정보보호안전진단이 본격 시작된다.
정보통신부와 한국정보보호진흥원(원장 이홍섭)은 정보보호 안전진단 기준을 담은 해설서를 관련 기업에 배포했다고 9일 밝혔다.
그동안 안전진단 기준이 확정되지 않아 이 제도가 시행되지 않았다.
해설서에 따르면 정보통신서비스제공자(ISP), 집적정보통신시설사업자(IDC), 쇼핑몰 등 사업자들은 매년 7월 30일부터 다음해 7월 29일 사이에 정보보호안전진단을 받아야 한다고 명시했다. 또 안전진단 기준은 안전진단대상자의 부담을 경감하기 위해 최소한의 필수 사항만을 제시했으며 쇼핑몰 등의 다중서비스를 제공하는 안전진단대상사업자의 규모를 지난해 정보통신서비스 매출액이 100억원 이상이거나 하루평균 이용자 수가 100만 명 이상인 사업자를 대상으로 축소했다.
정보보호 관리체계 인증을 받았거나 주요정보통신기반시설로 지정돼 취약점 분석·평가를 받은 경우는 그 해의 안전진단이 면제된다. 이 해설서에는 진단을 받는 기업과 진단을 하는 수검기업의 역할을 구분해 제시했다.
그동안 논란이 됐던 수수료 산정은 엔지니어링사업대가의 기준 중 제4조 제3항의 ‘실비정액가산방식’을 적용할 수 있다는 예시를 들었다. 안전진단 수수료는 실비정액가산방식에 따라 직접인건비, 직접경비, 제경비, 기술료, 부가가치세의 합을 적용해 업계의 자율에 맡겨 지게 됐다.
한 정보보호컨설팅 전문업체 사장은 “이번 해설서 배포로 눈치만 보고 있던 쇼핑몰이나 포털 등의 안전진단이 시작될 것으로 기대한다”며 “수수료 등 일부 내용이 명확하지 않아 컨설팅 기업들이 적정한 가격 선정에 착수했다”고 말했다.
김인순기자@전자신문, insoon@