• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[정보보호안전진단①]시행 5년, 그 현주소는? 2009.01.22

2003년 인터넷 대란 이후 국내 IT인프라와 기업들의 의무적 정보보호 조치 강화를 위해 등장한 정보보호 안전진단제도가 올해로 5년을 맞았다. 국가가 정하는 최소한의 정보보호 점검이라는 모토를 가지고 탄생한 이 제도는 5년이라는 시간을 거치면서 평가 부실이나 수검업체의 의지박약, 평가항목 개선이라는 여러 문제가 드러나고 있다. 보안뉴스에서는 정보보호 안전진단 제도의 현주소를 파악하고 발생하는 문제에 대한 개선점을 찾아보려 한다.  -편집자 주-


- 순서 -

1. 정보보호 안전진단 5년 그 현주소는?

2. 정보보호 안전진단 제도, 올해는 어떻게 바뀌나

3. 제도의 실효성을 위해 남겨진 숙제는?


정보보호안전진단은 ISP(인터넷서비스제공사)나 IDC(인터넷 데이터센터)를 비롯해 정부가 정한 기준에 속한 기업들을 대상으로 정보보호 조치가 제대로 돼 있는지 점검하는 제도다.


작년에는 230여개의 기업들이 정보보호안전진단 대상이었으며, 올해도 역시 세무청에서 발표하는 자료에 따라 수검 대상자가 결정 된다. 이 제도는 2003년 인터넷 대란 이후 인터넷 인프라와 기업들의 보안 점검을 의무화하기 위해 만들어져 2004년 말부터 본격적인 안전진단에 들어갔다.


하지만 5년을 맞은 정보보호 안전진단 제도는 시간이 지날수록 여러 문제점이 드러나고 있다. 일단 쏠림현상으로 인한 인력부족, 수행기관과 수검대상자들 간의 애매한 관계 등의 이유로 안전진단 자체가 형식적인 평가에 머물고 있다는 지적도 적지 않다. 


■ 형식적인 정보보호 안전진단

정보보호 안전진단은, 주요 ISP(인터넷접속서비스업체)와 IDC는 물론 일반 기업까지 사이버공격으로 인한 장애발생에 대비하기 위한 정보보호 점검을 한다는 것이 만들어진 취지였다. 하지만 시간이 지날수록 점차 형식적인 점검으로 전락하고 있다.


수검기업의 한 담당자는 “솔직히 안전진단에 대한 필요성을 못 느끼겠다. 그 이유는 여러 가지가 있겠지만 가장 큰 문제는 이런 점검이 현재 우리의 보안 개선에 도움이 안된다는 것 때문”이라며 “돈만내고 형식적으로 OX 체크하는데 그치고 있을뿐더러 담당자들은 밀린 일도 많은데 안전진단을 받는 동안 여간 번거로운게 아니다”라며 하소연한다. 


또 다른 수검기업의 담당자는 “수행기관 심사원 중 한 사람은 특정 분야에 대해서는 전혀 지식이 없는 사람인 경우도 있어, 담당자의 자질을 의시한 적도 있다”며 “이런 담당자들에게서 제대로 된 평가가 나올지 모르겠다”며 담당자들의 자질에 대해 의문을 제기하기도 했다.  


이와 같은 수검기업들의 불만은 안전진단의 신뢰성과 연관된다. 업계의 한 관계자는 “점차 안전진단의 신뢰성이 없어지고 있다. 이는 수행기관이 늘어나면서 발생한 과열 경쟁과도 연관된다”면서 “단가를 줄이고 다수의 안전진단을 수주하는 수행기관이 늘어나고 있는데, 다수의 안전진단을 수행하려다 보니 인력과 시간이 부족해 형식적인 점검에 그치고 있다”고 지적했다.


■ 정보보호 안전진단 쏠림 현상 심각해

정보보호 안전진단 수검대상자들은 매년 12월 31일까지 꼭 한번 받지 않으면 과태료를 물어야한다. 안전진단 수검 만료기점이 연말이다 보니 미처 받지 못한 기업들이 몰리는 쏠림현상은 안전진단의 고질적인 문제점으로 여겨지고 있다.


그러다보니 매년 안전진단 수검 만료 시점에 수요가 몰려 발생하는 수행기관의 인력 부족 사태를 야기하고 있다.


수행기관의 한 관계자는 “쏠림현상으로 인한 인력부족은 안전진단 자체를 허술하게 만드는 요인이 되고 있다”면서 “쏠림현상을 막기위해 기간별로 수검대상을 나누는 방안도 나오고 있지만 형평성 논란으로 인해 실행될 가능성은 크지 않을 것으로 업계는 보고 있다”고 언급했다. 


■ 정보보호 안전진단 수행기관 심사원 “전문가 맞아?”

정보보호 심사원은 정보보호기술인력에 등재된 사람만이 역할 수행이 가능하다. 정보보호기술인력은 일정 경력과 지정된 자격증의 소유자들에 한해 등재가 가능하다. 즉 등재된 인력들은 정보보호전문가라고 볼 수 있다. 하지만 수검업체들은 수행업체 심사원의 수준에 의문을 품는 사례가 늘고 있다. 정보보호 관련 전문지식이 턱없이 부족한 심사원도 더러 보이기 때문. 뿐만 아니라 심사원의 책임감도 이상할정도로 부족하다는 지적도 적지 않다.


한 수검기업의 담당자는 “한번은 어떤 이유인지 심사원이 심사기간동안 갑자기 나오지 않더니 다른 사람으로 바뀌는 일이 있었다. 물어보니 뭔가 트러블이 있었는지 그만뒀다고 들었다”고 말하기도 했다.


이런 책임감과 자질이 부족한 심사원에 대해 업계의 한 관계자는 “경쟁이 심화된 상태인데다가 연말 쏠림현상까지 나타나다보니 수행기관에서는 정보보호기술인력이 심하게 부족한 현상을 보이고 있다”면서 “이런 상황을 해결하기 위해 일부 업체는 정보보호기술인력으로 가장한 프리랜서를 이용하기도 한다”고 설명한다.

  

사실상 심사원은 회사에 귀속돼 있어야 하기 때문에 프리랜서 자체가 원칙적으로는 위법행위에 속한다. 하지만 경쟁의 심화와 연말 쏠림현상은 불법 프리랜서를 양산하는 원인이 되고 있다.


■ 수행기관과 수검대상자의 애매한 관계도 문제

문제가 이 뿐만은 아니다. 수행기관의 자격이 컨설팅 수행 경험과 일정수준의 컨설턴트만 보유하고 있으면 되기 정보보호 컨설팅 업체나 보안관제, 회계법인 등에서 안전진단 수행기관으로 등록하고 있다. 문제는 이들 업체들은 대부분 수검대상자들의 고객이거나 잠재적 고객이라는 점. 물론 많은 수검대상자들이 정보보호 점검이라는 취지아래 안전진단을 받고 있지만 일부의 수검대상자는 안전진단 자체에 대해 귀찮은 1년에 한번 다가오는 통과의례 정도로 여귀고 있어 점검을 간소하게 받고자 하는 경우도 있다.

[오병민 기자 (boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>