이용경 “컨설팅·안전진단 업체 분리해야” 지적사항 아직 미이행

이용경 창조한국당 의원은 최근 한국정보보호진흥원의 ‘정보통신기반 보호업무’에 문제가 있다고 지적한 바 있다. KISA에 대한 국정감사 자리에서다.

여기서 그는 “현재 안전진단을 받아야 하는 대상기관은 총 238개 업체”라고 언급한 뒤 “헌데 작년부터 올 9월까지 이들의 정보보호 조치에 대한 개선권고가 단 한건도 없었다”며 그 이유가 컨설팅·안전진단 업체가 같은 데 있다고 주장했다.

한 마디로 말해 “수험생과 채점관이 같은 사람인데 어떻게 정보통신기반 보호업무가 제대로 이루어질 수 있겠느냐”는 것이 이 의원의 주장인 셈. 그렇다면 당시로부터 3주 가량이 흘러간 지금 이 문제는 어느 정도나 개선되어 있을까?

이와 관련해 보안뉴스가 후속취재를 진행한 결과 달라진 게 전혀 없음을 알 수가 있었다. 3일 본지의 취재에 응한, 특정업체를 상대로 해 컨설팅과 안전진단을 동시에 수행하는 업체들은 이전과 비교해서 변화된 상황이 전혀 없다고 밝혔다.

해당업체 관계자들은 안전진단 기관과 시스템구축 후 평가하는 기관이 같을 경우 자사의 진단작업 등에 긍정평가를 내릴 수밖에 없을 거라며 “짜고치는 고스톱이 되지 않겠느냐”는 물음에 “그런 우려를 할 수도 있을 것”이라고 말했다.

애초 이 의원이 제기했던 문제에 동의한다는 입장을 밝힌 것이다.

이들은 “같은 회사가 컨설팅과 안전진단을 동시에 맡을 수 있도록 제도 자체가 만들어져 있기 때문에 큰 문제는 없다”면서도 “하지만 컨설팅과 안전진단을 다른 업체가 맡는다면 평가의 객관성·공공성 확보에 도움이 될 것”이라고 강조했다.

해당업체들이 컨설팅과 안전진단을 동시에 맡는 이유와 관련, 이들은 안전진단을 받는 업체들의 열악한 재정 사정을 들었다. 보안 영역에 투자할 수 있는 여력이 별로 없다보니 컨설팅과 안전진단 업체를 분리하기가 어렵다는 얘기다.

여기서 이들 관계자는 “인터넷업체는 최소한의 비용만 들여 안전진단을 받고 넘어가려는 경향이 있다”며 “우리 입장에서는 최대한 문제가 없도록 진단하고 싶지만 이런 현실로 인해 40여개 정도의 필수 항목만 평가할 수밖에 없다”고 부연했다.

허나 이들은 “필수 항목들만 점검했다고 해서 최선의 조치를 취하지 않은 건 아니다”라고 강조하면서 “새로운 보안사고에 대비해 평가항목에 없는 점까지 세밀하게 점검하고 싶지만, 그렇지 않다고 사고가 나는 건 아니다”라고 덧붙였다.

일부 업체들을 상대로 컨설팅과 안전진단을 함께 수행하고 있는 업체의 관계자들은 관련 제도의 개선방향을 두고, 관계기관이 나서서 법을 개정하는 등 조치를 취한다면 거기에 따를 것이라며 당국의 지침을 적극 수용하겠다는 뜻을 전했다.

이를 두고서 KISA의 황중연 원장은 국감 때 이 의원의 질의를 받고 “안전진단의 객관성과 공공성을 확보하기 위해 법 개정을 검토하고 있다”고 말했다. 방상수 기업정보보호팀장은 3일 “방통위와 관련 TF를 만드는 걸 검토 중”이라고 전했다.

그러나 일부 관계자는 “현실적으로 분리가 쉽지 않을 것”(윤원석 인포섹 이사)이라고 내다봤다. 또다른 일부 관계자는 “보안대책 수립을 투자의 개념으로 보고 제대로 해야 한다. 그렇지 않을 경우에 리스크를 감수해야 할 것”(황미경 안철수연구소 차장)이라며 이 문제의 해법은 제도의 개선이 아니라 기업의 인식변화에 있음을 역설했다.

본보의 이번 조사에 응한 컨설팅·안전진단 동시 수행업체는 이 의원이 지난 정보보호진흥원 국정감사에서 밝힌 인포섹, 안철수연구소, A3시큐리티 등이다.

[최한성 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>