[보안뉴스 김경애] 제1회 정보보호 준비도 평가사(SECU-STAR Assessor, 이하 평가사) 양성 교육과정이 지난주에 진행된 가운데 △교육 시간 및 프로그램 △ 심사원 중복 △심사원 인력 부족 문제 등이 제기되고 있다.

평가사 자격요건은 4년제 대학 졸업 학위 취득과 정보보호 경력 2년 이상, ISMS·PIMS 등 심사원, 정보보안 산업 기사 자격증을 보유한 자 등이다.

이러한 자격 보유자를 대상으로 진행된 평가사 양성교육은 교육과 평가를 합해 총2시간 동안 진행됐다.

그러나 교육을 받은 평가사 중 일부는 기존 ISMS 인증 심사원 교육과 별반 차이가 없다는 문제를 지적했다. ISMS 항목을 중심으로 약식으로 만들었기 때문에 똑같은 교육을 2번 받은 꼴이라는 것.

게다가 양성 교육과정에 참가한 평가사 대다수가 ISMS, PIMS, PIPL 인증심사원들이기 때문에 평가과정이나 결과 등에 있어 기존 인증제도와 차별성이 없을 것이라는 우려도 커지고 있다. 이와 함께 일부 인증심사원들의 경험 부족 문제도 제기되고 있는 상황이다.   

또 다른 보안전문가도 “기존 심사원들을 보면 자격만 획득해 이력서나 명함에 표기하는 용도로 사용하는 사람이 적지 않다”며 “정작 심사에는 한번도 참여하지 않은 심사원이 상당수”라고 밝혔다.

마지막으로 지적되는 문제는 심사원들의 인력 부족이다. 연말이 다가오면서  ISMS 의무대상 기업의 ISMS 심사가 폭주하고 있는 상황이다. 그러나 심사원 인력이 절대적으로 부족하고, 경험이 풍부한 심사원들이 더더욱 적다보니 심사 품질 저하 우려도 제기되고 있다.

적은 인력이 많은 기업을 담당하다 보면 심사원들의 피로도가 높아지고, 이로 인해 심사 품질이 떨어질 수 있다는 얘기다. 여기에다 정보보호 준비도 평가가 본격 시행될 경우 심사원들의 부족 문제가 또 다시 부각될 수 있다는 것이다.    
 

정보보호 준비도 평가사 양성교육이 이제 막 첫 발을 내딛었다. 준비도 평가의 성공여부는 전적으로 평가사들에게 달려 있다고 해도 과언이 아니다. 그렇기에 교육과정을 운영하고 평가사들을 선발하는 데 있어 보다 정확한 검증과 객관적인 평가가 선행되어야 할 것으로 보인다.  
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>