실시간 뉴스



정부 정보화사업, '보안책임' 강화된다


"정보 유출 땐 주사업자 책임" 명문화…원격지개발 등 후퇴 우려도

앞으로 공공기관의 정보화사업에 참여하려는 IT 업체들은 프로젝트 기밀 유출 등 내부자 보안 관리에 좀 더 심혈을 기울여야 할 전망이다.

3일 관련업계에 따르면 정부는 최근 정보화 사업에 참여하는 IT 서비스 업체 및 관련업체들에게 보다 강화된 보안규정을 적용한 서약서나 각서를 받고 있다.

특히 정부는 사업 관련 기밀 유출 등 내부자가 연루된 보안사고에 대해서는 주사업자가 책임지고 관리하며, 이에 대한 손해배상 등도 책임진다는 내용을 명문화해 해당업체 대표이사의 직인이 찍힌 확약서도 받고 있는 것으로 알려졌다.

물론 그동안에도 정부의 정보화 사업을 주도한 IT서비스 업체들은 계약과 함께 보안각서나 서약서 등을 제출했다. 또 사업 전체의 관리감독 및 보안 책임도 져 왔다. 하지만 정부는 관례적으로 수행됐던 협력사 인력의 보안 관리 및 내부자 기밀 유출 등의 책임에 대해 '문서'로 확약을 받아두겠다는 입장을 분명히 하고 있는 셈이다.

한 IT 서비스 업체 임원은 "이전 상황과 크게 달라진 것은 없지만 대표이사 직인을 찍어 문서로 보안 책임을 명문화하다보니, 아무래도 보다 경각심이 들고 부담이 되는 것은 사실"이라고 전했다.

◆대표 '직인'찍은 확약서 제출받아

정부의 이같은 내부자 보안 관리 강화 방침은 지난 6월 말부터 논의돼 7월 중순경 본격 시행된 것으로 알려졌다.

일각에서는 "정부 각 기관마다 7.7 분산서비스거부공격(DDoS) 이후 보안인식이 제고되면서 외부 해킹공격 뿐만 아니라 프로젝트 수행시 기밀 유출 등 내부자 보안에도 만전을 기하고 나선 것으로 보인다"고 분석했다.

대국민 서비스나 국가 업무시스템을 구축하는 정보화 사업이라면 국가 기밀에 준하는 정보들을 다루게 된다. 때문에 '시스템'으로는 막기 힘든 '사람'에 의한 악의적인 정보유출 등을 차단하는데 보다 만전을 기울여야하는 것은 너무나 당연하다는 것이다.

정부가 주 사업자에 좀 더 무거운 책임을 부여하겠다는 것도 바로 이런 논리에 따른 것이다. 주사업자의 관리감독 기능을 강화하고 책임 소재를 명문화해 인적보안을 강화하겠다는 것이다.

따라서 정부 사업에 참여하고자 하는 업체들은 앞으로 내부자 보안관리 뿐 아니라 협력사 및 용역(프리랜서) 기술자들에 대한 관리에도 만전을 기해야 할 전망이다.

◆원격지 개발의 꿈, 요원해질 수도

물론 정부의 이런 정책 변화에 대해 우려하는 목소리가 없는 것은 아니다. 당위성은 인정하지만 이번 조치로 인해 그 동안 정부가 다각도로 추진해 왔던 국내 IT 서비스 및 소프트웨어 산업 구조 선진화 정책들이 다소 위축될 수도 있다는 것이다.

한국IT서비스산업협회 채효근 정책기획실장은 "발주자들의 보안인식 제고에 따라 내부자 보안 관리 등이 강화되는 것은 당연한 것이긴 하지만, 보안을 강화할 수록 개발효율성 등과는 상충된다는 점이 문제"라고 지적했다.

일례로, 보안 강화를 내세울 경우 업계의 염원인 '원격지 개발' 자체가 사실상 불가능하게 될 수도 있다. 발주자의 현장이 아닌, 별도의 장소에서 기술자들이 시스템 개발을 진행하는 원격지 개발 방식을 적용하자면 공공기관 밖으로 기밀 문서를 들고 나와야 하는 등 정보의 외부 유출이 많아지고 통제도 어렵기 때문이다.

그렬 경우 고급 기술인력을 효율적으로 활용하고 개발 편의성도 높이기 위해 원격지 개발을 적극 장려했던 정부의 기존 정책이 사실상 무력화될 우려도 있다.

채 실장은 "머릿수세기(헤드카운팅)' 과금체계를 폐지하고 기능점수 방식을 활성화 하기로 하는 등 이제 산업 선진화를 위한 첫발을 내딛고 있는데 이렇게 되면 자칫 정책 후퇴 가능성도 있을 수 있다"면서 "그럼에도 공공기관의 보안 또한 중요한 문제여서 제대로 된 보안 정책을 수립하려면 전문기관 등을 통해 보다 면밀한 정책 연구가 선행돼야 한다"고 강조했다.

◆경험치 부족한 중견업체들 역량배양 시급

정부의 이번 정책이 실효를 거두기 위해서는 보안 책임을 지게 될 주체들의 역량 배양이 뒤따라야 한다는 지적도 만만치 않다. 특히 대기업 입찰하한제 시행 이후 40억원 미만의 대형 공공 정보화사업 주사업자로 나서게 된 중견 IT서비스업체들의 역량 강화가 시급한 상황이다.

이들은 대형 업체에 비해 상대적으로 주사업자 경험이 적어 협력사나 용역 인력에 대한 관리 체계가 미흡할 가능성이 크기 때문이다.

중견 IT서비스 업체들은 "협력사 인력에 대한 보안사고 책임까지 주사업자가 지도록 돼 있는 문서에 도장을 찍으려니 부담이 된다"고 토로하고 있는 상황. 따라서 협력사 네트워크 등을 재정비하고 본사 프로젝트관리자가 용역인력 관리까지 손쉽고 투명하게 처리할 수 있는 회사 내부 시스템 마련이 절실하다.

이에 대해 중견 IT 서비스업체 임원은 "물론 우리가 주사업자이기 때문에 공공기관의 보안 가이드라인을 따르는 게 맞다"면서도 "하지만 발주자 역시 내부자 인적보안을 위해 보다 긴밀한 업무협력이 이뤄져야 마땅하다"고 강조했다.

강은성기자 esther@inews24.com






alert

댓글 쓰기 제목 정부 정보화사업, '보안책임' 강화된다

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스