한 기업의 정보보호 컨설팅과 시스템 구축, 안전진단을 같은 보안업체가 맡으면 객관성을 잃어버리게 될 까.
수험생과 채점관이 같아 침해사고를 막기 어려울 것이라는 지적과 함께, 안전진단· 컨설팅·시스템 구축이 한꺼번에 이뤄지는 현실을 무시한 것이라는 비판도 만만찮다.
14일 국회 문화체육관광방송통신위원회 소속 이용경 의원(창조한국)은 해당기업의 컨설팅 업체와 안전진단 수행업체가 같아 법에 따라 정보보호 안전진단을 받았다고 해도 해킹 등의 피해가 발생하고 있다고 지적했다.
현재 정보통신기반보호법에 따라 안전진단을 받아야 하는 곳은 238개 업체다. 이 업체들은 자체적으로나 정보보호 컨설팅 업체를 통해 정보보호 조치를 이행하고, 방송통신위원회가 지정한 안철수연구소 등의 17개 보안업체(안전진단수행기관)으로 부터 안전진단을 확인받게 된다.
그런데 지난 2월 5일 1천81만 명의 회원에 대한 주민등록번호· 이름· 환불정보 등이 중국의 인터넷망을 통해 해커에게 유출된 옥션의 경우 안전진단 수행업체와 정보보호컨설팅업체가 같아 논란이다.
이용경 의원은 "이는 진단대상업체와 컨설팅 업체, 안전진단 수행업체 간의 짜고 치기 때문"이라며 "옥션이 정보보호 컨설팅을 맡긴 업체도 인포섹, 안전진단을 수행한 업체도 인포섹이어서 문제"라고 지적했다.
이어 "유사한 사례는 다음, 인터파크, GS 홈쇼핑, 농수산홈쇼핑, 우리홈쇼핑 등에서도 찾을 수 있다"고 덧붙였다.
옥션의 경우 실제로 해킹사건이 일어났지만, 같은 업체여서 안전진단 수행결과 2007년· 2008년 9월까지 정보보호조치에 대한 개선 권고가 단 한건도 없었다는 얘기다.
이용경 의원 주장에 보안업계 의견은 갈리고 있다.
A사 사장은 "정보보호 컨설팅 업체와 안전진단 수행업체가 같다는 이유만으로 문제를 삼을 수는 없다"며 "보안 컨설팅이후 취약점 분석보고서가 나오면 이에따라 시스템을 구축하게 되고, 그 뒤 안전진단 수행업체가 제대로 컨설팅 결과에 맞춰 시스템이 구축됐는 지 보는 것인 데 이 과정에서 문제가 있는 지 사안별로 살펴야 한다"고 말했다.
A 사장은 옥션의 경우에 대해서도 "안전진단 수행은 회사 전체를 상대로 하는 게 아니고 특정 부분을 정해 하게 돼 있는데, 이번 해킹은 안전진단 대상이 아니었던 것으로 알고 있다"고 덧붙였다.
그러나 B 사장은 "최근들어 컨설팅, 구축, 안전진단이 한 기업에서 수행하는 일이 많지만 객관성과 신뢰성을 높이려면 컨설팅과 구축, 안전진단을 분리해야 한다"고 이용경 의원 입장을 지지했다.
한편 옥션측은 2007년 인포섹으로부터 정보보호 안전진단을 받을 당시에는 인포섹이 정보보호컨설팅 업체가 아니었다고 해명했다.
옥션 관계자는 "지난 해 인포섹에서 안전진단을 받아 결과를 제출한 것은 5월이고, 인포섹에서 정보보호컨설팅을 받은 것은 9월이어서 시기가 다르다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기