공공기관을 대상으로 한 ‘보안관제 전문업체 지정제도’가 정보보호업계에 새로운 블루오션 탄생을 예고해 주목된다.
지식경제부는 정부·공공기관의 보안관제 업무를 맡을 수 있는 자격을 주는 보안관제 전문업체지정 제도를 올해 7월부터 운용할 예정이다. 이에 따라 공공 부문 파견 보안관제 시장이란 새로운 시장이 등장하고 이를 선점하기 위한 기존 보안관제업체 간 또는 신구업체 간 시장 선점 경쟁이 뜨겁게 달아오를 전망이다.
지식경제부에 따르면 오는 2014년까지 공공 보안관제 시장은 서비스 부문 1384억원, 솔루션 부문 818억원 등 총 2200억원가량의 시장을 형성할 것으로 전망했다. 또 이를 통해 신규 일자리 1200여개가 창출될 것으로 내다봤다.
문준선 지식경제부 사무관은 “정부는 분산서비스거부(DDoS) 공격 등 신·변종 해킹 공격으로부터 국가의 중요 정보를 보호하기 위해 공공기관 사이버 보안관제센터 의무화를 골자로 국가사이버안전관리규정을 개정했다”며 “사이버 보안관제센터를 실질적으로 운영할 전문업체를 오는 7월부터 지정할 것”이라고 말했다.
지난해 4월 중순 공포한 국가사이버안전관리규정에 따라 공공기관은 사이버 공격에 대비해 보안관제센터를 자체 운영하거나 관제업무를 공공기관 보안관제업체로 지정받은 곳에 위탁해야 한다. 정보보호업계는 지난해부터 공공기관을 대상으로 한 보안관제 시장이 커질 것으로 예상, 시장 진입 준비를 하고 있다.
◇사업자 선정에 관련 업계 관심 높아=한국인터넷진흥원(KISA) 조사에 따르면 보안관제업체는 현재 더존정보보호서비스·롯데정보통신·제이컴정보·이글루시큐리티 등 약 13곳이다. 윈스테크넷·씨디네트웍스 등 10여개 업체가 공공 보안관제 전문업체 지정제도 출현을 계기로 보안관제사업에 새롭게 뛰어들기로 해 시장 경쟁이 치열해질 전망이다.
이글루시큐리티는 보안관제 서비스가 통합보안관리솔루션(ESM)으로 이뤄지고 있는 만큼 자사 주력제품인 ‘스파이더 TM’이 상당수 공공기관에 이미 공급돼 있어 공공관제 시장 선점에 유리하다는 시각이다.
보안관제 분야에서 상당한 노하우를 보유한 인포섹도 200여명의 전문인력을 바탕으로 개인정보보호 컨설팅과 개인정보보호 솔루션 등을 앞세워 공공관제 분야에서 승부수를 띄울 계획이다.
LG CNS는 보안관제 전문업체 지정에 대비해 별도의 전담 TF를 구성, 전문업체 지정요건에 필요한 법률적, 기술적 사항을 면밀히 검토하고 있다.
신규로 공공 보안관제 시장에 뛰어드는 보안업체들도 준비에 여념이 없다.
나우콤에서 분사한 윈스테크넷은 보안관제 서비스를 새로운 성장동력으로 삼았다. 이 회사는 기존 금융권 대상의 파견 관제 노하우를 기반으로 공공관제 서비스 시장에서 경쟁력을 높일 계획이다.
유넷시스템은 지난 2003년부터 ‘유비원’이란 보안관제 서비스를 시행, 그간 축적한 서비스의 노하우와 전담부서 신설 등을 통해 보안관제 전문업체 지정제도에 대비할 방침이다.
지난 1999년부터 정보보호컨설팅 전문업체로 기반을 다져온 에이쓰리시큐리티도 지난해 6월 자체 관제센터를 구축하고 ‘이지스’란 브랜드로 보안관제사업을 시작, 공공 보안관제업체 지정에 대비하고 있다.
◇출혈·과당경쟁 ‘우려’=이처럼 다수의 업체가 공공 보안관제업체 지정에 대비해 준비가 여념이 없는 가운데 업계 전문가들은 공공 보안관제 시장이 자리를 잡으면 공공을 기반으로 민간까지 영향을 미쳐 보안관제 서비스가 안착될 것으로 기대하고 있다.
