9월 말부터 총 800여개 공공기관에 의무적으로 적용되는 ‘개인정보 영향평가’ 전문업체 지정요건이 지나치게 허술하다는 지적이 업계로부터 제기됐다. 문턱을 낮춰 많은 기업이 전문업체로 참여할 수 있도록 한다는 취지는 좋지만 전문기업에 대한 검증이 제대로 이뤄지지 않으면 평가 자체가 부실화될 수 있다는 우려에서다.
28일 업계에 따르면 행정안전부가 제시한 전문업체 신청조건에 개인정보보안 지식을 검증할 수 있는 방안이 미흡해 이에 대한 보완이 필요하다. 신청업체 자본금 기준도 없어 부실업체가 난립할 수 있다는 우려도 나온다.
개인정보 영향평가 전문업체 지정요건은 △연매출 1억원 이상 △최근 5년간 개인정보 관련 컨설팅 2회 이상 수행 △정보보호전문가(SIS), 개인정보관리사(CPPG), 정보시스템감리원(ISA), 공인정보시스템감사사(CISA), 공인정보시스템보호전문가(CISSP) 등 관련 자격증 보유자와 관련 분야 경력자 10인 이상의 상근 인력 보유 △신원확인, 출입통제, 업무수행 및 지원 등에 필요한 최소한의 설비 보유 등이다.
박진섭 대전대 컴퓨터공학과 교수는 “SIS, ISA, CISA, CISSP 자격은 유관 자격증이지만 본 자격증이 개인정보보호에 대한 영향평가 수행능력 검증을 제공하는 것은 아니므로 자격증 소지자나 개인정보보호영향평가(PIA) 교육수료자 등 (개인)정보보안 관련 지식 수준을 검증할 수 있는 별도 방안이 필요하다”고 설명했다. 또 “연매출 1억원 이상, 경력자 10인 정도 상근인력을 보유한 업체만을 기준으로 삼고 있어 부실업체의 난립도 우려된다”고 덧붙였다.
행정안전부 측은 “보안요건을 강화해 보안전문업체로 한정하면 공급이 수요를 따라가지 못하는 문제가 있다”며 “아직 시간이 남아 있는 만큼 각계 의견을 최대한 수렴해 합리적인 방안을 도출하겠다”고 말했다.
장윤정기자 linda@etnews.com
