인증 받은 공공기관 40곳 그쳐
컨설팅 비용 시스템당 2억 안팎
29곳 독식…가격 상승 불가피
사전 컨설팅 지원 등 보완 필요
공공 부문 개인정보처리시스템에 대한 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 의무화가 추진되면서 공공기관의 예산 부담과 보안 컨설팅 시장 과점 우려가 동시에 제기되고 있다. 인증 대상 기관이 대폭 늘어날 경우 제한된 사업자에 수요가 집중되며 비용 상승으로 이어질 수 있다는 지적이다.
18일 한국인터넷진흥원(KISA)에 따르면 정보보호관리체계(ISMS) 및 ISMS-P 인증을 취득한 공공기관과 지방자치단체는 예금보험공사, 국민건강보험공단, 국가정보자원관리원, 문화체육관광부, 서울특별시 등 40곳에 그친다. 대부분 공공기관이 아직 인증을 받지 않은 상태다.
문제는 인증 확대에 따른 비용 부담이다. ISMS-P 인증은 기관 단위가 아닌 정보시스템 단위로 적용된다. 복수의 시스템을 운영하는 공공기관일수록 인증 대상이 늘어나면서 보안 컨설팅 비용이 크게 증가할 수밖에 없는 구조다.
개인정보보호위원회와 KISA에 따르면 지난해 ISMS-P 인증을 받은 기업·기관은 173곳, 총 인증 건수는 310건으로 집계됐다. 기관당 평균 1.8개 시스템에 대해 인증을 취득한 셈이다. KISA의 지난해 인증 수수료 수입은 32억1940만원으로 건당 평균 인증 수수료는 1861만원이었다.
다만 실제 부담은 인증 수수료보다 컨설팅 비용에 집중된다. 개인정보위는 ISMS-P 인증을 위한 보안 컨설팅 비용이 기관의 보안 수준과 인증 범위에 따라 달라지지만 통상 3000만원에서 1억원 수준이라고 설명했다. 조달청 나라장터 입찰 공고를 보면 사후 심사 컨설팅은 수천만원 수준이지만 본 컨설팅 비용은 대부분 1억원을 넘는 것으로 나타났다.
한국사회보장정보원은 지난달 개인정보위 주관 ‘공공분야 개인정보 보호 현장 간담회’에서 운영 중인 시스템별로 ISMS-P 인증을 받을 경우 총 비용이 20억원 이상 소요될 것으로 추산된다고 밝혔다. 기관 측은 시스템당 평균 2억원 안팎의 보안 컨설팅 비용이 필요할 것으로 보고 있다. 한국사회보장정보원이 운영하는 공공시스템 중 인증 의무화 대상이 될 수 있는 시스템은 9개다. 이 가운데 사회보장정보시스템의 데이터 규모는 7억7279만 건, 지역보건의료정보시스템은 1억4119만 건의 개인정보를 보유하고 있다.
업계에서는 전국 단위 공공 수요가 동시에 발생할 경우 제한된 사업자에 발주가 몰리면서 시장 과점이 심화될 가능성도 제기된다. 나라장터에 등록된 ISMS-P 인증 컨설팅 입찰의 투찰 허용 업종이 ‘정보보호 전문서비스 기업’ 등으로 제한돼 있기 때문이다.
과학기술정보통신부가 지정한 정보보호 전문서비스 기업은 소만사, 안랩, 라온시큐어 등 29곳에 불과하다. 정보통신기반 보호법에 따라 주요정보통신기반시설의 취약점 분석과 평가 역시 이들 기업을 통해서만 수행해야 한다.
공공기관 내부에서는 인증 의무화에 따른 비용 증가를 완화할 보완책이 필요하다는 목소리도 나온다. 한 공공기관 관계자는 “인증 수요가 한꺼번에 몰릴 경우 컨설팅 비용 상승 가능성을 배제하기 어렵다”며 “KISA 등 공공기관이 사전 컨설팅을 지원하는 방식 등 제도 보완이 필요하다”고 말했다.
