안전진단 수행기관의 지정요건 및 사후관리 강화해야
정보보호 안전진단 제도는 매출이 100억원 이상이거나 일일 이용자수가 100만명 이상인 ISP(인터넷서비스제공자), IDC(인터넷데이터센터), 대형 포털 및 쇼핑몰 등 인터넷 관련 주요 사업자를 대상으로 수행되고 있다. 2004년부터 `정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 근거해 기술적· 관리적· 물리적 보호조치 등에 대한 정보보호 이행 여부를 점검, 정보통신망 및 정보통신서비스에 대한 안정성 및 신뢰성을 확보하기 위한 제도이다. 안전진단 대상 업체는 2006년 160곳, 2007년 207곳, 2008년 230여곳으로 점차 확대되는 추세다.
현행 정보보호 안전진단 제도가 개선되어야 할 대표적인 사항으로는 비교적 단순한 정보보호 안전진단 수행기관 지정 조건, 수행기관들에 대한 사후관리 미비, 안전진단에 대한 객관성 결여 등을 꼽을 수 있다.
실제로 주무부처인 방송통신위원회 네트워크안전과도 "수행기관들의 허위 진단, 인력 수준 등을 판단할 규정이 없는 게 사실이다. 현재 수행기관들에 대한 사후관리 및 인력 강화 방안을 적극 모색 중"이라며, 제도의 미비점을 인식하고 있다.
이에따라 방통위는 '안전진단 인력 강화를 위해 일정한 교육 이수 후 정보보호심사원 자격증을 획득한 자에 한해 안전진단을 수행하도록 하고, 수행 업체의 편의성 차원에서 안전진단 영업 양수도 관련 규정'을 포함한 법 개정을 추진 중이다. 법 개정안이 통과되면 안전진단 인력들에 대한 수준 향상되고, 안전진단을 수행해본 인력이나 노하우를 지닌 기업의 경우 인수합병 시에도 안전진단 수행기관으로 신규지정을 받을 필요 없이 업무 연속성을 보장받게 될 것으로 기대되고 있다.
◆ 안전진단 수행기관 되기 '너무 쉬워'= 안전진단 수행 업체들은 수행기관의 추가 지정에 대한 필요성을 인지하면서도 안정진단 수행기관의 지정 조건이 허술한 편이라고 지적했다.
제도상 실제 기술인력 15명 이상에, 3년 이내 컨설팅 실적만 있으면 안전진단 수행기관으로 지정 가능하다. 이에 어떤 수준의 컨설팅을 수행했었고, 안전진단을 수행할 능력은 어느 정도의 수준인지, 보다 체계적인 기준이 마련되어야 질 높은 안전진단을 보장할 수 있다는 것이다.
최근 방송통신위원회 네트워크안전과는 정보보호 안전진단 수행 기관으로 이글루시큐리티, KCC시큐리티, 엔코딩패스 3곳 추가했다고 밝혔다. 이로 인해 안전진단 수행기관은 기존 17곳에서 20곳으로 늘어났다. 추가 지정된 수행기관들은 안전진단 수행 방법, 보고서 작성 요령 등에 대한 교육기간을 거쳐 올해부터 안전진단 업무를 수행하게 된다.
안전진단 수행기관들이 증가하는 것에 대해 관련업계는 '안전진단 대상 업체들이 계속 늘고 있는 만큼 당연히 그래야 한다'는 반응이다. 특히, 11월부터 12월 까지 집중적으로 몰리는 안전진단 수요를 감당하기 위해 현재 수행기관만으로는 부족하다는 의견이 지배적인 상황이다.
하지만 진단기관이 늘어났다고 해서 안전진단이 제대로 이뤄진다는 보장이 없다는 데 업계의 불안한 시선이 쏠리고 있다. 안전진단 수행기관의 한 관계자는 "진단 대상업체당 500만원씩 치면 안전진단 전체 수요는 5~10억 규모로 작다. 수익을 남기기 위한 치열한 경쟁시장이 아니기 때문에 수행기관들은 자사의 주요 고객사 위주로 안전진단을 수행하고 있는 상황"이라고 전했다.
◆ 이해관계 떠나 객관성 있는 안전진단 되어야= 이처럼 안전진단 수행기관들은 안전진단을 통한 수익 보다 이를 활용한 비즈니스 효과에 더 기대를 걸고 있다. 예를 들면, 방화벽 업체의 경우 안전진단을 수행해준다는 조건으로 고객에게 방화벽을 쉽게 판매할 수 있는 것이다.
이번에 신규 수행기관으로 지정된 보안관제 서비스 업체의 한 관계자는 "보안관제 서비스가 안전진단 대상 기업인 IDC, VIDC 서비스 고객들을 대상으로 하기 때문에 안전진단 수행을 통해 보안관제 사업 확대를 기대하고 있다"고 말했다. 실제 대부분의 안전진단 수행기관들은 자사의 주요 고객들을 중심으로 한 안전진단을 수행하고 있는 것으로 나타났다.
이는 곧, 이해관계가 얽혀 있어 안전진단의 객관성을 흐리는 요인으로 꼽힌다. 결과를 허위 조작하거나 눈 가리고 아웅 식으로 진단이 이뤄지는 경우가 허다한 것으로 알려진다. 2006년, 2007년 안전진단 후 시정조치를 받은 업체가 1곳에 불과했는데, 이는 객관적이지 못한 안전진단의 실태를 단적으로 보여주는 예이다.
이 때문에 제대로 된 안전진단을 위해 업체들과의 이해관계가 없고, 불합격 처리를 할 수 있는 정부, 공공기관에서 감사 차원으로 안전진단을 수행해야 한다는 이야기도 나오고 있다. 이 밖에도 안전진단 수행기관들에 대한 사후관리가 미흡하므로, 역량이 안 되는 기관들을 제외시키거나, 객관성을 저해시키는 허위 작성 등에 대한 규제가 시급히 마련되어야 한다는 목소리가 높다.
< 안전진단 수행기관 인정 법인 목록- 총 20개사 >
씨에이에스, 한국전산감리원, 에이쓰리씨큐리티컨설팅, 안진회계법인, 한국통신인터넷기술, 넷시큐어테크놀러지, KT, 안철수연구소, 한국IT감리컨설팅, 씨큐아이닷컴, 롯데정보통신, STG시큐리티, 인젠시큐리티서비스, 인포섹, 인젠, 한영회계법인, 정보보호기술, 이글루시큐리티, KCC시큐리티, 엔코딩패스
김정은 기자
jekim@itdaily.kr