고객사의 중요 정보에 대해 각별한 주의를 기울여야 하는 정보보호컨설팅전문업체들이 오히려 내부 정보보호는 허술한 것으로 드러났다.
지적을 받은 기업들은 관련 규정을 수정하고, 직원 정신 교육을 강화하는 대책을 마련하는 등 뒤늦게 부산히 움직이고 있다..
10일 정보통신부에 따르면 지난해 말 인젠과 시큐아이닷컴, 에이쓰리시큐리티컨설팅, 안철수연구소, STG시큐리티 등 5개 정보보호컨설팅전문업체를 현장 실사한 결과, 5개사 모두 내부 컨설팅 인력에 대한 보안 감사가 제대로 이뤄지지 않은 것으로 밝혀졌다.
실사 결과, 정보보호컨설팅전문업체들은 고객사에 파견돼 컨설팅을 수행하는 내부 인력에 대한 보안 감사를 수행하지 않는 등 내부 관리가 허술했다. 특히 일부 기업은 개인 컨설턴트 노트북에서 고객 회사의 컨설팅 결과물이 다수 발견돼 고객 정보를 유출할 우려가 컸다. 정통부는 이에 따라 정보보호컨설팅 프로젝트 완료시 노트북의 하드 디스크를 포맷하고 고객사의 확인을 받은 후 프로젝트를 완료하도록 지시했다.
또 몇몇 기업은 기술인력의 입사나 퇴사 등 기술인력 변동에 대해 정통부에 신고하지 않았다. 정보보호전문업체는 일정 수준 이상의 기술인력을 보유해야 국가가 인정하는 전문업체로 인정받는다.
한 컨설팅 업체 관계자는 “고객사의 정보보호 실태를 파악하는 컨설턴트의 교육과 관리가 제대로 이뤄지지 않아 전문업체의 신뢰성을 잃을까 우려된다”며 “지난해 정보보호안전진단이 본격화되면서 프로젝트가 많고 컨설턴트들의 이직률이 높아 내부 인력 관리가 소홀했지만 이번 조치를 받고 시정했다”고 밝혔다.
김인순기자@전자신문, insoon@