이용경 의원 “‘컨설팅업체와 안전진단 수행업체 분리해야” 지적

주요 정보통신 기반시설을 지정해 안전상태를 점검하고, 정보통신서비스 제공자가 안전진단을 제대로 받는지 확인하는 한국정보보호진흥원(원장 황중연 www.kisa.or.kr)의 ‘정보통신기반 보호업무’에 하자가 있다는 지적이 제기됐다.

이용경 창조한국당 의원은 14일 KISA 등 4개기관에 대한 국감에서 “현재 안전진단을 받아야 하는 대상기관은 총 238개 업체인데, 작년부터 올 9월까지 정보보호조치에 대한 개선권고가 단 한건도 없다”며 이 같은 문제의식을 밝혔다.

이 의원이 전한 바에 따르면, 이들 대상기관은 현재 자체적으로 혹은 컨설팅 업체를 통해 정보보호 조치를 이행한 다음 안철수연구소 등 방송통신위원회가 지정한 17개 정보보안업체의 확인을 받는 방식으로 안전진단을 받고 있다.

그리고 지난 1년9개월 동안 안전진단을 제대로 받지 않아서 개선권고의 대상이 된 업체는 전혀 없었다. 문제는 이런 상황에서 ‘옥션’의 개인정보 유출사건을 포함한 다수의 정보유출 사건이 터져 전사회를 한바탕 떠들썩하게 했다는 점이다.

여기서 이 의원은 “그렇다면 안전진단은 왜 받는 것이냐”고 의문을 표시한 뒤 “진단대상업체와 컨설팅업체 그리고 안전진단 수행업체 사이의 짜고치기 때문에 이런 일들이 벌어진 것”이라며 안전진단 과정의 맹점을 파고들었다.

옥션의 경우를 예로 들면서 “이 업체가 정보보호 컨설팅을 맡긴 업체는 ‘인포섹’인데, 안전진단을 수행한 업체 역시도 ‘인포섹’이었다”며 “한 마디로 ‘수험생과 채점관이 같은 사람이었다’는 뜻이었다”고 한껏 목소리를 높였다.

그러면서 그는 “이런 방식의 정보보호 안전진단은 하나마나다”라고 지적하면서 “수험생과 채점관을 반드시 분리하도록 감독했어야 할 한국정보보호진흥원의 직무태만이다. 이에 대한 개선책이 반드시 뒤따라야 할 것”이라고 덧붙였다.

이 같은 지적에 한국정보보호진흥원의 황중연 원장은 “안전진단의 객관성과 공공성을 확보하기 위해 법 개정을 검토하고 있다”고 말했다. 아울러 그는 “시공과 감리가 분리되는 건 상식”이란 지적이 뒤따르자 “알겠다”도 답변하기도 했다.

[최한성 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>