"올해 보안업계 주52시간 대응 및 인증 중복 해결에 매진"

"근로기준법 개정 (주52시간근로) 대응과 국내 공통평가기준(CC)과 굿소프트웨어(GS) 인증 중복 문제, 이 두 가지 업계 현안을 해결하는데 올해 협회 역량을 집중하겠습니다. 또 대가산정과 사업계약 가이드 마련, 불공정 관행 시정요구, 관계부처 협의에 따른 정보보호 기업의 권리 확보와 부담 완화에도 힘쓰겠습니다."

이민수 한국정보보호산업협회(KISIA) 회장은 최근 지디넷코리아와 가진 '협회장 인터뷰'에서 이같이 말했다.

그는 정보보호 산업계 화두로 지난해부터 시행된 주52시간 근로제가 보안관제 인력 인건비 상승분의 부담을 수행업체인 보안관제 기업이 떠안은 점, 인증 항목이 유사한 CC인증과 GS인증을 중복 취득해야 보안SW 제품을 조달에 등록할 수 있는 점을 올해 추진할 주요 과제로 꼽았다.

이 회장은 KISIA가 지난해부터 관련 제도 개선을 위해 과학기술정보통신부를 포함한 관계부처와 논의해 왔고, 올해 세부 후속조치가 진행 중이라고 언급했다. 이밖에 협회가 주력할 사업으로 정보보호산업에 필요한 인력 양성 사업과 체계 마련 활동, 지난해 발족한 블록체인전문위원회를 통한 블록체인 보안강화 및 블록체인과 정보보호분야간 기술교류 활성화를 들었다.

아래는 이 회장과의 일문일답.

- 지난 한 해 KISIA의 성과는

"회원사 애로사항을 해결하기 위해 과기정통부 중심으로 협회가 함께 뛴 것이 기억에 남는다. 협회는 과기정통부와 회원사간 소통채널 역할에 집중했다. 아직 해결할 게 많지만 근로기준법 개정에 대한 정보보호업계 대응, CC인증과 GS인증 중복, 두 가지 문제에 성과가 있었다.

산업 관점에선, 매출같은 양적 성장을 했지만 내부에선 (회원사들이) '힘들다'는 얘기가 많았다. 새 분야의 보안 수요가 계속 생겨 전체 파이는 커지고 있다. 다만 기존 분야의 어려움이 많고, 우리가 계속 주장하는 '대가 현실화'가 해결돼야 산업 전반이 튼튼해지지 않을까 싶다."

- 근로기준법 개정에 따른 업계 문제는 무언가

"(공공부문) 보안관제 사업에 영향이 크다. 원래부터 365일 24시간 근무하며 실시간 감시, 대응하는 업무 특성상 야간 초과근무와 휴일근무가 필수고 '사이버위기 경보단계에 따른 비상근무체제 전환' 방식에 따라 수시로 추가 인력 투입이 필요한 실정이다.

관제 인력은 초과근무 발령 일수가 커지면 피로도가 누적된다. 경보단계 발령은 예측이 불가능해 업무일정 계획을 세워 운영하는 '탄력적 근무제'를 적용하기 어렵다. 그런데 야간 및 휴일근무와 운영잔무처리 등 비용을 관제서비스 제안사가 일체 부담하는 관행이 지속되고 있다.

법정근로시간이 주당 최대 52시간으로 바뀌었다. 근로자당 초과근무와 휴일근무 상한을 넘기지 않으려면 초과분을 상쇄할 추가인력을 편성해야 한다. 그런데 발주처의 보안관제사업 예산 연평균 증가율은 인건비 상승분에 미치지 못하거나 동결돼 기업 부담이 가중되고있다."

- 관제기업의 부담을 어떻게 덜 수 있나

"우리가 원하는 건 SW대가산정가이드의 보안관제서비스 비용 산정 기준에 '비상대응서비스' 항목을 추가해달라는 거다. 사이버위기경보단계에 따른 비상대응체제 전환시 추가 지원을 하는 서비스를 의미한다. 발주자가 비상대응서비스 지원 유무를 결정해 발주예산에 편성해야 한다.

과기정통부, 노동부, 기재부 협업으로 마련한 '노동시간 단축에 따른 보안관제사업계약(변경) 가이드'도 배포했다. 사이버위기 경보발령, 사이버공격에 따른 피해복구를 '특별연장근로' 사유로 인정하고, 사업낙찰차액을 비상근무 추가비용 지급시 활용하는 방안을 담고 있다.

최소 물가상승분 반영을 요구할 수 있는 '물가변동으로 인한 계약금액 조정제도' 안내 및 홍보도 진행 중이다. 이밖에 KISIA 정보보호사업 모니터링센터에서 불공정관행 사례 수집과 시정요구를 통해 정보보호기업 권리를 확보하는 데 힘쓰고 있다."

- CC와 GS 인증 중복은 왜 문제고 어떻게 해결하려 하나

"나라장터 제3자 단가계약 등록요건으로 상용SW제품에 GS, 신제품(NEP), 신기술(NET) 인증을 요구한다. 2017년까지 CC인증을 획득한 정보보호 제품도 포함됐지만 법적 근거 미비로 지금은 제외됐다. 정보보호 기업은 GS인증을 추가획득해야 해 부담이 가중된 상황이다.

