[김국배기자] 정보보안 컨설팅 전문업체를 확대한지 1년 4개월여가 지났지만 주요정보통신기반시설 보안취약점 분석평가 사업의 유찰 문제는 여전한 것으로 나타났다.
5일 조달청 나라장터에 따르면 최근 3개월간 발주된 기반시설 취약점 분석 사업의 대부분이 유찰됐다.
국민안전처 해양경비안전본부, 국토교통부 항공교통센터 및 한강홍수통제소, 한국원자력연구원, SH공사집단에너지사업단, 서울대학교병원, 인천광역시·경상남도·제주특별자치도 교육청 등 발주한 사업은 모두 한두 차례 유찰되는 진통을 겪었다.
애초 미래창조과학부는 이런 문제를 해소하기 위해 지난해 3월말 정보보안 컨설팅 전문업체 11개를 추가로 선정해 18개로 늘렸다.
한국인터넷진흥원(KISA) 인터넷사업진흥본부 보안산업정책팀에 따르면 신규업체 11곳은 1년이 지난 올 4월 전문업체 자격에 대한 사후심사를 통해 '적합' 판정을 받았다. 기존 업체 7개는 올 10~11월로 예정돼 있다.
◆"변화 크지 않다"…사업 시점, 낮은 단가 등 복합적 원인
하지만 보안업체 관계자는 "유찰이 다소 완화되는 느낌도 있지만 일부 지방 소재 기관에는 전문업체 참여가 저조하다"며 "발주처에서 아직은 기존 7개 전문업체를 선호하는 편"이라고 말했다.
이는 현재의 잦은 유찰문제는 발주자가 새로 선정된 업체보다 기존 업체들을 선호하기 때문이라는 얘기다.
여기에다 특정시기에 발주가 몰리는 사업시점 문제, 낮은 사업단가 등이 복합적인 원인으로 작용했다고 보안업계는 분석하고 있다.
통상 기반시설 관리기관은 매년 취약점 분석평가를 실시한 뒤 '보호대책'을 수립해 관계 중앙행정기관에 8월 31일까지 제출해야 한다. 이에 맞춰 사업발주가 4월 이후 상반기 동안 집중되고 있다는 게 업계 관계자들의 말이다.
업계 관계자는 "금융 분야에도 비슷한 취약점 분석평가가 있으나 은행, 증권 등 업종별로 평가시기가 나눠져 있다"며 "이처럼 시기를 나눈다면 전문업체도 더 많은 취약점 분석 사업을 진행할 수 있을 것"이라고 설명했다.
'정보보안 컨설팅 전문업체' 자격이 '좋은 스펙'으로만 쓰인다는 지적도 있다. 한 관계자는 "전문업체라는 자격요건을 얻은 뒤 기반시설 취약점 분석 사업을 하기보다는 (민간 사업을 위한) '홍보용'으로만 쓰는 경우가 많다"고 지적했다. 다른 관계자는 "모든 신규 컨설팅 업체들이 기반시설 사업에 적극적인 것은 아니다"고 언급했다.
작년 새로 선정된 11개 전문업체는 비트러스트, 소만사, 씨에이에스, 에스에스알, 에스피에이스, LG CNS, 윈스, 이글루시큐리티, KCC시큐리티, 한영회계법인, 한전KDN이며 기존 7곳은 안랩, 시큐아이, 에스티지시큐리티, A3시큐리티, 롯데정보통신, 사이버원, 인포섹이다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기