보안컨설팅, 전문업체 추가지정 방침에 업계 반발

[김수연기자] 지식정보보안 컨설팅 전문업체(이하 컨설팅 전문업체)의 신청 자격 요건을 두고 정부와 업계가 대립하고 있어 주목된다.

12일 서울 교육문화회관에서 개최된 '지식정보보안 컨설팅 전문업체 신규 지정을 위한 시행규칙 및 고시 개정 공청회'에서는 전문업체 추가 지정에 대한 필요성을 강조하는 정부와, 컨설팅 품질 저하를 우려하는 기존 업체들, 실력 있는 기업에게는 추가 지정의 기회를 열어야 한다는 비지정 업체들의 의견이 대립했다.

지식경제부의 기반시실보호법에 근거해 주요정보통신 기반시설의 취약점 분석·평가·보호대책 수립 업무를 수행하는 지식정보보안 컨설팅 전문업체로는 시큐아이닷컴, 롯데정보통신, 안랩, 에스티지시큐리티, 에이쓰리시큐리티, 싸이버원, 인포섹 등 7개 업체가 지정돼 있다.

◆정부 "전문업체 추가 지정으로 기반시설 유찰문제 해결"

정부는 주요 통신기반시설 확대, 보안컨설팅 시장 규모 증가 등 시장 환경변화에 맞게 지식정보보안 컨설팅 전문업체를 추가 지정할 필요가 있으며, 이를 위해 신청 자격 조건을 완화하겠다는 입장이다.

이날 발표된 정보통신산업진흥법 시행규칙 개정방안(안)에 따르면, 정부는 전문업체 신청 자격 요건을 납입자본금 20억 원 이상에서 자기자본 5억 원 이상으로 완화하고, 보유 기술인력 수는 기존 15명 이상에서 10명 이상으로 낮추겠다는 계획이다.

전문업체 지정 진입장벽을 낮춰 실력있는 중·소기업이 주요 정보통신기반시설 취약점 진단 사업을 수주할 수 있도록 하겠다는 취지다.

지식경제부에 따르면 지식정보보안 컨설팅전문업체 지정제도가 처음으로 시행된 2001년 23개였던 주요정보통신기반시설 수는 2012년 186개로 증가했고 내년에는 그 수가 약 200개로 증가할 것으로 예상되고 있다. 보안컨설팅 시장도 2001년 95억에서 2012년 1천억 원(추정치) 규모로 증가했다.

정부는 특히 지난해 7개 컨설팅 업체가 사업을 수행한 기반시설은 전체 153개 기반시설 가운데 52개에 불과했고 주요 정보통신 기반시설의 취약점 분석·평가 사업도 빈번히 유찰돼 이의 개선이 필요하다는 입장이다.

한국인터넷진흥원(KISA) 주용완 산업진흥단장은 "전문업체로 지정됐으면 의무적으로 주요 정보통신기반시설에 대한 컨설팅을 수행해야 하는데 인력적 측면 등에서 문제가 있었고, 이 때문에 주요 정보통신 기반시설의 취약점 분석·평가 사업이 유찰되는 문제가 빚어졌다"며 "이는 올해도, 내년에도 발생할 수 있어 반드시 개선해야 한다"고 강조했다.

전체 기반시설 중 75%의 취약점 진단 사업을 수행하려면 현재보다 약200여 명의 추가인력이 필요하고, 특히 3~5년의 실무경력을 갖춘 컨설팅 전문인력을 확보해야 하다는 게 KISA와 지경부 측 설명이다.

◆ 기존 업체들 "전문업체 난립으로 컨설팅 품질 떨어질 것"

하지만 업계의 입장은 다르다. 공청회에 참석한 기존 컨설팅 전문업체들은 "주요 정보통신기반시설 유찰 문제를 전문업체 추가 지정으로 풀려는 것은 안일한 발상이며, 기반시설 보호법 취지에도 어긋난다"며 거세게 반발했다.

김형식 에이시큐리티 부사장은 "정부는 지정업체를 확대해 공급을 늘리면 (유찰문제를) 해결할 수 있다고 보는데 이는 안이한 판단"이라며 "지정업체 확대 이전에 공급자 측의 애로사항부터 살펴보고 이를 해결해 주는 것이 먼저"라고 주장했다.

