오는 7월 정보통신기반보호법 시행과 함께 도입되는 정보보호 전문업체 지정제도와 관련해 업체 지정기준 및 절차를 제정하기 위한 토론회가 지난 4일 대한상공회의소에서 열렸다. 보안업계의 최대 이슈로 떠오른 정보보호 전문업체 지정에 관한 정부의 세부안이 발표된 이날 관련 학계 및 업계 관계자 200여명이 참석해 열띤 토론을 벌이는 등 관심이 집중됐다.
◇납입 자본금 20억원 이상=정통부는 정보보호 전문업체로 지정받기 위해서는 기본적으로 납입자본금이 20억원을 넘어야 한다고 정했다. 정통부 측은 이를 안정된 자본조달 능력과 배상 능력을 확인하고 군소 영세업체의 난립을 방지하기 위한 목적으로 세운 기준이라고 설명했다. 예컨대 자본금이 20억원은 넘어야 ‘안정과 신뢰성’이 보장된다는것이다. 그러나 이날 참석한 상당수의 보안업계 관계자들은 “컨설팅 업무만 하는 전문업체가 자본금 20억원을 넘을 이유가 없다”는 반응을 보였다.
◇과도한 전문인력 기준 요건=지난달 20일 열린 1차 공청회에서 고급기술인력 자격 요건이 너무 까다롭다는 업계의 의견에 따라 정부는 이번 공청회에서 자격 요건을 다양화하고 일부 경력기간을 완화해서 내놨다. 전문업체로 지정받기 위해서는 고급기술인력 5명을 포함해 총 15명 이상의 기술인력을 보유하고 있어야 한다. 정통부는 인력보유 기준은 하나의 전문업체가 4, 5개 이상의 프로젝트를 동시에 안정적으로 수행할 수 있는 규모로 산정한 것이라고 그 배경을 밝혔다. 그러나 업계는 이 기준이 과도하고 까다롭다는 지적이다. 한 관계자는 “정보보호 컨설팅 개념이 불과 몇 년 전 국내에 도입됐는데 업계에서 5∼7년 이상 종사한 고급인력을 다수 확보한다는 것은 사실상 불가능하다”고 지적했다. 또 한 관계자는 “다년간의 컨설팅 경험을 보유한 사람은 많지만 정부에서 내놓은 자격 요건이 까다로워 전문업체 지정 신청조차 못하는 경우가 있다”고 털어놨다.
이에 대해 패널로 참석한 코코넛의 조석일 사장은 “고급인력 확보를 위해 치열한 스카우트전이 벌어질 것”으로 우려하고 “정부 측에서 전문인력에 대한 사전조사가 선행돼야 할 것”이라고 주장했다.
◇컨설팅에 대한 신뢰성은=이날 공청회에서는 컨설팅 대상기관인 한국통신 관계자가 참석, 사용자 입장의 의견을 밝혀 이목을 끌었다. 한국통신 정창성 부장은 “전문업체로부터 컨설팅을 받을 때 가장 우려되는 부분은 ‘취약점’과 ‘시설정보’ 등이 경쟁사로 유출되는 것”이라며 “이번 시행법에는 이에 대한 방지책이 미약한 것 같다”고 지적했다. 또 정 부장은 “실제로 컨설팅을 받게 되면 네트워크 장비·프로그램 언어·서버·메인프레임 등 다양한 분야에 이해가 높은 전문가가 필요한데 고급기술인력 5명으로는 부족할 것”이라고 우려를 나타냈다.
또 벤처업체에 가산점을 준다는 방침에 대해 삼성SDS 관계자는 “벤처업체에 가산점을 주는 것은 환영하지만 다수의 고급인력과 노하우를 보유하고 있는 시스템통합(SI)업체에도 혜택을 줘야 한다”고 주장했다.
◇보안 솔루션업계의 우려=보안 솔루션업체들이 공통적으로 갖고 있는 우려 사항도 앞으로 선결과제로 남았다. 어울림정보기술의 이진학 상무는 “많은 솔루션업체들이 보유인력이나 자본금 등 전문업체의 기본 요건은 충분히 갖춰지만 컨설팅 실적이 없어 선정되기 어렵다”며 “솔루션업체들은 전문업체로 선정되지 않을 경우 자칫 문제가 있는 것으로 오인받아 영업에 차질이 올 것으로 예상하고 있다”고 밝혔다. 또 다른 솔루션업체 관계자는 “정보보호 전문업체라는 용어가 혼란을 줄 수 있다”며 “본래 취지대로 ‘컨설팅 전문업체’를 선정했다는 의미가 포함돼야 일반인들이 혼동하지 않을 것”이라고 말했다. 이에 대해 정통부 측은 “올해는 컨설팅 전문업체에 한정됐지만 내년부터는 그 영역이 솔루션으로 확대될 것이기 때문에 포괄적인 의미에서 명칭을 규정한 것”이라며 “앞으로 컨설팅 대상인 정부기관에 공문을 띄우거나 활발한 홍보를 통해 이 같은 혼선을 방지할 것”이라고 설명했다.
◇전문업체 중립성 보장해야=보안업계는 전문업체로 지정된 컨설팅업체가 보안 솔루션업체를 선정할 때 편파적으로 권한을 행사할 수 있는 가능성에 대해 크게 우려하고 있다. 이를 방지하기 위한 윤리강령 등을 제정할 것으로 요청했으며 정통부 측에서도 이 같은 ‘방지책’ 마련이 시급하다는 데 의견을 같이하고 앞으로 논의를 통해 방안을 세우기로 했다.
이밖에 소수 의견으로 기술심사위원회에 한국정보보호산업협회(KISIA)의 회원사들을 제외한 규정에 대해 참석자들은 아예 업체들을 위원회에서 빼고 학계 전문가들로만 구성하든지 관련 규정을 아예 삭제할 것을 요청했다.
<서동규기자 dkseo@etnews.co.kr>