정보보호 공시제도, ‘IT 자산 식별’ 신설로 투명성·위험관리 체계 강화

정보보호 공시제도가 ‘IT 자산 식별’을 최초 현황 고시 항목으로 신설하며 국내 정보보호 정책에 중대한 전환점을 맞았다. 정부는 최근 개정과 함께 공시 항목 확대 계획도 함께 밝혀, 정보보호 투명성과 기관별 대응 실효성을 동시에 제고한다는 방침이다. 이번 개정안에 따라, 모든 공공기관 및 대규모 민간사업자는 자사가 소유 혹은 관리하는 IT 자산의 종류, 수량, 위치, 보유 현황 등을 상세히 식별·공시해야 한다. 주요 자산은 서버, 네트워크 장비, 단말기, 데이터 저장소 등 물리적 자산은 물론, 클라우드 인스턴스와 소프트웨어 등 논리적 자산까지 아우른다.

이 같은 조치는 정보보호 수준의 객관적 지표를 확보하고, 위협 대응에서의 선제적 기반을 마련하려는 의도가 크게 작용했다. 실제로 디지털 전환이 가속화되며 전통적인 시스템 경계가 무너지는 상황에서, 현행 ‘보안점검’ 방식만으로는 불충분하다는 내부 평가가 반복적으로 제기돼 왔다. IT 자산의 정확한 전수 파악이 보안 취약점 분석, 위협 탐지, 사고대응의 첫 단계임에도 불구하고, 여러 기관과 사업장에서 자산목록조차 일관성 있게 관리하지 못하는 현실이 복합 보안 리스크로 번진 사례가 점증하는 실정이다. 예를 들어, 지난해 공공기관 A의 미등록 단말기 해킹 사고나, B금융사 클라우드 인스턴스 관리 부실이 보안 사각지대 발생 원인으로 지적받으며 자산 식별의 중요성은 현업 전체에서 공감대를 형성하고 있다.

해외 사례와 비교해도 이번 조치의 방향성은 타당하다. 미국 NIST(국립표준기술연구소) 역시 보안 통제의 첫 단계를 자산 식별(CS-Asset Management)로 규정하고, 해당 목록을 정기 업데이트하도록 권고하고 있다. 유럽연합 ENISA도 유사 원칙을 도입해 사이버 위협정보 공유와 사고대응의 정확성을 높인다. 비슷한 제도적 흐름에 따라, 우리나라의 정보보호 정책도 점진적으로 국제 기준과 정렬해 가는 과정으로 분석된다. 또한, 최근 금융권에서는 DORA(디지털운영복원성법) 도입에 발맞춰 비슷한 IT 자산 가시성을 요구하고 있어, 향후 금융당국의 감독하에 자산 식별 공개 범위가 더욱 확대될 가능성이 높다.

이번 현황 고시 항목 신설이 IT시장에 미칠 영향은 긍정·부정 양면이 공존한다. 우선, 정보보호 담당자들은 한층 일원화된 자산관리 체계가 사고 대응 시간을 단축시키고, 내부침해 위험을 줄인다는 점에 주목한다. 특히, ‘정확한 자산 목록이 곧 위험 평가의 기초’라는 인식은 투자 효율성을 높이고, 보안 예산의 목적성 집행에도 도움을 줄 것이다. 실제 금융감독원은 2025년 하반기 규정개정 예고에서 “자산 식별체계 고도화 정도에 따라 금융기관 등급산정 차등 적용” 방침을 검토하고 있다. 중복 투자와 보안사각 지대 미노출 등 선순환 효과도 기대된다.

반면, 실무 현장에서는 조기 도입에 따른 부담 역시 감지된다. 일부 중견·중소기업 IT담당자는 “클라우드 전환으로 인해 자산 경계가 모호해졌고, 현장에선 실시간 식별·통제가 어렵다”며 ‘자산 식별’ 항목의 추상성과 실무 괴리감을 지적한다. 인적·기술적 역량 격차도 드러난다. 대규모 사업장은 자산관리 자동화 솔루션을 활용해 대응이 가능하지만, 중소규모 기관은 수동작업에 의존할 수밖에 없어 관리 인력과 비용부담이 만만치 않은 상황이다. 이에 대한 정부 지원책 및 가이드라인 세부화 필요성이 거듭 제기될 전망이다.

글로벌 IT 투자 확대와 맞물린 보안 위협 패턴의 진화도 유심히 살펴봐야 한다. AI·IoT(사물인터넷), 클라우드 등 복합적 미래기술의 확산은 IT 자산의 물리·논리적 경계를 더욱 흐리게 만들고 있다. 랜섬웨어, 공급망 공격 등 조직화된 위협이 다계층 자산을 동시에 노리며, 단일 자산의 보안 허점이 전체망 위험으로 전이되는 현상이 빈번하다. 실제로, 국내외 랜섬웨어 사건 상당수는 ‘유휴 단말 미등록’, ‘신규 서버 실시간 반영 실패’와 같은 자산관리 미흡에 기인한 것으로 분석된다. 이 같은 현실은 이번 공시제도의 실효성을 강화해야 할 실질적 이유다.

금융 및 IT 이해관계자들은 자산 식별 고시 이후, 정보보호 담보 역량이 추가적인 심의 또는 제재 요소로 작용할 수 있다는 점에 주목한다. 이미 기관평가, 투자유치, 대외 신인도 등에서 공시 데이터의 객관적 검증력이 중요한 척도가 되는 경향이 뚜렷하다. 최근 글로벌 신용평가사 무디스(Moody’s)도 “IT 자산관리의 투명성이 기업 신용도 평가절차의 심사요소로 반영될 것”이라며, ‘식별→공시→평가’의 연결고리에 의미를 부여했다. 투자 및 기술집약 산업에서는 오픈뱅킹, 공공데이터 사업 등 외부와의 연동 서비스가 확대되고 있는 만큼, 자산 식별 활동은 필연적으로 국내외 협력의 신뢰를 높이는 계기가 될 수 있다.

장기적으로는 정보보호 공시, 자산 식별, 관리체계 고도화 이 세 가지가 상호보완적으로 작용할 전망이다. 정밀한 자산 식별이 곧 위협 대응의 시간·정확도를 높이고, 객관적 공시 자료로 이어져 기관 전체의 보안거버넌스 수준 제고와 비용 효율화에 긍정적으로 기여할 수 있다. 물론, 제도 도입의 취지 실현을 위해서는 정부와 업계의 현실적 이행지원책, 표준화된 시스템 구축이 전제돼야 하며, 소외되는 중소규모 사업자 지원도 병행돼야 한다. IT 자산의 식별과 투명한 공시는 이제 단순한 의무가 아니라, 급변하는 사이버 위협환경 속에서 신뢰와 생존을 담보하기 위한 필수불가결한 요소임이 분명하다.— 임재훈 ([email protected])