이에 따라 공공 보안관제사업자로 선정되면 기존보다 최소 20%에서 많게는 40% 이상 매출이 성장할 것이란 전망도 심심찮게 흘러나오고 있다. 하지만 이에 대한 부작용도 만만치 않을 전망이다.
경쟁사에 비해 무조건 가격을 낮추거나 경험이 부족한 신규 인력들을 싼값에 고용해 지정 인력 수를 채우는 등 편법도 성행할 것이란 지적이다. 과거 2001년 정보보호 컨설팅 전문업체 제도가 처음 시행되었을 당시에도 출혈경쟁이 치열해 관련 업계의 수익성이 악화되는 등 홍역을 치른 바 있다. 따라서 첫 단추가 중요하다는 지적이다.
관련 업계는 정부가 공공 보안관제업체 지정 시 철저한 조사와 기준 요건을 충족시키는지 따져보고 무분별하게 업체가 난립하지 않도록 관련 업체 수를 조율하는 등의 관리기준을 잡아줘야 한다고 지적한다. 또 7월 이후 공공 보안관제업체 지정제도가 본격 시행되면 인력 수급이 무엇보다 문제가 될 가능성이 높아 전문인력 양성을 위한 방안 또한 함께 공론화해야 한다는 지적이다.
즉 보안관제 전문인력의 수가 턱없이 부족한 상황에서 공공 보안관제를 위한 신규 수요까지 겹치면 인력 부족 사태가 발생하기 때문에 정부가 전문인력 양성 방안도 고민해야 한다는 것이다.
더불어 보안성, 기밀 유지 등을 앞세워 파견관제만을 고집할 것이 아니라 확실한 보안대책을 세운 후 원격 관제도 부분적으로 허용해 인력 및 투자비용에 드는 업체들의 부담도 덜어 주어야 한다는 의견이다.
<소박스:공공 보안관제 전문업체 지정 자격 요건은>
기존 보안관제 전문업체는 물론이고 새롭게 지정을 받으려는 업체들까지 나섬에 따라 정부는 지정업체의 자격요건을 더욱 강화하기로 했다.
손경호 KISA 지식정보보안산업팀장은 “공공 보안관제 전문업체로 지정받은 후 관제 업무를 아웃소싱업체에 이관하는 등 단순 하도급 업무로 처리하면서 이윤만 추구하는 업체가 난립하는 것을 방지하기 위해 인력·재정·경험 등의 측면에서 요건을 강화했다”고 말했다.
따라서 공공 보안관제업체로 지정받기 위해선 희망업체는 기술인력 15명 이상, 자기자본금 20억원 이상, 최근 3년간 30억원 이상의 관제 프로젝트 수행 실적을 보유해야 한다. 이러한 자격 요건이 없다면 별도로 보안관제 수행능력 평가를 통과해야 한다.
보안관제 수행능력 평가는 신규로 지정을 원하는 업체들은 기존에 프로젝트를 수행한 성과가 없기 때문에 이 평가에서 70점 이상을 획득하면 보안관제 전문업체 지정 신청 자격을 주는 것이다.
또 보안관제 전문업체로 지정받은 이후에는 보안관제 수행능력 평가 기준에 의해 매년 1회 보안관제 역량 평가를 의무적으로 받아야 한다. 평가결과 70점 이하일 때는 전문업체 지정이 취소된다. 취소된 이후 2년간 다시 자격을 부여받을 수 없다.
손 팀장은 “정부가 지나친 경쟁을 막고 하도급 방지 등 공정거래 환경 조성을 위해 노력하고 있다”며 “프로젝트 수행 중 자사 인력 비중이 높을 경우 보안관제 수행능력 평가 시 우대할 것”이라고 말했다.
지경부 관계자는 “오는 7월 이후 본격적으로 공공 보안관제 전문업체를 지정하게 되면 향후 보안관제 서비스의 수준 향상 및 신규 수요 창출로 보안업계 전반에 긍정적인 효과를 미칠 것”이라고 말했다.
장윤정기자 linda@etnews.co.kr