그동안 미뤄온 정보통신기반보호법 시행규칙이 4일 관보에 게재되고 제정·공포됨으로써 주요 정보통신 기반시설 보호를 위한 법제 정비가 사실상 마무리된다. 지난 2월 국무총리 주재로 열린 ‘사이버테러방지 관계장관회의’에서 정보통신기반보호법 제정을 추진키로 한 지 17개월여 만의 일이다.
이번에 시행규칙이 제정·공포됨에 따라 정보통신부는 앞으로 주요 정보통신 기반시설 관리기관의 취약점 분석·평가 및 보호대책 수립업무를 지원할 수 있는 정보보호 전문업체 지정제도를 본격 시행할 수 있게 됐다. 시행규칙이 담고 있는 내용과 정보보호 전문업체 지정제도, 업계 동향 등에 대해 알아본다.
◇어떤 내용을 담고 있나=이번에 제정·공포되는 시행규칙에는 정보보호 전문업체 지정 요건과 지정 절차·방법 등 정보통신기반보호법 및 시행령에서 위임된 사항과 시행에 필요한 제반사항이 포함돼 있다. 지정 신청은 정보통신부 장관이 신청요령 등을 공고할 때 하면 되며 이때 정통부 장관은 지정신청 서류심사·현장실사 등을 통해 정보보호 전문업체를 지정하고, 지정 후 3년을 단위로 재지정할 수 있다. 또 관련 업체들이 정보보호 전문업체로 지정받기 위해서는 정보보호 기술인력 15인 이상(고급정보보호 인력 5인 이상 포함), 납입자본금 20억원 이상, 신원확인 및 통제 설비, 업무수행 및 지원설비, 기록·자료의 안전관리 설비 등을 갖춰야 한다. 정보보호 전문업체를 양도·합병시에는 정통부 장관에게 신고해야 한다.
◇정보보호 전문업체 지정제도란=지난 7월 정보통신기반보호법 시행과 함께 도입, 국가 주요 정보통신 기반시설의 정보보호업무를 전문능력과 신뢰성을 갖춘 민간업체에 위탁해 대행할 수 있게 한 제도로 정보보호 분야의 아웃소싱을 제도화한 것이다.
◇정보보호 전문업체 지정 세부 일정=정통부는 정보보호 전문업체 지정제도 시
행을 위해 최근 ‘정보보호 전문업체의 지정심사에 관한 고시(안)’을 마련, 오는 8일까지 이에 대한 의견을 전자공청회를 통해 수렴해 이달 중 확정고시하고 정보보호 전문업체 신청접수에 관한 사항을 공고할 예정이다. 또 9월 중에는 정보보호 전문업체 지정신청서를 접수받아 서면심사·현장실사 및 신원조사를 실시하고 11월까지 최종검증을 거쳐 12월 초 지정서를 교부할 예정이다.
◇업계 동향=시행규칙이 제정됨에 따라 그동안 정보보호 전문업체로 지정받기 위해 준비해온 관련 업체들의 움직임도 더욱 바빠질 전망이다. 자본금 규모가 적은 일부 보안컨설팅업체의 경우 오는 9월부터 시작하는 정보보호 전문업체 신청접수 전에 부족한 자본금을 맞춰야 하고 부족한 고급인력 및 기술인력을 확보해야 하기 때문이다. 또 정보보호 전문업체 지정에 관심을 보이고 있는 시스템통합(SI)업체 및 보안솔루션업체들도 보안컨설팅 프로젝트 실적 확보 및 기술인력 확보를 위해 발벗고 나선 상태다.
◇해외 사례=미국의 경우 지난 99년부터 연방조달국(GSA) 주관으로 ‘세이프가
드 프로그램’이라는 정보보호 포괄조달제도를 실시하고 있다. 이 제도는 98년에 제정된 ‘주요 기반구조 보호를 위한 대통령명령(PDD-63)’에 따라 연방기관에 부여된 취약성 분석 등의 의무를 효과적으로 지원하기 위해 마련된 조달 프로그램이다. 여기에는 부즈알렌&해밀턴·콜린컨설팅·록히드마틴·STG 등 27개 민간 전문업체들이 참여하고 있다. 영국도 지난 99년부터 정보통신보호국(CESG) 주관으로 ‘정보시스템 안전성진단사업(IT Health Check Service)’을 실시하고 있으며 EDS·로지카UK·ISS그룹 등 19개 민간 보안업체들이 지원하고 있다.
<주문정기자 mjjoo@etnews.co.kr>