오는 7월부터 인터넷 관련 주요 기업을 대상으로 하는 정보보호 안전진단이 의무적으로 실시되는 가운데 이를 시행할 정보보호 전문 업체들이 주관 부서인 정통부에 비용 현실화를 요구하고 나섰다.
현재 정통부는 업계의 요구에 대해 내부적으로 검토하고 있지만 뾰족한 대안을 내지 못하고 있다. 이에 따라 일부 정보보호 전문 업체의 참가 기피나 출혈경쟁으로 인한 부실 사업으로 이어져 국내 주요 인터넷 기업의 정보보호 수준을 높인다는 애초의 취지가 퇴색될 우려마저 제기되고 있다.
지난해 말 국회를 통과한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안에 따르면 인터넷서비스 업체와 인터넷데이터센터, 포털 업체, 전자상거래 업체 가운데 일정 규모 이상인 경우 정보보호 안전진단을 받아야 한다. 이는 마치 병원에서 받는 정기 검진과 같은 것으로 해당 업체의 정보보호 상태를 진단하고 문제가 있을 경우 이를 해결할 수 있는 대안을 제시하는 것이다.
정보보호 안전진단은 정통부의 인가를 받은 13개 정보보호 전문 업체가 담당한다. 아직 정통부의 기준이 나오지 않아 정보보호 안전진단 대상 기업이 몇 개인지는 미지수이지만 정보보호 전문 업체들은 대략 150개 내외로 추산하고 있다.
이로 인해 정보보호 전문 업체는 최소 30억원 내외의 추가 시장이 만들어질 것으로 보고 반색했지만 정보보호 안전진단에 대한 세부지침이 하나하나 나오면서 오히려 난색을 보이고 있다.
가장 큰 이유는 정보보호 안전진단의 수익성. 정통부는 현재 별도로 컨설팅에 대한 대가 기준이 없는 상태에서 소프트웨어 대가 기준을 적용할 방침이다. 소프트웨어 대가 기준은 인력 수준에 따라 1일 25만원에서 50만원 정도인데 정보보호 전문 업체에서는 이 정도로는 소위 ‘인건비’도 빠지지 않는다는 주장이다.
실제 정보보호 안전진단을 하기 위해서는 컨설팅뿐 아니라 사전 준비 및 사후 처리기간이 적지 않은데 이를 감안할 경우 자칫하면 적자를 볼 수도 있다는 말이다.
한 정보보호 전문 업체의 임원은 “단순 코딩 등을 기준으로 만들어진 소프트웨어 대가 기준을 그대로 적용할 경우 상대적으로 인건비가 비싼 컨설팅 인력은 수지를 맞출 수 없다”며 “실적이 거의 없어 부진을 면치 못하고 있는 일부 정보보호 전문 업체를 제외하고는 거의 같은 생각”이라고 말했다.
또 다른 정보보호 전문 업체의 임원 역시 “정통부 지침대로라면 정보보호 안전진단 프로젝트는 같은 규모의 금융권이나 다른 민간 기업 보안 컨설팅 프로젝트 금액의 절반 이하”라며 “어느 정도는 비용 현실화가 불가피하다”고 토로했다.
여기에 7월부터 한꺼번에 150개 정도의 프로젝트가 몰릴 경우 하반기에 주로 발주되는 다른 보안컨설팅과 맞물려 인력 가동에 어려움을 겪을 수 있다는 지적도 제기되고 있다. 이는 경우에 따라 부실 안전진단을 초래할 가능성을 배제할 수 없다.
이에 대해 정통부는 “현재까지 나온 지침은 업체들의 의견 수렴을 위한 것”이라며 “정통망법 개정에 따른 시행령이 가시화되는 6월에 정확한 지침을 내놓을 것”이라는 입장이다.
정통부 일각에서는 아예 대가 기준을 적용하지 말자는 의견도 나오고 있지만 이는 자칫 출혈경쟁으로 이어질 가능성이 커 정부가 어떤 묘책으로 이같은 문제를 해결할지 주목된다.
<장동준기자 djjang@etnews.co.kr>