정부가 공공정보화 사업에만 의무 적용하는 감리제도를 처음으로 민간 정보화 사업에도 확대 적용하는 방안이 추진된다. 금융·통신·에너지 기업 등 주요 정보통신기반시설 지정 대상이 적용될 예정이다. 잇단 정보유출 사고로 민간에도 감리적용이 의무화돼야 한다는 주장에 따른 것이다. 하지만 프로젝트관리조직(PMO)과 취약점분석평가 등을 적용하는 데 감리까지 의무 적용하도록 하는 것은 지나친 규제라는 볼멘소리도 나오고 있어 시행까지는 상당한 진통이 예상된다.
미래창조과학부는 금융·통신회사의 개인정보 유출 등 보안사고가 급증함에 따라 민간에 국가정보화 사업 감리제도를 적용하는 방안을 마련하고 있다고 1일 밝혔다.
한국정보화진흥원 중심으로 연말까지 도입방안 마련을 위한 연구용역을 진행한 후 내년 해당 업계와 감리업계 대상으로 공청회를 실시, 이르면 2016년부터 시행할 방침이다.
◇연구용역으로 대상·범위·의무화 확정
민간 정보화 감리 제도는 정보통신기반보호법에 따라 지정된 주요 정보통신기반시설을 대상으로 적용하는 방안이 마련 중이다. 금융·통신·에너지의 데이터센터와 기반 시설 내에서 이뤄지는 개별 시스템구축 사업과 운영 유지관리 사업이 해당된다.
점검 범위는 취약점분석평가에서 확대해 기능 정확성, 테스트 적절성, 시스템 변경절차 적절성, 장애와 시스템 오류 관리 적절성 등이다. 기존 취약점 분석평가에서는 물리적·기술적·관리적 보안과 절차·방법에 대해 점검이 이뤄졌다. 점검 주체는 내부 감리인이나 외부 감리법인이고 시스템 구축 사업은 일회성으로 유지관리 사업은 정기적으로 진행하는 방안이 검토된다.
정보화진흥원 관계자는 “적용 개념을 감리로 할지, 안전성 평가로 할지를 비롯해 적용 범위, 점검 대상, 의무화 여부 등 아직 아무것도 확정된 것은 없다”며 “연구용역으로 확정할 계획”이라고 설명했다.
민간 정보화 감리제도를 시행하기 위해 관련 법률 개정도 추진한다. 정보통신기반보호법, 국가정보화기본법을 개정한다. 관련 법률 시행령도 개정한다. 주요 민간분야 감리 표준 수행지침도 마련할 계획이다.
◇감리 의무화 놓고 찬반 논란
민간 정보화 사업에 감리적용이 의무화되면 적지 않은 논란이 있을 전망이다. 금융·통신 등 해당 업계 기업은 정보화 사업에 PMO를 도입하는 상황에서 감리를 추가로 도입하는 것에 대해 부담스러운 입장이다. 실제 공공정보화 사업도 전자정부법을 개정해 PMO를 도입하면 감리 의무적용을 면하게 해줬다.
민간 정보화의 감리제도 도입이 잇단 보안사고 때문에 이뤄지는 것이라면 기존 취약점 분석평가나 각종 보안 규제 등으로도 충분하다는 주장한다. 오히려 기존 규제를 잘 적용하고 있는지를 모니터링하는 체계가 필요하다는 설명이다.
도입이 필요하다는 시각도 만만치 않다. 기존에 발생된 전산장애나 해킹 등이 시스템 변경으로 취약점이 발생해 감리가 반드시 필요하다는 것이다. 유지관리에 대한 상시 감리로 허술한 외주 인력에 대한 보안체계도 강화해야 한다는 강조한다.
감리업계 관계자는 “민간정보화 감리제도 도입은 오래전부터 논의돼 왔던 내용”이라며 “개인정보 보호 등을 위해서라도 반드시 이뤄져야 한다”고 말했다.
신혜권기자 hkshin@etnews.com
