[중소기업 정보보호 인력난] (상) 전문가 구하기, 하늘의 별따기

A 대표는 “IT 업계 인재 영입 전쟁이라고 해서 개발자 구인난이 심각한데 인증을 위한 인력을 구하기는 더 어려웠다”며 “그나마 운 좋게 1명을 구했다”고 했다.

5일 한국인터넷진흥원(KISA)이 발간한 ‘2020 정보보호 실태조사’에 따르면 정보보호 전담 조직을 운영하는 비율은 1~4인 기업에서는 0.9%, 5~9인 기업에서는 2.3%, 10~49인 기업에서는 5.1%, 40~249인 기업에서는 14.7%로 나타났다.

인증을 받은 뒤도 문제다. ISMS 인증의 유효기간은 3년이고, 인증 발급 뒤 매년 사후심사를 받고 3년 주기로 갱신 심사를 해야 한다. 담당 인력이 필요한 이유이기도 하다.

A 대표는 “담당 팀을 따로 꾸려야 하지만, 일손이 부족한 중소기업인 탓에 담당자가 다른 업무를 겸직하는 실정”이라며 “인증 전 컨설팅 비용보다 사후 유지가 오히려 더 큰 부담”이라고 설명했다.

정보 보호의 중요성이 날로 커지고 있지만, 중소기업들은 한정된 예산과 인력으로 애를 먹고 있다. 정부의 중소기업 정보 보호 지원책이 충분치 않다는 지적이 나온다.

실제 과기정통부에 따르면 지난해 기준 ISMS 인증 대상 기업인데도 인증을 받지 않아 과태료를 부과받은 기업은 20곳에 달했다.

ISMS는 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 담당하는 보안 인증 체계다. 주요 정보 자산을 보호하기 위해 수립, 관리, 운영하는 정보보호 관리체계가 적합한지를 심사해 KISA가 인증한다. 2001년 ISMS 제도가 만들어진 뒤 2012년 개인정보보호에 대한 관리가 잘되고 있는지를 평가하는 PIMS 인증 제도가 생겼다. 2018년에는 ISMS와 PIMS가 통합돼 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)이 생겨났다.

ISMS는 정보보호 관리 과정 5단계의 12개 항목과 정보보호 대책 13개 분야의 92개 항목 등 총 104개 항목으로 구성됐다. 정보통신망법에 따라 정보통신망서비스를 제공하는 사업자 중 연 매출액 100억 원 이상이거나 전년도 직전 3개월간 일 평균 방문자 100만 명 이상인 사업체는 의무적으로 ISMS 인증을 받아야 한다. 미인증시에는 3000만 원의 과태료가 부과된다.

과기정통부는 중소기업계의 이러한 목소리를 반영해 ISMS 간편 인증 제도 도입을 검토하고 있다. ISMS-P 간편 인증 제도는 올해 신설됐으나 ISMS 간편 인증은 현재까지 없다.

과기정통부 관계자는 “영세 중소기업의 인증 비용 부담 문제가 있어 정필모 더불어민주당 의원실과 간편 인증 제도를 논의 중”이라며 “현재 인증 대상 기업은 아니더라도 정보 보호의 중요성이 커지는 만큼 더 많은 업체가 인증을 받게 하기 위함도 있다”고 설명했다.