그는 "기반시설 취약점 진단 사업은 일반 컨설팅 사업보다 업무는 과도한데 단가는 낮다"며 "지난해 행안부 25개 기반시설 통합 발주 사업을 수행했는데 중요 업무라 야간 인력까지 투입해 가며 진행했지만 결국 적자를 봤고 투입 인력의 30%가 퇴사했다"고 토로했다.

공급자 측의 애로사항이 해결되지 않은 상황에서 전문업체가 추가로 지정되면 저가 수주, 업체 난립으로 인한 인력 이탈문제가 더욱 심해지고, 결국 국가 중요 기반시설 컨설팅 사업의 전반적인 품질이 저하될 것이라는 게 김 부사장의 주장이다.

싸이버원 관계자는 "(기반시설 컨설팅 사업에서) 잦은 유찰이 빚어지는 원인은 낮은 단가, 공공기관 스케줄에 맞춘 발주기간 등 수요기관의 발주형태에 문제가 있기 때문"이라며 "이를 개선하지 않고 전문업체 지정 신청 자격 조건을 낮추면 업체가 난립하게 될 것이고, 이는 전문성, 기업 영속성 등을 고려해 업체를 지정하는 기반시설보호법의 취지에 어긋나는 것"이라고 지적했다.

지식정보보안 컨설팅전문업체 지정제도를 운영하는 지경부, KISA가 행정안전부와 협력해 기반시설 취약점 진단 사업에 대한 적절한 대가기준부터 산정하는 것이 시급하며, 전문업체 신청 자격 조건 완화는 그 이후에 논할 일이라는 것.

인포섹 영업본부 김건철 이사 역시 "기반시설 컨설팅 사업이 유찰되는 이유는 수익성이 안나기 때문"이라며 "전문업체 지정 신청 자격 조건을 완화해 전문업체 수를 늘리면 전문성이 떨어지고 컨설팅 시장도 품질이 안 좋아지는 상황으로 갈 수 있다"고 목소리를 높였다.

롯데정보통신 관계자는 "전문업체 지정제도가 왜 만들어졌는지 생각해봐야 할 시점"이라며 "신청 자격 요건을 완화해 전문업체를 늘리는 것이 국가의 중요한 기반시설에 대한 안전을 도모하겠다는 제도의 취지에 어긋나는 것은 아닌지 따져봐야 한다"고 밝혔다.

반면 비지정업체들은 정부의 엄격한 사후관리를 통해 품질 저하 우려를 얼마든지 해소할 수 있기 때문에, 진입장벽을 낮춰 전문업체 수를 늘리는 것이 현 시장 상황에 맞다는 입장이다.

시큐베이스 관계자는 "전문업체가 난립해서 품질이 떨어질 것이라는 우려는 정부의 사후관리를 통해 해소될 수 있을 것"이라며 "발주기관 역시 제안 발표, RFP 등을 통해 업체들을 걸러내고 있다"며 "납입자본금 20억 원, 보유인력 15명이라는 조건이 그대로 유지될 경우, 대기업들만 전문업체로 진입하는 상황일 벌어질 것"이라고 말했다.

소규모 회사라도 과업을 수행할 능력이 있는 것으로 평가된 기업이라면 얼마든지 주요 정보통신기반시설에 대한 컨설팅 사업을 수행할 수 있도록 해야 한다는 주장이다.

KT 관계자 역시 "시장이 커졌는데 7개 업체가 전체 주요 정보통신 기반시설 사업을 맡아서 하는게 맞는 것인지 의문"이라며 "기존 전문업체들은 기반시설 컨설팅 사업을 기피하고, 전문업체라는 라이선스를 이용해 단가가 높은 민간 부문의 사업을 수주하고 있는데, 오히려 이게 더 안보에 위협이 될 수 있다"고 말했다.

한편 지경부는 공청회에서 나온 업계 의견을 바탕으로, 행안부, 국정원 등 관계부처와 협의해 내달 중 지식정보보안 컨설팅전문업체 신규 지정을 위한 시행규칙·고시 초안을 마련하고, 내년 상반기부터 지식정보보안 컨설팅 전문업체 추가 지정 업무에 착수한다는 계획이다.