[김국배기자] 정보보호 전문서비스 기업 지정제도(구 지식정보보안 컨설팅 전문업체 지정제도)의 실효성에 의문을 제기하는 목소리가 높아지고 있다.
전문업체들이 공공 부문 기반시설에 대한 보안 컨설팅은 외면하고 주로 민간 분야 사업의 경쟁력을 높이는 수단으로만 이 자격을 이용해 말 그대로 본말이 전도됐다는 지적이 나오고 있다.
1일 미래창조과학부 산하기관인 한국인터넷진흥원(KISA)에 따르면 지난해 기준 총 18개 전문업체의 컨설팅 수행 실적에서 기반 시설에 따른 매출이 차지하는 비중은 25%에 그쳤다. 나머지는 비기반 시설에 대한 컨설팅 매출이었다.
미래부가 운영해온 이 제도는 기반시설 관리기관이 전문업체를 활용해 주요 정보통신 기반시설의 취약점 분석·평가 및 보호대책 수립 업무를 지원하는 것이 목적이다.
지난해 말 '정보보호산업의 진흥에 관한 법률'이 시행되면서 지금의 이름으로 바꿨다. 3년마다 이뤄지던 재지정도 1년마다 하는 것으로 심사체계를 정비했다.
전문업체들이 공공 기반시설 컨설팅 사업을 꺼리는 것은 새로운 얘기도 아니다. 워낙 수익성이 낮은 탓이다. 자격을 유지하는데 특별히 공공 기반시설 사업 수행 실적을 요구하지도 않는다. '자격증'만 따서 금융 등 민간 사업에 요긴하게 활용하게 된다.
이 탓에 보안업계에서는 컨설팅 전문업체 지정 제도를 유지하는 것에 대해 의견이 분분하다.
막상 전문업체를 지정했지만 공공 기반시설 컨설팅은 뒷전이다 보니 피해를 입는 건 신생벤처 기업들이라는 말까지 나온다. 전문업체 자격 기준이 오히려 시장에 진입하지 못하게 하는 '장벽'이 된다는 것이다. 또 기존 전문업체들조차 자격 유지를 '비용'으로 느낀다는 주장도 있다.
현재 전문업체로 지정되려면 자본금 10억원 이상, 민간·공공부문 컨설팅 수행실적(3년간 10억원), 10명 이상의 기술 인력을 갖춰야 한다.
한 기업 최고정보보안책임자(CISO)는 "제도 취지는 누가 제대로 컨설팅을 하는지 모르는 상태에서 정부가 전문업체를 심사해 자격을 주자는 것이었다"며 "이제는 시간이 지나면서 검증이 다 됐는데 지정하는 것이 더 이상 의미가 있는지 고민해봐야 할 때"라고 말했다.
이어 "모의해킹을 하는 회사들의 경우 4~5명의 사람들이 모여 자본금 1억원 정도를 갖고 시장에 들어오기도 하는데 이런 회사는 일을 할 수 없는 셈"이라며 "제도가 하나의 벽이 돼서 새롭고 참신한 컨설팅을 할 수 있는 실력있는 업체들이 들어오지 못하고 있다"고 지적했다.
다른 보안 전문가는 "지정제도 양날의 검"이라며 "전문업체들에 일정 부분의 시장을 보장해주는 효과는 있지만 자격 유지를 위해 저가 수주도 마다할 수 없는 경우가 생겨 영세한 전문업체들은 더 힘들어질 수도 있다"고 말했다.
이에 대해 KISA 관계자는 "기술은 있지만 회사에 대한 안정성이 담보되지 않는 회사들도 있을 수 있다"면서 "회사에 대한 신뢰성과 컨설팅 품질을 확보하는 차원에서 제도 유지는 필요하다고 본다"고 말했다.
또 "제도의 취지에 맞게 공공 기반시설 사업 수행 실적을 요구하는 방향으로 고시를 개정하는 작업을 미래부와 함께 진행중"이라며 "또 정보보호 서비스 대가 가이드라인을 마련하는 등 보안 서비스에 제값을 주기 위한 노력도 계속하고 있다"고 덧붙였다.
보안 컨설팅 전문업체 관계자는 "대부분의 전문업체가 공공 분야 사업 단가가 낮아 민간 분야에 더 주력하고 있는 것은 맞다"면서도 "기존 업체들 중에서도 영세한 업체나 새로 지정된 업체들의 입장이 모두 다를 수 있다"고 말을 아꼈다.
현재 18개 전문업체는 시큐아이, 안랩, 에스티지시큐리티, 에이쓰리, 롯데정보통신, 싸이버원, SK인포섹, 비트러스트, 소만사, 씨에이에스, 에스에스알, 파수닷컴, LG CNS, 윈스, 이글루시큐리티, 시큐어원, 한영회계법인, 한전KDN이다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기