데이터 규모 따라 간접비용 커져
예산 구조에 소요 비용은 축소
“작은 기관들 비용 감당 못할 것”
정부가 공공·민간 주요 개인정보처리시스템에 대한 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 의무화를 추진 중인 가운데 인증을 받기 위한 ‘보안 컨설팅’ 비용이 최대 7억원에 달하는 것으로 나타났다. 이는 1500만원 수준인 인증 수수료의 46배에 달하는 금액이다. 인증 제도 확대를 앞두고 공공기관의 예산 부담이 커질 수 있다는 우려가 나온다.
18일 국민건강보험공단이 박수민 국민의힘 의원실에 제출한 자료에 따르면 건보공단은 지난해 대외서비스 홈페이지의 ISMS-P 인증 취득 과정에서 총 7억1437만원을 사용했다. 이 중 한국인터넷진흥원(KISA)에 납부한 인증 수수료는 전체 비용의 2% 수준인 약 1500만원에 그쳤다. 나머지 6억9960만원은 인증 준비를 위한 보안 컨설팅 비용으로 보안업체에 지불됐다.
데이터 규모가 클수록 유출 시 파급력이 큰 만큼 인증 필요성도 높아진다. 문제는 컨설팅 범위와 기간이 확대되면서 보안 컨설팅 비용 역시 급증할 수 있다는 것이다. 국민연금공단에 따르면 공단이 운영하는 8개 공공시스템 중 규모가 가장 큰 연금업무시스템의 데이터는 약 28억5000만건에 이른다. 컨설팅 비용에 7억원이 투입된 건보공단 대외서비스 홈페이지의 데이터 규모가 약 2억6000만건인 점을 감안하면 시스템 규모에 따라 비용 부담이 더 커질 가능성도 배제할 수 없다.
인증 관련한 예산 집행 구조도 실제 비용을 가리는 요인으로 꼽힌다. 건보공단이 KISA에 납부한 인증 수수료는 정보관리실의 ‘일반수용비’로 처리됐지만 보안업체에 지급한 컨설팅 비용은 정보관리실의 ‘연구용역비’로 편성됐다. ISMS-P 인증 관련 비용이 서로 다른 예산 항목으로 분산되면서 총 소요 비용이 외형상 축소될 수 있는 구조다.
이성엽 고려대 기술경영전문대학원 교수는 “한정된 재원 안에서 한 분야의 지출이 늘어나면 다른 분야는 줄어들 수밖에 없는 ‘카니발라이제이션(자기잠식)’ 효과가 우려된다”며 “기존에 연구비로 활용됐던 예산이 인증을 위한 보안 컨설팅 비용으로 나갈 가능성이 있다”고 지적했다.
이 같은 문제는 ISMS-P 인증 의무화 확대를 앞두고 부각될 가능성이 높다. 개인정보보호위원회는 최근 2027년 7월부터 공공시스템과 통신사 등 주요 개인정보처리시스템에 ISMS-P 인증을 의무화하겠다는 방침을 밝힌 바 있다. 의무화 대상은 과징금 감경에서 제외되며 인증 미획득시 과태료를 신설해 3000만원을 부과할 예정이다.
제도의 본래 취지와 달리 인증 준비 과정에서 발생하는 간접 비용이 커 공공기관을 중심으로 예산 부담을 둘러싼 논란이 본격화될 수 있다. 한 공공기관 관계자는 “2000만원 이하의 인증 수수료가 아닌 인증을 준비하는 과정에서 억대의 컨설팅 비용을 써야 하는 것이 문제”라며 “큰 공공기관이면 몰라도 작은 기관들에는 그만한 비용을 감당할 수 있는 예산이 없다”고 토로했다.
