법제도/정책

보안 컨설팅 전문업체 지정 고시 개정안 공포 ‘초읽기’

이민형 기자
- 미래부, 빠르면 다음주 중 공포 예정

[디지털데일리 이민형기자] 보안 컨설팅 전문업체 신규 지정과 관련된 고시 개정안이 확정됐다.

미래창조과학부는 9일 ‘지식정보보안 컨설팅 전문업체의 지정 등에 관한 고시(옛 지식경제부 고시 제2009-174호)’ 개정안을 확정하고 이달 중 발표할 계획이다.

이번 개정안은 ‘주요정보통신기반시설’ 증가로 인해 보안 컨설팅 전문업체의 지정 확대를 위해 개정 정보통신산업진흥법 시행규칙 사항 등을 적극 반영했다.

고시 개정안에는 ‘지식정보보안 컨설팅’, ‘컨설팅 수행실적’ 등 용어의 정의가 변경됐으며, 지식정보보안 관련 국내자격(정보보안기사, ISMS·PIMS 인증심사원)이 대거 확대됐다. 특히 컨설팅 전문업체 지정을 위한 세부평가기준에 대한 항목과 점수도 소폭 조정됐다.

개정안에서 사용하는 ‘지식정보보안 컨설팅’은 정보통신시설 및 시스템을 안전하게 유지하기 위해 보호대책 수립, 위험요인평가, 모의해킹, 마스터플랜 수립 등을 수행하는 일련의 과정을 뜻한다.

현행 ‘주요정보통신기반시설’에서 ‘정보통신시설 및 시스템’으로 변경해 대상을 보다 확대한 셈이다.

또 ‘지식정보보안 컨설팅’이라는 용어가 ‘컨설팅’으로 변경됐다. 하지만 고시에서 말하는 ‘컨설팅’은 정보통신시설 및 시스템에 대한 취약점 분석에 대한 프로젝트만 인정한다고 기술돼 있어 현행 고시와 큰 차이점은 없다.

이번 개정안에서는 고시 제10조 업무수행능력심사(최초지정) 세부평가기준이 가장 많이 바뀌었다. 신규지정을 받고자 하는 업체는 세부평가기준 100점 만점 중 70점 이상을 획득해야한다.

세부평가기준 중 경험 항목(35점)을 살펴보면 최근 3년간 컨설팅 수행 실적의 기준액이 20억원에서 10억원으로 대폭 감소한 것이 가장 큰 변화다. 또 전문화 정도 항목과 관련 현행 고시에서는 컨설팅 사업 수행건수에 초점을 잡았으나, 개정 고시에서는 수행실적이 있는 인력의 비율에 주목했다. 업무의 연속성을 보겠다는 의도로 읽힌다.

전문화 항목(25점) 큰 변화가 없으나 ‘교육지원체계 적합성’이라는 기준이 새로 만들어졌다. 일정시간 이상 전문기술교육을 받은 인력을 보유할 경우 점수를 얻을 수 있다.

신뢰도 항목(10점)에서는 현행 고시에 적시된 부채나 자기자본 이익률 등을 ‘기업신용평가등급’으로 묶어서 평가한다. 아울러 정보보호체계인증(ISMS), ISO27001 획득기업에 대한 배점도 추가됐다.

현행 고시에 있는 ‘기술개발실적’ 항목은 삭제됐으며 종합심사(30점)와 기타 항목은 큰 변화가 없다.

미래부는 개정안을 빠르면 다음주 중 공포하고 보안 컨설팅 전문업체 지정 공고를 낼 것으로 예상된다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널