정보통신기반보호법 시행령 제정 토론회 요지

이번 「정보통신기반보호법 시행령·시행규칙 제정 토론회」에서는 주요 정보통신 기반시설의 취약점 분석·평가 업무를 수행하는 정보보호 전문업체 지정과 취약점 분석·평가 문제, 주요 정보통신 기반시설 보호지원기관의 범위, 사이버테러에 대한 대응체계 등이 중점 논의됐다. 특히 정보보호 전문업체 지정문제에 관심이 집중됐다.

◇정보보호 전문업체 지정＝지정 토론자로 나선 해커스랩 김창범 사장은 『정보보호 전문업체 일반요건에서 납입자본금 20억원과 고급인력 5명을 포함, 기술인력을 15명 이상 확보해야 한다는 내용은 정보보안 업계의 현실을 배제한 것』이라며 『업계에서 20억원 이상의 자본금을 확보하고 있는 업체는 얼마나 되는지 또 정보보안 전문인력은 15명 이상인지, 그것도 대학 졸업 후 정보보안업종에서 5∼7년 이상 종사한 고급인력은 있는지』를 지적했다. 따라서 정통부가 정한 지정요건은 업체들의 자본금 불리기 경쟁은 물론 가뜩이나 인력난에 허덕이는 업계에 인력 스카우트 전쟁까지 불러올 것으로 우려했다. 일부에서는 지정 평가기준표가 공개될 경우 국가 주요 정보가 노출될 가능성도 배제할 수 없다는 견해도 나왔다.

◇주요 정보통신 기반시설 보호지원기관 범위＝시행령(안) 12조에서 대통령이 정하는 국가 기관에 국가정보원 및 국군기무사(국방 분야에 한함)만을 규정한 것과 관련, 관계자들은 『보호지원기관의 범위는 국정원이 갖지 못하는 검찰이나 경찰청 등으로 확대돼야 한다』는 의견을 제기했다. 이에 대해 국정원의 관계자는 『기반보호법 7조는 국가 기관이 지방자치단체 업무를 하고 있다는 가정 하에서 만들어진 것』이라며 『각종 기술지원은 국정원과 전문기관이 담당해야 한다』고 주장했다. 한국전자통신연구원(ETRI)의 한 관계자는 『시행령 12조 2항의 대통령령이 정하는 전문기관을 ETRI 부설 국가보안기술연구소로 한정하는 것은 적절하지 못하다』고 지적하고 『국가보안기술연구소와 함께 정보보안업무를 담당하고 있는 정보보호기술연구본부도 포함시켜야 한다』고 강조했다.

◇사이버테러에 대한 대응체계＝엔에스컨설팅의 최운호 상무는 『실제 홍수나 지진·태풍 등이 발생할 경우 예고를 하고 대책을 마련하고 있는 것처럼 사이버테러에도 정보공유·분석센터(ISAC) 등을 통한 조기경보제가 실시돼야 한다』고 지적했다. 그는 또 『정보통신기반보호법안에는 실제 사이버테러가 발생했을 때 전력이나 항공시설 등에 문제가 있을 경우 복구조항이 있긴 하지만 분야별로 예상되는 세부 시나리오를 만들어 대응책을 마련해야 할 것』이라고 강조했다.

<주문정기자 mjjoo@etnews.co.kr>