구축한 ISP는 네트워크 보호를 포함한 "ISP 안전기준"을 부과하여 이행을 의무화하며, IDC, 다중이용서비스 제공자(대형 쇼핑몰, 포털업체, 온라인게임업체 등)에 대해서도 안전기준을 마련하고, 특히 IDC에 대해서는 비상시 이상 트래픽 등을 할 수 있는 긴급조치권을 부여하는 것이 필요하다.
또한, 부문별 정보보호 조직체계를 강화하기 위해 주요 ISP, IDC, 일정규모이상 전자상거래업체 등에 전담 정보보호 최소 보유요건"을 규정하여 부과하는 것이 필요하고, 주요 PC제조사의 경우 백신S/W의 설치를, 주요 ISP의 경우 바이러스 진단·치료 서비스 제공을 의무화 하는 것이 바람직하다.
이와함께 정보화 사업 초기부터 정보보호 요소(관리적·기술적·물리적)를 평가하여 반영될 수 있도록 "정보보호영향평가제도" 의 도입이 요구된다.
◇정보보호 기술개발·투자확대·인력양성(염흥렬 순천향대 교수)
민간의 정보보호 투자확대를 위해 현재 중소기업으로 한정하고 있는 세액공제(3%) 제도를 일반기업까지 확대해야 한다고 주장하였으며, 공공부문 정보화 사업 추진시 "정보보호영향평가"를 의무적으로 받도록 해야 한다.
또한, 해킹·바이러스에 대한 체계적인 전문인력 양성을 위해 우수대학을 지정하여 "해킹·바이러스 연구센터" 설립이 필요하다.
◇정보보호 인식제고를 위한 소고(정익재 서울산업대 교수)
국민전반의 정보보호 의식을 높이기 위해 정보화 교육시 정보보호 교육을 병행해야 하며 `정보보호 포털사이트"를 구축하여 정보보호 관련 정보를 종합적으로 제공하고, 보안 취약점 DB를 구축해야 한다.
아울러, 전방위 정보보호를 위해서는 궁극적으로 정보보호문화(Culture of
Security) 구축이 무엇보다 필요하다.