보안 컨설팅 지정제 '손질', 보안업계 시큰둥한 까닭은

[김국배기자] 미래창조과학부가 정보보호 전문서비스 기업(옛 지식정보보안 컨설팅 전문업체) 지정 제도를 손질했다.

3년 주기의 재지정심사 규정을 삭제하고, 1년 주기 사후관리 심사 규정을 신설한 것이 골자다.

미래부는 '정보보호 전문서비스 기업 지정 등에 관한 고시'를 개정해 지난 16일 시행했다.

가장 눈에 띄는 부분은 1년마다 진행하는 사후관리 심사 규정을 만들면서 최근 1년간의 주요 정보통신 기반시설 컨설팅 수행실적을 평가하도록 한 점이다.

지금까지는 사후심사에서 기술인력 인원수, 자본금, 설비 등 기본 요건만 따졌다. 정작 컨설팅 수행실적은 3년에 한 번씩 거치는 재지정 심사에서 한꺼번에 몰아서 평가했다.

특히나 기반시설 컨설팅만이 아닌 비기반 시설 컨설팅 실적까지 합쳐서 기준 금액을 넘으면 그만이었다.

이 때문에 해당 기업들이 공공 부문 기반시설에 대한 보안 컨설팅은 외면하고 민간 분야 사업 경쟁력 수단으로 이 자격을 활용하는 말 그대로 '본말전도' 상황을 부추기는 원인 중 하나로 지목됐다.

실제로 한국인터넷진흥원(KISA)에 따르면 지난해 기준 총 18개 전문업체의 컨설팅 수행 실적 가운데 기반 시설에 따른 매출 비중은 25%에 그쳤다. 나머지는 비기반 시설에 대한 컨설팅 매출이다.

일단 새로 생긴 사후관리 심사 규정표에 따르면 최근 1년간의 기반시설 컨설팅 수행실적 평가 기준액은 3억 3천만 원으로 정해졌다. 3년 단위 최초 지정 심사에서 요구하던 10억 원을 1년 단위로 환산한 셈이다.

이번 개정이 향후 변화를 불러올 수 있을 지 주목된다. 미래부는 이번 사후관리 심사 규정을 정비해 제도의 기본 취지를 살린다는 목표다.

KISA 관계자는 "3년 주기 재지정 심사가 없어지고 사후관리 심사만 남게 돼 해당 기업들도 심사 부담을 덜 수 있을 것"이라며 "기반시설 컨설팅 사업 수행이 활성화되는 계기가 되길 기대하고 있다"고 말했다.

◆보안업계 '시큰둥'

그러나 이 같은 개정 취지에 대해 보안업계에서는 일부 공감하는 목소리도 있으나 대체로 시큰둥한 반응을 보이고 있다.

낮은 사업성, 프로젝트 발주 쏠림 현상 등 현실적 문제가 함께 해소돼야 한다는 게 업계 의견이다.

보안 컨설팅 전문업체 관계자는 "기반시설 운영기관 대부분이 보호대책을 상급기관에 8월까지 보고하게 돼 있어 300개에 달하는 기반시설 프로젝트가 3~4월에 몰리니 컨설턴트 인력 문제로 어쩔 수 없이 참여하지 못하는 경우도 있다"며 "여전히 10년 전과 같은 단가로 프로젝트가 발주되는 것도 문제"라고 지적했다.

다른 보안컨설팅 업체 대표는 "업계가 기반시설 컨설팅 사업에 잘 참여하지 않는 이유는 업무 부담은 굉장히 높고 예산은 적어 수익성이 떨어지기 때문"이라며 "사업성은 고려하지 않고 사업 참여율만 올리려는 행정 편의적 발상"이라고 비판했다.

또 "사업 실적으로 전문 역량을 가늠하는 것이 옳은 지도 의문"이라며 "이런 접근 방식은 오히려 역량 있는 신생 기업에는 진입 장벽으로 작용할 수도 있다"고 덧붙였다.