CC인증은 GS인증보다 범위가 포괄적이고 시간적, 경제적 비용도 더 많이 소요된다. CC인증이 GS인증 항목을 대부분 포함하고 있다. 과기정통부 제2차관 주재 정보보호산업 현장간담회에서 이 문제를 얘기하는 등 협회는 관계부처와 협의해 기업의 부담 완화에 힘쓰고 있다."

- 취임하며 밝힌 '산업 맞춤형 인재 양성'에 진척이 있나

"다양한 기관과 협업해 산업 수요 맞춤형 취업연계 과정을 개설했다. 정보보호 산학계 10년 이상 종사한 현업 전문가로 강사진을 구성했다. 지역산업맞춤형 일자리 창출 지원사업, 기업 수요 기반 맞춤형 기술인재 양성 프로그램, 정보보호산업 맞춤형 인재양성 프로그램 등이다.

이가운데 서울특별시와 함께하는 정보보호산업 맞춤형 인재양성 과정은 전문기술연수, 기업인턴을 거쳐 취업까지 연계한다. 청년에게 취업기회를 제공하고 기업에게 교육생 인턴비를 지원한다. 올해 1월 교육생 33명이 전원 수료했고 90%이상이 인턴 및 채용으로 연계됐다.

기존 정보보안 창조전문인력양성 아카데미, 청년취업 아카데미 교육과정 외에 서울특별시 사례처럼 기관협업 맞춤형 인재양성 과정에 힘써 나갈 예정이다. 정보보호 분야뿐아니라 미래유망 직무인 블록체인, 생체인식 분야에 국가직무능력표준(NCS)을 확대, 개발하기도 했다."

- 지난해 9월 블록체인전문위원회를 발족한 배경과 활동 계획은

"보안 기술이 블록체인 기술과 함께 가게 될 거라 보고 블록체인 보안과 서비스 활성화 정책방안을 마련하기 위해 발족했다. 위원회가 블록체인 보안강화, 서비스 활성화, 블록체인 적용분야 보안성 담보를 위한 산업계 역할 강화, 기술교류 활성화에 앞장서 대응할 예정이다.

스마트컨트랙트와 P2P 플랫폼을 비롯해 다양한 서비스와 인프라가 출현하고 있다. 4차산업혁명 블록체인분야의 적용가능한 선진 대응사례 등 정보공유가 중요하다는 점에 의견을 모으고 정책추진방안, 선진사례, 업계동향을 공유할 예정이다.

블록체인 기업과 암호화폐거래소에 대한 해커집단의 공격, 지갑과 키 관리 보안취약점을 이용한 악성행위가 증가 추세다. 신종 보안사고 예방과 해킹기술 차단 대안을 제시하려고 지난해 한국블록체인협회와 공동으로 블록체인보안컨퍼런스를 개최했고, 올해도 개최 하겠다."

- 블록체인을 주제로 다루는 행사는 이미 많은데

"다른 블록체인 관련 단체는 암호화폐나 블록체인 비즈니스에 초점을 맞춘 얘길 많이 한다. 우리는 비즈니스보다 블록체인 기술 자체에 집중한다. 컨퍼런스 역시 기술적으로 집중해 기획하고 개최했다. 앞으로 전문위원회가 계속 추구하는 바도 비즈니스보다 기술 측면이다.

블록체인 비즈니스에는 위기가 있을지 모른다. 하지만 기술적 논의는 계속 필요하다. 블록체인 생태계 안에서도 보안 이슈는 중요한 포인트다. 보안 분야는 시장 흔들림에 너무 민감하지 않게 꾸준히 기술개발을 해나갈 수 있고, 여기에도 블록체인이 중요 역할을 하게 될거다."

-올해 새로 집중하거나 강화할 분야는 무엇인가

"정보보호정책연구소 기능을 강화할 예정이다. 정책 연구·조사·법제 검토로 급변하는 산업계 트렌드가 정책에 반영될 수 있도록 하겠다. 정보보호산업법상 '정보보호산업'의 정의와 협회 설립취지에 걸맞게 협회내 물리보안, 융합보안업체의 권익 대변에도 노력하겠다."

- '융합보안'은 물리·정보 보안의 융합 개념인가, 다른 건가

"정식 용어로는 융합보안이 물리보안과 정보보안을 융합한 것을 말한다. 출입통제, 방범, 국방분야 경계보안은 대표적인 물리보안 영역이다. 이게 정보보안과 융합되는 게 융합보안이다. 둘을 맞물리게 해서 완벽하게 한다는 개념이다.

물리보안시스템에 정보보안 허점이 있으면 예를 들어 네트워크 해킹으로 출입통제 권한이 탈취되고, 정보보안시스템의 물리보안이 안 되면 누가 전산실에 들어와 하드디스크를 가져가면 역시 보안이 불가능하다. 물리보안과 정보보안은 서로가 없이 완전할 수 없다.

관련기사

정보보안이 기존 전산시스템 보안에서 사회 전반으로 커지고 있다. 그러다보니 초연결사회로 발생하는 사회전반 ICT융합 환경에 발생하는 보안이 중요해졌다. 이게 'ICT융합보안'이다. 정보보안이 주가 될 수 있지만 그것만으로 되지 않기때문에 역시 물리보안과 융합될 것이다.

협회에서도 융합보안, ICT융합에대한 보안, 두 가지 모두 올해 새 목표 설정시 고려했다. 물리보안과 정보보안 융합을 얘기한 융합보안을 올해 큰 꼭지 중 하나로 추진하고 있다. ICT융합보안도 필요하다 생각하고, 협회와 산업계에서 역시 중요하게 보고 공조하려고 한다."