공공기관과 인터넷 관련 주요 기업 등 주요 정보통신기반시설의 보안컨설팅을 전담하는 정보보호전문업체 가운데 상당수가 개점 휴업 상태다.
이에 따라 주요 정보통신기반시설에 대한 보안컨설팅이 졸속으로 이뤄질 우려가 제기되고, 정보보호전문업체 선정에 관한 규정을 강화하고 이를 오는 11월 재지정 과정에 반영해야 한다는 지적이 나오고 있다.
14일 관련 기관 및 업계에 따르면 총 13개 정보보호전문업체 가운데 실제 보안컨설팅 사업을 하면서 소기의 성과를 거두는 업체는 5개 안팎에 불과하고 나머지 8개업체는 실적이 미미하거나 아예 없는 실정이다. 더욱이 몇몇 업체에서는 정보보호전문업체 지정에 필요한 고급 컨설팅 인력이 기준 이하로 떨어지거나 컨설팅 인력을 다른 업무에 투입하는 사례도 보이고 있다.
이같은 현상은 시장 규모에 비해 지나치게 많은 수의 정보보호전문업체가 있기 때문으로 풀이된다. 지난 2001년 4개 부처의 23개 시설에 이어 2002년 2차로 4개 부처와 국회의 66개 시설이 주요 정보통신기반시설로 지정된 이후 추가 지정이 없는 상태에서 13개 업체가 출혈경쟁을 벌이면서 많은 정보보호전문업체가 보안컨설팅보다 수익성이 높은 사업으로 눈을 돌렸기 때문이다.
더욱이 작년에 이뤄질 것으로 예상됐던 3차 주요 정보통신기반시설 지정이 해를 넘기도록 부처 간 이견으로 이렇다할 결론을 내놓지 못하고 있다.
시장도 적은데다가 개별 프로젝트의 금액도 매우 낮은 수준이다. 실제 에이쓰리시큐리티컨설팅에 따르면 이 회사가 실시한 104건의 보안컨설팅 프로젝트 중 절반이 넘는 52.1%의 금액이 5000만원 미만인 것으로 조사됐다. 5000만∼1억원 미만의 프로젝트는 24%로 전체의 4분의 3 이상이 1억원 미만으로 나타났다.
업계의 한 관계자는 “정보보호전문업체의 간판을 걸고 있는 업체 가운데 상당수가 유명무실한 상태이며 내부적으로 보안컨설팅을 이미 포기한 업체도 있다”며 “자칫하면 주요 정보통신기반시설의 보안컨설팅이 졸속으로 시행될 가능성도 배제할 수 없다”고 말했다.
정보보호전문업체는 지난 2001년 마크로테크놀로지·시큐아이닷컴·시큐어소프트·안철수연구소·에스큐브·에스티지시큐리티·에이쓰리시큐리티컨설팅·인젠·해커스랩 등 9개 업체가 지정됐으며, 작년 10월 2차로 인포섹·코코넛·퓨쳐시스템·한국IBM 등 4개 업체가 추가됐다.
<장동준기자 djjang@etnews.co.kr>