최근 줄줄이 터지는 대규모 개인정보 유출 사태에 주무기관인 개인정보보호위원회(개보위)가 자체적인 사이버 보안 강화에 나섰지만, 보안업체 단 한 곳도 사업 입찰에 응하지 않고 있다. 향후 보안 사고가 발생할 경우 책임론이 일 것을 우려하는 분위기다. 기대보다 낮은 수준의 예산 규모도 관련 업체들이 난색을 표하는 이유로 꼽힌다.
10일 정보기술(IT) 업계에 따르면 개보위는 지난달 랜섬웨어·악성코드 감염 등을 통한 사이버 공격을 예방하기 위해 정보보호 강화 사업에 착수했다. 일반적인 정보시스템 취약점 진단 및 해킹 대비는 물론이고 이메일·디도스(DDoS) 등을 통한 침입 경로 분석, 정보보안 감사 지원 등도 사업 내용에 담겨 있다.
문제는 실무 작업을 맡을 파트너 기업을 구하지 못하고 있다는 점이다. 개보위는 종합적인 개인정보 보호 체계 강화를 위한 컨설팅을 해줄 보안업체를 찾고 있지만 모두 고개를 젓고 있다. 지난 8일 마감된 공개입찰에 입찰서를 제출한 업체는 아무도 없었다.
업계는 표면적으로 낮은 보수를 기피 이유로 든다. 개보위는 이번 컨설팅 예산으로 1억원을 책정한 상태다. 이에 대해 한 사이버보안 업체 관계자는 “통상 이 정도 규모의 사업은 2억~3억원은 돼야 한다”며 “들이는 품과 시간에 비해 보수가 턱없이 낮다”고 말했다.
업계 일각에서는 이번 사업을 꺼리는 진짜 이유로 책임 소재 문제를 언급한다. 컨설팅 사업을 수주 및 진행해서 업체가 제시한 방안대로 보안 시스템 강화가 이뤄졌는데, 향후 해킹 사고 등 문제가 발생하게 되면 해당 업체가 침해 사고에 대한 책임론에 휘말릴 수 있다는 부담이 있다는 얘기다.
전문가들은 올해 대규모 해킹 사건이 연달아 발생하면서 이런 ‘이상 현상’이 나타난 것이라고 분석했다. 황석진 동국대 정보보호학과 교수는 “통상 개보위 정도의 정부 기관에 대한 보안 컨설팅 사업은 금액을 떠나 회사 포트폴리오 강화 차원에서 고려할 만큼 매력적인 일감”이라며 “평소에는 개보위와 일한 것이 회사 이름값을 높이는 데 도움이 되겠지만, 올해 같은 상황에서는 오히려 ‘잘해야 본전’인 것”이라고 말했다.
개보위는 결국 사업 입찰 재공고를 통해 사이버 보안 강화 사업을 진행할 업체를 다시 물색하기로 했다.
김지훈 기자 germany@kmib.co.kr