인증·평가기관, 평가사 관리 미흡도 도마 위  

[보안뉴스 김경애] 제1차 정보보호 준비도 평가사(SECU-STAR Assessor, 이하 평가사) 양성교육 이후 자격 시험문제에 관한 정보들이 교육생들의 개인블로그와 페이스북에 올라와 파장이 커지고 있다.

양성교육은 총 2시간으로 그중 1시간은 교육이, 나머지 1시간은 평가 자격시험이 진행된다.

그러나 시험 직후 평가사 양성 교육생중 일부가 페이스북과 블로그 등에 시험문항과 함께 관련 정보들을 게시하면서 평가사들의 도덕성 문제와 함께 이를 제대로 관리하지 못한 인증 및 평가기관에 대한 비판이 일고 있다.

이와 관련 준비도 평가의 인증기관인 한국정보방송통신대연합(이하 ICT대연합) 김민천 차장은 “몇몇 평가사 교육생 중 일부가 5문제가 출제된 자격시험의 문항수 등을 시험 직후 블로그나 페이스북 등에 게시한 문제가 있었다”며 “다행히 시험 문제가 유출되진 않았지만 시험본 지 얼마 지나지 않아 문항 수와 관련 정보를 올리는 행위는 평가사로서 갖춰야할 기본적인 자질에 문제가 있다고 본다”고 지적했다. 현재 해당 정보들은 블로그 및 페이스북에서 삭제됐거나 비공개로 되어 있다.

기존 심사원 경력이 갖추고 있는 평가사들은 심사할 때 기본적으로 윤리확약서, 보안서약서 등을 작성하는 등 보안의 중요성을 누구보다 잘 인지하고 있는 상황에서 오픈된 블로그나 페이스북에 시험관련 정보를 올리는 것은 큰 문제라는 얘기다.

이와 관련 인증·평가기관은 “앞으로 불미스러운 일이 발생하지 않도록 철저히 준비할 것”이며 “이번 유출 건에 대해서는 재교육 등 추후 관계기관과의 회의를 통해 조치를 취할 것”이라고 밝혔다.

하지만 인증·평가기관 역시 교육생들을 제대로 관리하지 못했다는 문제에서 비판이 제기되고 있다. 

한 보안전문가는 “시험 전 충분한 인지와 교육이 이뤄졌어야 했음에도 불구하고, 제대로 공지하거나 관리하지 못했던 게 여과 없이 드러난 것”이라고 지적했다.

이와 관련 ICT대연합 김민천 차장은 “1차 교육 때도 이를 언급하며 당부했지만 제대로 인지되지 못한 것 같다”며 “대다수의 심사원들이 보안전문가들인 만큼 정보보호의 중요성을 충분히 인지하고 있을 것이라 생각했는데, 이를 간과한 것 같다”며 불찰을 인정하면서 향후 개선해 나갈 것이라고 말했다.

또한, 앞서 지적된 이른바 ‘장롱 심사원’ 등 평가사 자질 논란과 관련해서 김 차장은 “이제 시행 초기인 만큼 부족한 부분은 지속적으로 개선하고 보완할 계획으로, 평가사는 자격증만 보유하고 심사경험이 없는지 등 타 인증 심사 및 평가 경력 중심으로 서류심사를 거쳐 선발할 예정”이라며 “양성 측면도 고려해 260여명 지원자(2차 교육) 중 90명 정도만 선발할 계획이다. 부족한 인력은 재교육을 진행하거나 평가팀 구성 2명 중 1명은 반드시 평가기관 소속인력을 투입하는 방안 등 여러 가지를 고려하면서 제도 정착에 노력할 것”이라고 설명했다.

초반부터 이런 저런 논란으로 곤혹을 치르고 있는 정보보호 준비도 평가. 기존 인증심사원은 기업의 인증 취득을 위한 심사에 가깝다면, 평가사는 어떻게 하면 기업이 보안을 잘할 수 있을지 도와주고, 자문해 주는 컨설팅 역할에 더 가깝다는 평가다. 하지만 이러한 차이점에도 불구하고 정보보호 측면에서는 차이가 있을 수 없으므로 평가사 인력 선발에 있어 보다 만전을 기해야 한다. 인증·평가기관 등 관계기관 역시 미흡한 부분은 하루 빨리 개선해야 준비도 평가가 정보보호 활성화 정책의 중요한 한 축으로 자리잡게 될 것으로 보인다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>