기업의 정보보안에 대한 인식이 점차 높아져 가지만 기업들은 여전히 정보보안에 큰 투자를 하지 않고 있는 것으로 보입니다.
특히 정부의 블랙리스트 방식 (기업이 해야할 일을 구체적으로 명시하지 않고 사후 책임을 크게 강화한 후 사고 발생시 최선의 보안을 했는지 당시 기술과 환경에 맞추어 해석하는 것)이 아닌 화이트리스트 방식 (정부가 사전에 정보보안을 위해 해야 할 것을 지정하면 지키는 것) 을 고집하고 있는데, 보안전문가들은 기업들의 이러한 모습을 두고 '정보보안을 시켜야 하는 일'이라고 생각하고 있다며 꼬집고 있습니다.
김경환변호사는 위와같은 기업들의 태도에 대해 "정보를 유출시켰다고 기업을 도산시키자는 게 정부의 의지는 결코 아니다. 당국이 특정 기술이나 조건을 명시해봤자 해킹 등의 수법이 너무나 빠르게 변화해 실질적인 보안, 방어에 별 도움이 안되는데도 기업은 당국의 지시만 따르고 면책을 받으려는 경향이 그동안 이어져 왔기 때문에 화이트리스트 방식으로 변화시키고자 하는 것이다. 고객의 정보로 부가가치를 창출하는 기업이라면 비즈니스의 근간인 정보 자체를 핵심적으로 보호해야 하는 것은 기본중의 기본인데, 보호 항목을 정부가 결정해줘야 비로소 보안 투자를 하겠다는 발상 자체가 안일하기 짝이 없다." 라고 지적했습니다.
