정보보호전문업체 `명칭` 모호하다

　‘정보보호전문업체가 정보보안분야의 KS마크인가요.’

　‘정보보호전문업체 지정을 받았으면 일류기업이고 그렇지 않으면 이류인가요.’

　정보통신부가 최근 9개사의 정보보호전문업체를 지정·발표한 이후 관련업계와 보안컨설팅 수요기관 사이에 정보보안 전문업체에 대한 이해부족 현상이 갈수록 심화되고 있다. 특히 전문업체로 지정받지 못한 업체들의 경우 그동안 추진해온 프로젝트가 난항을 겪는가 하면 반대로 일부 지정된 업체는 이를 다른 분야 서비스 및 제품 영업에 악용하는 사례가 나타나면서 적지 않은 혼선이 빚어지고 있다.

　보안서비스 업체 A사의 경우 그동안 모 증권사와 추진해온 대규모 보안 서비스 프로젝트를 추진해 왔으나 최근 전문업체 지정에서 탈락한 사실이 알려지면서 이를 해명하느라 진땀을 빼고 있는 상황이다. B사도 같은 이유로 순조롭게 진행돼온 프로젝트에 제동이 걸렸다.

　반면 전문업체로 지정된 C사는 제대로 된 중간보고서를 내놓지 못해 고객인 한 은행으로부터 일반업체와 다를 바 없다는 불신을 초래하기도 했다.

　더욱이 최근에는 업계에 ‘지정업체=일류기업, 비지정업체=이류기업’이라는 인식이 확산되고 있어 관련기업들을 당혹스럽게 하고 있다. 심지어는 정부 감사를 받는 기관이나 기업은 전문업체를 통하지 않으면 불이익을 받게 된다는 근거없는 풍문도 나돌고 있다는 것이다.

　이에대해 정용섭 한국정보보호산업협회(KISIA) 회장은 “정부가 주요 정보통신기반시설의 보안컨설팅(취약점 분석) 업무를 수행하기 위해 정보보호전문업체를 지정했음에도 불구하고 수요기관의 이해부족으로 솔루션·제품공급·관제서비스 등에까지도 전문업체가 선호되는 경향이 있다”며 “업계의 자정노력과 함께 정부차원의 계도가 필요한 시점”이라고 강조했다.

　전문가들은 “명칭 자체가 모호한데다 법규 해석상의 문제가 불거질 경우 본래의 제도 취지와는 달리 전문업체가 모든 분야에서 가장 뛰어난 기업이라는 잘못된 인식이 확산될 가능성이 크다”고 전제하고 이는 곧바로 “전문업체와 미 지정업체와의 부익부빈익빈 현상을 부추기는 결과를 초래할 것”이라고 입을 모으고 있다.

　한편 정보보호 전문업체의 역할과 임무에 대해 오경수 시큐아이닷컴 사장은 “전문업체는 국내의 귀중한 정보자산을 지키는 사이버 방위업체라는 사명감을 갖고 정보보호 마인드를 확산시키는 일부터 시작해야 할 것”이라고 말했다.<주문정기자 mjjoo@etnews.co.kr>