반응형
개인적인, 인증 시스템 문제점에 관한 생각
1. 인증을 받기 위한 최소한의 보안 체계 구축
- 인증 후 사고 발생시 인증기관에 책임 전가 및 인증기관이라는 이유로 처벌 감면
- 인증은 단지 최소한으로 지켜져야 하는 보안 수준이라는 사실을 망각하고 추가적인 보안 투자/대책/관리 미흡
2. 의무 인증기관 및 중소기업 인증 문제
- 의무인증 기관이라도 벌금 < 인증 비용(인증 수수료+체계 구축 비용) 인 경우 인증 받지 않음.
- 중소기업은 인력도 없는데 인증은 무슨 인증.
3. 구체적인 법 조항
- 법 조항에 어느정도의 보안 수준을 유지해야 한다라고 명시되어 있어 기업은 그 수준만 지키면 어떤 보안 사고든 걱정없음. 때문에 기업들의 보안 수준은 하향 평준화
- 기업의 보안은 자율에 맞겨두고 법규에서는 수준을 정해주기 보다 처벌을 강화해야 할 필요가 있음
이런 문제점을 타개하기 위해 민간이 기업의 정보보안 수준 등급을 매기는 ‘자율 보안등급제’를 통해 보완해 나갈 계획이라고는 하는데 과연!
반응형
