주요 정보통신기반시설 지정 일정 임박 정보보호전문업체들 `촉각 곤두`

　주요정보통신기반시설 지정일정이 일주일여 앞으로 다가옴에 따라 기반시설의 취약점분석·평가 업무를 수행하게 되는 정보보호전문업체들이 촉각을 곤두세우고 있다.

　16일 관련 당국과 업계에 따르면 정보통신부는 지난 13일 열린 주요정보통신기반시설 지정을 위한 실무위원회에서 검토대상 기반시설의 윤곽을 잡고 오는 20일 최종심의를 거쳐 공식 발표할 것으로 보인다. 이번에 지정될 것으로 예상되는 시설은 행정자치부(2곳)·정보통신부(17곳)·외교통상부(1)·보건복지부(3곳) 등에 속해 있는 23개 시설이며 검토대상 시설이 많은 산업자원부·건설교통부·재정경제부 등의 소관시설은 내년에 위원회를 열어 다시 심의할 것으로 알려졌다.

　주요정보통신기반 시설로 지정될 경우 6개월 이내에 취약점 분석·평가를 받아야 하기 때문에 해당 시설책임자는 지정과 함께 보안컨설팅 프로젝트를 발주할 것으로 예상된다. 이에 따라 빠르면 내달부터 9개 정보보호전문업체간 보안컨설팅 수주전이 치열해질 것으로 보고 차별화된 컨설팅 방법론 마련 및 사전 영업에 박차를 가하고 있다.

　◇주요정보통신기반시설이란=사이버테러가 급증하면서 개인, 또는 국가기밀 유출·위변조에 따른 사회 혼란을 막기 위해 정보통신기반보호법내에 명시돼 있는 행정·국방·금융·통신·운송·에너지 등 중요 사회기반시설이다. 국가안전과 국민생활 안정에 중대한 영향을 미치는 이들 기반시설은 전자적 침해 행위로부터의 보호가 필요하다고 보고 정보통신부가 지난해 정보통신기반보호법을 마련, 시행하고 있다.

　◇정보보호전문업체의 대응=인젠(대표 임병동)의 경우 이달말까지 컨설팅 방법론인 ICMS(Inzen Consulting Methodology for Security)를 각 부처별 기반시설 특성에 맞게 특화하고 기반시설 지정이 유력한 곳을 대상으로 한 사전영업도 벌이고 있다. 또 ‘정보통신 기반시설의 이해와 기반시설에 대한 컨설팅’이라는 주제로 전직원을 대상으로 하는 사내 세미나를 매주 열고 정보보호전문업체로서의 사명과 책임감을 강조하는 사내활동을 전개하고 있다. 시큐아이닷컴(대표 오경수)도 금융권 등 지정이 예상되는 곳으로부터 전문업체에 대한 다양한 문의가 쇄도함에 따라 주요 관련 기관을 대상으로 전문업체 지정 제도의 취지, 향후 진행일정, 기반시설로 지정될 경우 받아야 하는 보안 컨설팅 내용 등을 담은 정보를 주기적으로 제공하고 있다.

　해커스랩(대표 김창범)·에이쓰리시큐리티컨설팅(대표 김현)·시큐어소프트(대표 김홍선)·마크로테크놀러지(대표 이성만) 등도 컨설팅 방법론 개선과 함께 보안컨설팅 인원확충에 나서는 한편 기반시설 지정이 유력한 관련기관 담당자 리스트를 입수하는 등 사전영업에 나서고 있다.

　◇기반시설 컨설팅, 어떻게 이뤄지나=기반시설로 지정되면 6개월 이내에 취약점 분석·평가를 받아야 한다. 원칙적으로 매년 3월까지 시설별로 정보보호대책을 수립하고 5월께 편성하는 예산계획을 9월에 최종 확정해 예산을 집행하게 된다. 정통부의 한 관계자는 “법안대로라면 내년 상반기 내에 일차적인 취약점 분석·평가작업이 이뤄져야 하지만 부처별 내년도 보호계획 수립 절차가 있기 때문에 다소 늦어질 가능성도 없지 않다”고 말했다.

　◇과제=기반시설이 지정되면 정부·공공분야의 보안컨설팅 시장이 본격적으로 열리게 된다. 그동안 금융·대기업 등 민간분야를 중심으로 형성된 보안컨설팅 시장은 제도화된 대가기준이 없어 출혈 경쟁으로 시장질서가 문란해진 상태다. 업계에서는 “정통부와 한국정보보호진흥원(KISA) 등이 민간업체와 공동으로 추진중인 보안컨설팅 대가기준이 조속히 마련돼 정부·공공시장에서 만큼은 출혈경쟁 없는 정상적인 시장을 형성해 국내 보안컨설팅 산업을 견인해 나가야 할 것”이라고 입을 모으고 있다.

　<주문정기자 mjjoo@etnews.co.kr>