정보통신부가 정보보호전문업체의 재지정 작업에 착수한 가운데 심사 기준을 3년전과 그대로 적용해 문제점이 많다는 지적이 제기되고 있다. 이는 정통부 담당 부서의 대폭 물갈이로 인한 업무 단절과 각 정보보호전문업체 간의 이견을 조정하지 못하면서 그동안 논의되던 재지정 기준이 백지화됐기 때문이다.
정보보호전문업체의 재지정은 향후 보안컨설팅 시장의 판도뿐 아니라 정보보호전문업체가 보안 컨설팅을 해야 하는 국내 주요 정보통신기반시설의 보안 수준에도 적지 않은 영향을 미칠 수 있기 때문에 재지정에 필요한 평가 기준을 재검토해야 한다는 의견이 나오고 있다.
◇재지정 기준은 원점으로=정보보호전문업체는 국내 주요 정보통신 기반시설의 보안 컨설팅을 할 수 있는 자격이다. 정통부는 지난 2001년 11월 마크로테크놀러지, 시큐아이닷컴, 시큐어소프트, 안철수연구소, 에스큐브, 에스티지시큐리티, 에이쓰리시큐리티컨설팅, 인젠, 해커스랩 등 9개 업체를 정보보호전문업체로 지정했다.
정보보호전문업체의 유효기간을 3년으로 정해놓은 정보통신기반보호법 시행규칙 8조에 따라 정통부는 오는 11월까지 일정 기준에 맞는 정보보호전문업체를 다시 지정해야 한다. 이를 위해 정통부는 28일까지 정보보호전문업체의 재지정 신청을 받는다.
현재 정통부는 정보보호전문업체의 재지정 기준을 지난 2001년 최초 지정 당시 적용했던 기준으로 한다는 방침이다. 이는 업계의 이견 조정 실패와 담당자 교체로 인한 업무 단절이 원인이다.
올해 초부터 정통부와 정보보호전문업체는 재지정 기준을 둘러싸고 여러 차례 논의를 했지만 정보보호전문업체 간의 이해관계가 엇갈려 단일안을 내놓지 못했다.
이 와중에 담당부서인 정보보호정책과가 과장 이하 담당 공무원들이 대거 교체되면서 논의가 원점으로 돌아갔으며 결국 재지정 시기가 다가오면서 정통부는 2001년 최초 지정 당시의 기준을 그대로 적용하기로 결정했다.
◇낡은 잣대가 문제=정보보호전문업체 재지정 기준이 3년 전과 마찬가지로 되면서 각종 문제가 불거지고 있다.
일단 3년이나 지난 낡은 기준을 그대로 적용한다는 것 자체가 잘못이라는 지적이다. 모 정보보호전문업체의 관계자는 “배점에 큰 비중을 차지하는 실적의 경우 민간 부문까지 포함돼 옥석을 가린다는 재지정의 의미가 사라졌다”며 “정보보호전문업체만이 할 수 있는 주요 정보통신기반시설 수주 등 실질적인 실적이 기준이 돼야 한다”고 말했다.
이 관계자는 또 “컨설턴트에 대한 기준을 강화해 보안 컨설팅의 수준을 높이는 방안도 검토해야 한다”고 덧붙였다.
또 법적 근거가 모호한 서류 작업 때문에 정보보호전문업체의 업무에도 막대한 지장을 주고 있다. 정보보호전문업체는 최초 지정과 마찬가지로 회사 및 컨설턴트 관련 서류를 정통부에 내야 한다. 따라서 각 정보보호전문업체의 컨설턴트는 졸업증명서 등 5∼6종의 증명서를 받으러 다니느라 업무가 마비된 상태다.
◇보다 엄격한 기준 세워야=보안업계에서는 정통부의 정보보호전문업체 재지정이 보다 엄격한 기준으로 이뤄져야 한다고 주장한다.
1, 2차 지정을 통해 모두 13개 업체가 정보보호전문업체로 지정됐지만 이 가운데 에스큐브는 경영난으로 인해 사업권을 정통부에 반납한 상태다. 또 몇몇 업체는 정보보호전문업체라는 이름만 걸고 있을 뿐 실질적으로는 사업을 접거나 보안 컨설팅에 신경을 쓰지 않고 있다. 실질적으로 주요 정보통신기반시설의 보안 컨설팅을 제대로 하는 업체는 5개 내외에 불과하다.
업체가 정리되는 과정에서 보안 컨설팅 업계는 무리한 출혈경쟁에 시달렸고 업계 1위 업체조차 이익을 내지 못하는 상황을 초래했다. 일부에서는 부실 컨설팅 문제가 제기되기도 했다.
모 정보보호전문업체의 대표는 “이번 재지정 과정에서는 기준을 강화해 출혈경쟁과 컨설팅 수준 하락이라는 지난 3년 동안의 부작용을 되풀이하지 않도록 해야 한다”고 지적했다.
장동준기자@전자신문, djjang@