정보보안 자료 사진 [게티이미지뱅크]

[헤럴드경제=고재우 기자] 정부가 스마트시티 조성 사업에 참여하는 기업을 대상으로 정보보호 인증 ‘의무화’를 추진 중인 것으로 확인됐다.

앞선 본지 보도(헤럴드경제 지난해 12월 10일 자) 이후, 스마트시티 조성 사업에 참여한 사업자의 정보보호 관리에 대한 문제가 연달아 제기되자 대책 마련에 나선 것이다.

21일 헤럴드경제 취재를 종합하면 국토교통부는 스마트시티 조성 사업에 참여하는 기업들을 대상으로 정보보호를 의무화하는 방안을 추진 중이다. 스마트시티 조성 사업은 정보통신기술(ICT)을 도시 인프라에 통합하는 것이다. 개인정보 보호가 중요할 수밖에 없다.

단기적으로는 해당 사업 공모 지침 기준에 ‘정보보호관리체계(ISMS·ISMS-P)’ 인증을 추가하는 방안이 유력하다.

국토교통부 청사. [헤럴드DB]

정보보호 인증이란 주요 정보 자산 유출 및 피해 예방을 위해 기업이 구축·운영 중인 개인정보 및 정보보호 체계가 적합한지 인증하는 제도다.

정보통신망 이용 촉진 및 정보보호 등에 관한 법(정보통신망법)에 따라 인증 의무 부과 이외의 기업에 대해서는 ‘자율’에 맡기고 있다. 하지만 스마트시티 조성 사업에 참여하는 기업의 경우, 해당 인증을 받도록 ‘의무화’하겠다는 것이다.

세부적으로 내달 시작될 예정인 스마트시티 조성 사업 공모부터 ISMS·ISMS-P 인증 기준이 당장 포함될 전망이다. 이에 따라 국토교통부로부터 ‘수백억’ 예산 지원을 받는 지방자치단체는 물론, 자체적으로 스마트시티 조성에 나선 지자체도 참여 기업이 ISMS·ISMS-P 인증을 받도록 유도할 것으로 예상된다.

장기적으로는 국토교통부는 현행 스마트도시 조성 및 산업진흥 등에 관한 법(스마트도시법) 내 ‘권고’ 수준에 그치는 민간사업자에 대한 정보보호 인증을 ‘의무’로 개정할 방침이다.

[게티이미지뱅크]

현행 스마트도시법은 ‘민간사업자는 스마트도시기반시설에 대해 정보통신망법에 따른 정보보호 인증을 받을 수 있다’고 애매하게 규정하고 있다.

이로 인해 스마트시티 조성 사업에서 ‘개인정보 보호’의 중요성에도 불구하고, 스마트도시법 주무 부처인 국토교통부와 정보통신망법 주무 부처인 과학기술정보통신부(과기정통부)가 서로 책임을 떠넘기는 모양새가 연출된 바 있다.

이 과정에서 참여 기업들은 굳이 비용을 들여 ISMS·ISMS-P 인증을 받을 필요성조차 느끼지 못했다.

대표적인 예가 디지털트윈(가상 모형)을 기반으로 스마트시티 조성 사업 참여를 추진 중인 프랑스기업의 한국법인 다쏘시스템코리아다.

다쏘시스템코리아는 스마트시티 조성 사업 등 인프라·도시 뿐만 아니라 제조, 생명과학·헬스케어 등 다양한 분야에서 사업 활동을 영위 중임에도 불구하고, 지난 2016년 이래 한 차례도 정보보호 인증을 받지 않았다.

이와 관련 다쏘시스템코리아는 “스마트시티는 다양한 데이터와 시스템이 연계되는 사업인 만큼, 정보보호는 가장 중요한 요소”라면서도 “향후 관련 법령과 기준에 따라 필요한 인증을 적시에 확보하고, 보안 요구사항을 충실히 반영할 계획”이라고 밝힌 바 있다.

국토교통부는 “지자체 공모사업으로 시행하는 스마트시티 조성 사업 참여 기업에 대해 정보통신망법에 따른 정보보호 의무 대상보다 확대해, 사업의 안정성을 확보 후 참여토록 공모 지침을 반영할 예정”이라고 강조했다.

이어 “스마트시티 사업을 시행하는 민간사업자의 정보보호 인증 의무를 명확히 할 수 있도록 ‘스마트도시법’ 개정에 나설 것”이라고 덧붙였다.