경력 및 실적 위조 성행, 보안관제 능력과 전문성 검증 방안 마련 필요
보안관제 전문 업체로 지정될 수 있는 조건은 전문인력 15명, 자기자본금 20억 원 이상, 3년간 30억 원 이상 보안관제 프로젝트 수행경험(유사사업 매출 50% 인정)을 갖춘 기업으로 그리 까다롭지 않다. 그럼에도 불구하고 신청서를 작성하는 과정에서 일부 업체들의 경력 및 실적 위조가 성행하고 있고, 이를 분별해낼 방법도 딱히 없어 큰 문제다. 조금 더 나아보이게 포장하려는 업체들의 의도로 보여 진다.
업계의 한 관계자는 공공이 아닌 민수 시장에서는 보안 관제를 안 했어도 수행한 것처럼 얼마든지 실적확인을 받을 수 있다고 폭로했다. 평소 거래를 많이 해온 고객사가 있다면 잘 얘기해서 관제 사업에 투입됐다는 확인 도장을 쉽게 받아낼 수 있다는 것.
또한 보안관제 인력의 경력은 정보보호 유관경력을 100% 인정해주고 있어, 보안 분야에서 경력이 웬만큼 있다면 보안관제 고급 인력으로 인정받게 된다. 즉, 유지보수, 장비운영을 7년 한 인력이 7년차 보안관제 인력으로 둔갑할 수 있는 것이다. 고객사 입장에서는 단순히 경력만 보고 관제 인력의 실력을 평가하기가 더 어려워졌다는 지적이다.
지정 요건만 충족하면 된다는 일념으로 업체들은 최대한 구색을 갖춰 신청서를 작성해 제출하고 있다. 이 과정에서 눈살을 찌푸리게 하는 업체들도 많다. 한 정보보호컨설팅 전문 업체는 컨설팅 인력을 관제 인력인 것처럼 신고했다는 의혹을 받고 있다. 전문 업체 요건 가운데 컨설팅과 관제 인력이 중복되면 안 된다는 문항은 어디에도 찾아볼 수 없기 때문에, 현장실사 과정에서 이 부분을 지적받을지 궁금하다.
또 어떤 업체는 파견 관제 위주로 해오다가 가산점을 받기 위해 부랴부랴 보안관제 센터를 구축한 것으로 전해진다. 5명 미만의 극소수 인력만을 배치해 놓은 상황이라 제대로 원격관제를 해보려는 게 아니라, 단지 보안관제 전문 업체라는 모양새를 갖추고 싶은 의도로 밖에 보여 지진 않는다.
지경부는 "전 직장과 사업수행 기관의 직인 날인 등 여타 제도들과 비교해 오히려 규제 사항이 강하고 자격요건도 절대 약하지 않다"며 "초기 시장 진입 문턱을 낮추긴 했지만 해마다 엄중히 평가해 능력이 안 되는 업체는 퇴출시킬 예정이며 추후 발주기관의 사업자 선정과정에서도 업체들이 자연스레 정리될 것으로 예상한다"고 밝혔다.
시장 논리에 의한 업체 선별이 이뤄지기를 기다리는 것은 대단히 위험한 일이다. 국가 주요 정보통신시설에 대한 보안 관제를 아무 업체에게나 맡길 순 없기 때문이다. 이에 해당 업체들에 대한 실력과 전문성을 검증할 수 있는 보안관제에 특화된 자격제도가 마련되어야 한다는 목소리가 높다.
지금과 같이 보안관제 전문 업체들의 경력과 실적 위조, 전문성 결여 등의 논란이 사라지지 않는 한 누군가에게 국가 주요 시설을 믿고 맡기긴 힘들 것이다.
김정은 기자
jekim92@itdaily.kr