[아이뉴스24 김국배기자] 정보보호 전문 서비스 기업(구 지식정보보안 컨설팅 전문업체) 지정을 상시화해야 한다는 목소리가 나오고 있다.
보안관제 전문 업체와 달리 이 자격은 평상시 신청할 수 없도록 운영되고 있어 새로운 기업이 진입하는 데 '장벽'가 된다는 지적이다.
25일 보안 업계, 한국인터넷진흥원(KISA) 등에 따르면 정보보호 전문 서비스 기업 지정 제도는 미래창조과학부가 공고를 내지 않으면 희망 기업이 신청할 수 없도록 운영되고 있다.
실제로 보안컨설팅 전문 기업은 2003년부터 2013년까지 거의 10년간 7개 회사 정도만이 자격을 유지하다가 2014년이 돼서야 11개 기업을 대상으로 신규 지정이 이뤄졌다. 이때가 무려 10년여 만에 지정 공고가 나온 것이다.
지난해 파수닷컴이 새로 자격을 취득했으나 이는 기존 전문 기업인 에스피에이스의 보안컨설팅 사업부문을 인수한 데 따른 조치였다.
반면 보안관제 전문업체는 상시 모집하고 있어 희망 기업이 신청해 지정 심사를 받으면 된다. 지난해 KT DS가 새로 지정받는 등 꾸준히 늘어나 현재 15개가 된 상태다.
이에 대해 KISA 관계자는 "과거에는 주요 기반시설의 수가 한정돼 있던 때라 컨설팅 전문 기업의 수를 필요에 따라 조절했던 것 같다"며 "2010년 이후 사이버 위협이 커지면서 기반 시설 지정이 확대돼 2013년 12월 신규 접수를 받게 된 것"이라고 설명했다.
그러나 미래부가 두 정보보안 자격 제도를 다르게 운영하는 까닭은 별다른 목적을 갖고 있다기보다 정부부처가 폐지되고 새로 만들어지는 과정에서 통합되지 못한 탓이 더 크다.
보안 컨설팅 전문기업 지정 제도는 2001년 정보통신부 시절 정보통신기반보호법에 의거해 만들어져 정부 조직개편에 따라 옛 지식경제부, 미래부로 이관됐다. 보안관제 전문업체 지정 제도는 10년 늦은 2011년 7월 당시 지경부가 국가사이버안전관리규정에 따라 만들어 시행하다 미래부로 넘겼다.
2015년말 정보보호산업진흥법이 제정되면서 두 제도에 대한 내용이 담겼지만 여전히 기존 법적 근거에 따라 운영돼 접수 방식이 다른 것이다.
이를 두고 보안업계에서는 계속해서 이런 제도 운영을 고집할 필요가 있는지 의문을 제기하고 있다.
제도를 유지해야 한다면 차라리 보안관제 전문업체 지정제처럼 상시 지정하도록 바꾸는 게 합리적이라는 것. 이미 업계에선 기업들이 이 자격을 민간 사업에서 경쟁력을 높이는 수단으로만 활용해 본말이 전도됐다는 말까지 나오면서 실효성에 의문을 제기하는 상황이다.
한 기업 정보보호최고책임자(CISO)는 "(보안 컨설팅 전문 기업을) 모집할 지 안할 지 한마디로 정부 마음인 셈"이라며 "자격이 된다고 생각하는 기업은 언제든지 신청할 수 있도록 해 제도가 '허들'이 되지 않도록 해야 한다"고 말했다.
이어 "(이러한 제도 운영 탓에) 기존 업체들은 상당한 기득권을 갖게 되고, 후발 업체들은 생존이 힘들다"고 덧붙였다.
게다가 외교부 행정망, 통신사 무선통신망, 증권사 트레이딩시스템 등 민간과 공공 부문을 포함해 국가·사회적으로 중요한 기반 시설은 현재 400개 가까이 늘어난 상태다.
미래부 관계자는 "정보보호산업진흥법 제정 과정에서 두 제도를 통합하려 했으나 의원입법이라 반영되지 못하면서 기존 규정을 그대로 준용해 운영된 듯 하다"며 "우선 올해 신규 수요에 따라 추가 지정 계획이 있으며 시행규칙, 개정안 등 제도 개선을 검토중"이라고 설명했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기