10여개 이상의 보안전문 업체에서 높은 관심 나타내 

일부 전문업체 “전문업체 지정 기준완화, 전문성 저하 우려”

[보안뉴스 김태형] 미래창조과학부는 지난 7월 22일 ‘지식정보보안 컨설팅 전문업체의 지정 등에 관한 고시’ 일부 개정(안)을 입법예고한 가운데 이 개정안을 이달 내로 확정해 발표할 계획이다.

이번에 입법예고된 고시 개정안은 ‘지식정보보안 컨설팅’이라는 용어가 ‘컨설팅’으로 변경됐다. 하지만 고시에서 말하는 ‘컨설팅’은 정보통신시설 및 시스템에 대한 취약점 분석에 대한 프로젝트만 인정한다고 명시하고 있어 현행과 큰 차이점은 없다.

특히, 컨설팅 전문업체 지정을 위한 세부평가 기준에 대한 항목과 점수도 소폭 조정됐으며, 세부평가기준 중 경험 항목(35점)에서 최근 3년간 컨설팅 수행 실적의 기준액이 20억원에서 10억원으로 대폭 감소했다.

이에 따라 기존 지식정보안컨설팅 전문 업체인 롯데정보통신, SK인포섹, 시큐아이, 싸이버원, 안랩, STG시큐리티, A3시큐리티 등 7개사 외에도 관제서비스 등 다른 분야의 보안전문 업체들도 컨설팅 전문업체 신규 지정을 위해 많은 관심을 보이고 있는 것으로 알려졌다.

이와 관련 한국인터넷진흥원 홈페이지에는 ‘지식정보보안 컨설팅 전문업체 신규 지정 문의 안내’를 통해 별도로 공지할 정도로 문의 전화가 많은 것으로 전해졌다.  

한국인터넷진흥원 관계자는 “현재까지 10여개 이상의 보안전문 업체에서 지식정보보안 컨설팅 전문업체 신규 지정에 관한 문의를 하고 있다. 8월 안에 개정안을 고시, 발표하고 9월 중에 신규 업체 모집공고를 낼 계획”이라면서 “신규 업체 지정 신청을 한 업체는 4개월 가량의 심사과정을 거쳐 결정된다. 그리고 신규로 지정된 업체들은 내년부터 컨설팅 사업을 진행할 수 있게 될 것”이라고 설명했다.

또한 현재 지식정보보안컨설팅 전문업체로 지정된 업체의 재지정 심사도 이루어질 것으로 보인다. 이와 관련 한 전문업체 관계자는  “현재 롯데정보통신, SK인포섹, 시큐아이, 싸이버원, 안랩, STG시큐리티, A3시큐리티 등의 7개사의 전문업체 지정이 오는 11월로 유효기간이 만료됨에 따라 재심사 과정에 있다”면서 “기존에는 재심사에서 떨어진 업체도 있었지만 이번엔 그렇지 않을 것으로 본다”고 말했다.

이어서 그는 “이번 전문업체 재심사와 신규 업체의 추가 지정과는 별개”라면서 “입법예고된 고시 개정안을 보면 ‘지식정보보안 컨설팅’에서 ‘컨설팅’으로 용어를 변경한 부분과 컨설팅 전문업체 지정을 위한 세부평가 기준을 완화시켜 전문업체 지정을 확대한다는 것은 기존의 전문업체들의 전문성을 희석시키는 결과를 초래할 수도 있다”고 우려했다.

또 다른 전문업체 관계자도 “보안 컨설팅 전문업체의 기준을 완화시켜 기존 컨설팅 사업이나 대형 프로젝트 수행 경험이 없는 업체가 신규 전문업체로 지정되어 공공기관의 큰 보안 프로젝트를 수행하기에는 퀄리티나 능력이 부족할 것”이라며 반대 입장을 나타냈다. 

올해 3.20 사이버테러와 6.25 사이버 공격 등으로 정부가 국가 주요정보통신기반시설을 대폭 늘릴 계획인 가운데 보안 컨설팅을 받아야 하는 주요기반시설은 209개와 주요 공공기관 100여개 이상으로 지식정보보안 컨설팅 전문업체와 전문인력은 매우 부족한 실정이다.

이에 정부의 지식정보보안 컨설팅 전문업체의 신규 지정 및 재지정이 일각에서 제기하는 부작용 없이 시장에 제대로 안착할 수 있을지 관심이 모아지고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>