- 미래부 내달 13일부터 심사 시작, 헌법 ‘원칙허용 규제방안’적용

[디지털데일리 이민형기자] 지식정보보안컨설팅 전문업체 추가 지정을 앞두고 업계에서 기대와 우려가 동시에 나오고 있다. 보안컨설팅 시장 활성화, 시장 불균형 등 기대와 우려가 엇갈린다.

미래창조과학부는 내달 13일부터 보안컨설팅 전문업체 추가 지정을 위한 서류 접수를 마무리 짓고 심사에 들어간다.

이번 추가 지정은 지난 2002년 이후 11년만에 시행되는 것으로 미래부는 이번 지정 이후 당분간 추가 지정 공고는 없을 것이라고 못 박아 많은 업체들이 몰릴 것으로 예상되고 있다.

실제로 지난 22일 열린 ‘지식정보보안컨설팅 전문업체 지정에 대한 설명회’에서는 보안업계를 비롯해 IT컨설팅, 감리회사 40여개가 참석하는 등 관심이 고조되고 있는 상황이다.

하지만 기존 보안컨설팅 전문업체를 비롯해 미래부는 이번 추가 지정을 두고 우려감을 숨기지 않았다. 시장 규모에 비해 너무 많은 전문업체가 지정돼 시장의 불균형이 올 수 있다는 지적과 보안컨설팅의 질적하락을 우려하고 있는 것이다.

변상준 미래부 정보보호정책과 전산사무관은 “내년도 시장규모에 알맞은 전문업체의 수는 약 13개 정도로 예상된다”며 “전문업체가 이보다 많아질 경우 수요와 공급의 불균형으로 시장에 악영향을 줄 수도 있으리라 생각한다”고 말했다.

◆보안컨설팅 전문업체 추가 지정의 배경은=보안컨설팅 전문업체 추가 지정은 지난 2002년 이후 11년만이다.

미래부가 추가 지정을 실시하게 된 이유는 주요정보통신기반시설의 확대와 더불어 보안컨설팅 시장이 크게 성장했기 때문이다. 또 최근에 발주되는 취약점 분석·평가 사업의 빈번한 유찰이 이뤄지는 상황도 반영됐다.

국가 정보통신기반시설은 지난 2001년에는 23개에 불과했으나 올해는 209개, 내년에는 250여개로 확대될 것으로 예상되고 있다. 특히 미래부는 2017년까지 기반시설을 400개까지 확대하기로 해 컨설팅 전문업체 확대 역시 필요한 상황이다.

이동근 한국인터넷진흥원(KISA) 정보보호산업기획팀장은 “해킹 등 사이버위협 증가로 주요 정보통신기반시설의 보안관리 강화 정책에 따라 주요정보통신기반시설의 컨설팅 수요가 증가하고 있다. 따라서 보안컨설팅 전문업체의 추가 지정이 필요하게 됐다”고 말했다.

이어 “실질적으로 규모가 커지기 때문에 7개 업체가 하기에는 어려움이 많아 추가 지정은 불가피하다”며 “실력있는 중소기업들을 전문업체로 지정해서 품질향상을 꾀하고, 지정 이후에는 사후관리를 철저하게 해서 규모보다는 컨설팅의 품질을 높이는 방향으로 나갈 것”이라고 말했다.

◆헌법 ‘원칙허용 규제방안’, 오히려 시장 혼란 부를수도=보안컨설팅 전문업체 지정은 전문인력 수, 보안사업 경험, 자본규모 등 정부에서 요구하는 조건만 충족시키면 가능하다.

이는 헌법의 ‘원칙허용 규제방안’이 관련고시에 포함됐기 때문이다. 원칙허용 규제방안이란 정부에서 요구하는 조건에만 부합한다면 관련된 사업을 할 수 있다는 규정이다.

즉 40개 업체가 모두 보안컨설팅 전문업체 지정의 조건을 만족하면 40개 업체 모두 전문업체로 지정될 수 있다는 의미다.

보안업계에서는 이러한 부분이 보안컨설팅 시장에 악영향이 될 수 있다고 말한다. 업계 관계자는 “전문업체의 급증은 오히려 시장의 혼란을 불러올 수 있다”며 “과거 개인정보영향평가(PIA)의 경우 초기에 많은 업체들이 평가기관으로 지정됐으나, 평가기관에 비해 발주되는 사업수가 적고 단가도 낮아 대다수의 기업들이 평가기관임을 포기한 전례를 생각해봐야 할 것”이라고 전했다.

실제 정부에서 생각하는 최적의 전문업체 수는 약 13개. 기존 7개를 제외한다면 이번 추가 지정으로 5개의 전문업체가 선정돼야 한다. 하지만 이보다 많은 수의 기업들이 선정될 것으로 예상되고 있다.

앞서 설명한 PIA의 전철을 되밟을 수 있다. 이와 관련 변 사무관은 “그런 부분도 충분히 고민하고 있으며 우려스러운 것도 사실”이라며 “하지만 어디까지나 선택은 보안컨설팅 시장에 뛰어든 기업의 몫으로 우리는 보다 엄격하게 심사를 진행할 뿐”이라고 전했다.

미래부가 이번 추가 지정에서 가장 우려하는 부분은 전문업체 난립에 따른 보안컨설팅 품질의 하락이다.

수요보다 공급이 많으면 자연스럽게 경쟁은 가속화되고 이에 따라 단가가 낮아지게 된다. 단가와 품질이 언제나 비례하는 것은 아니지만 터무니 없이 낮은 단가는 결국 품질의 하락으로 이어지는 사례를 보안업계는 많이 경험해왔다.

변 사무관은 “미래부에서도 가장 우려하는 부분”이라며 “품질관리를 위해 전문업체의 3년 유효기간 대신 매년 사후관리를 받는 형태로 바꿀 계획도 가지고 있다. 매년 사후관리를 통과해야만 재지정될 수 있다”고 말했다.

이어 “품질저하에 관한 논란이 없도록 사후관리를 철저하게 할 것”이라며 “보안컨설팅 업체들의 사후관리는 물론 사업을 발주한 기관들의 만족도 조사 등도 반영해 품질을 강화하겠다”고 말했다.

<이민형 기자>kiku@ddaily.co.kr