일련의 정보침해 사고로 인해 정보보호에 대한 인식이 확산되고 있다. A3시큐리티컨설팅 방인구 상무는 “이제는 국가와 기업 그리고 개인 정보의 안전한 보호를 위해 IT 예산에서 일정 규모는 정보보호 분야에 투자가 이루어져야 한다”고 말했다. 또한 “정보보호 제품이 단순한 IT제품으로만 취급되는게 아니라 IT환경의 안전한 운영을 위한 필수적인 분야라는 인식이 확산돼야 한다”고 강조했다.

지난 8일 정보통신부는 정보보호컨설팅 전문업체로 안렙코코넛, 인포섹, 시큐아이닷컴, A3시큐리티컨설팅, 인젠, 에스티지시큐리티, 안철수연구소, 이니텍 등 총 8개업체를 지정한바 있다.

이들 컨설팅 업체는 정보통신부가 지정한 국가 IT기간사업으로 분류할 수 있는 기업을 대상으로 안전진단을 실시할 수 있는 자격이 부여된다. 진단 대상 기업은 주로 연간 매출액이 100억원 이상이거나 하루 이용자 수가 100만명 이상인 ISP와 인터넷데이터센터(IDC) 관련 기업들이며 이들은 지정된 컨설팅기업으로부터 안전진단을 의무적으로 받아야 한다.

한편 정통부 지정 컨설팅 업체에서 탈락한 일부 컨설팅 기업에서는 불만의 목소리가 높다. 한 관계자는 “작년부터 시행된 안전진단 대상 업체만도 140여개 업체에 이르고 올해는 거의 200개 기업에 육박하고 있다. 이것을 고작 8개 컨설팅 업체가 감당할 수 있을지 의문이다”고 말했다. 또한 “정통부가 일부 기업에 특혜를 주고 있는 것이 아닌가”라며 “지정 컨설팅 업체수를 늘려줄 것”을 주장하고 나섰다.

여기에 정통부 관계자는 “이번 심사는 산, 학, 연 전문가로 구성된 기술심의위원회가 담당했고 지난 3년간 정보보호컨설팅 전문업체로 활동한 내용을 면밀히 분석해 지정했기 때문에 심사상 문제는 없다”고 말했다. 또한 그는 “심사에서 주안점은 자체 보안관리 수준에 대한 평가, 취약점 분석, 평가방법론의 지속적인 관리 및 개선 노력 그리고 고객의 사후관리 등”이라고 밝혔다.

또 다른 관계자는 “정보보호 컨설팅 전문 업체를 지정하는데 자격요건이 충족하지 못한 기업을 선정할 수는 없지 않느냐”며 “추가적인 심사나 업체를 늘릴 계획은 아직까지 없다”고 못 박았다.

정통부는 또한 KISA(한국정보보호진흥원)에 정보보호 안전진단 권한을 부여할 방침이라고 밝혔다. KISA 관계자는 “컨설팅 업체가 꺼리는 소규모 영세기업을 대상으로 컨설팅을 실시할 계획이며 컨설팅 전문업체와 시장경쟁을 하자는 것이 아니라 상대적으로 소외된 기업을 대상으로 서비스한다는 생각을 가지고 있다”고 밝혔다. 

이러한 정통부의 의견에 전문 컨설팅 업체들은 “KISA의 컨설팅이 영세기업을 대상으로 한다지만 가뜩이나 파이가 작은 컨설팅 시장에 KISA까지 뛰어든다면 시장상황을 더욱 어렵게 할 수도 있다”며 우려를 나타냈다. 또한 “소규모 영세 기업들의 정보보호 마인드가 없는 상황에서 고가의 비용이 투자돼야 하는 컨설팅이 이루어 질 수 있을지 의문”이라고 말했다.

[길민권 기자 is21@infothe.com]

< 저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>