울릴 수 없는 신문고…보안유지관리신고센터

어려운 일 있으면 북채를 휘두르라고 신문고를 만들어놨는데, 북을 치는 사람은 하나도 없다. 북을 쳐야할 처지에 있는 이들이 늘고 있는데도 북소리는 들려오지 않는다.

사정을 알아보니 북이 있더는 사실조차 모르는 이들이 적지않다. 신문고 존재를 안다해도 북을 쳤다는 사실이 들통나 나중에 된통 당할까봐 치지 못하는 사람들은 더 많다.

고단한 시대, 전혀 울릴 수 없는 신문고가 휑뎅그레하게 놓여 있다.

물론 조선시대 이야기를 하려는 것은 아니다. 보안 업계를 위해 정부가 마련해놓은 신고센터에 관한 이야기다. 지식정보보안산업협회(KISIA)는 지난해 8월부터 유지보수료를 제대로 지급하지 않는 공공기관들을 신고할 수 있는 '유지관리 신고 센터'를 운영해왔다.

그러나 현재까지 신고 건수는 '0' 건이다. 숫자로는 보안업계 천국인 셈이다.

그런가. 과연 신고할 게 단 하나도 없을까. 당연히 그렇지 않다. 신고할 거리는 오히려 늘어나고 있는 상황이다. 다만 누구도 북채를 잡을 수 없은 게 현실이다.

익명을 요구한 국내 보안업계 임원은 유지보수비를 제대로 산정해 주지 않는 곳은 아예 들어가지 않고 있다며 유지보수비를 제대로 받기 위해서는 실력있는 엔지니어를 통해 경쟁력 있는 제대로 된 서비스를 제공한다는 인식을 고객사에 심어줄 필요가 있다고 말했다.

이 같은 문제를 해결하기 위해 KISIA는 미래창조과학부 등 정부기관과 협력해 신고 센터를 모니터링 센터로 확장해 운영할 계획이다.

5일 개최된 기자간담회에서 조규곤 KISIA 회장(파수닷컴 대표)은 기존에 자체적으로 운영해 온 유지관리 신고 센터를 확대 개편해 유지관리 모니터링 센터를 운영하는 방안을 정부와 논의 중에 있다고 말했다.

그러나 운영 주체가 달라진다고 해서 센터가 활성화될지는 의문이다. 관건은 운영의 디테일에 있다.

먼저 홍보 강화다. 신고 센터의 경우 보안업계, 고객사 등에서도 운영되고 있었다는 사실을 모르는 경우가 많았다는 지적이다.

다음은 인력 보강이다. KISIA 담당 직원들이 10명이 안 되는 상황에서는 신고가 들어온다고 하더라도 해당 고객사에 공문을 보내고 실제로 조사를 수행할 만한 전담 인력이 없었다.

세번째는 신고한 업체에 대해 익명성을 보장하고, 고객사측에서 해당 고객사에 불이익을 줬을 때 제재할 수 있는 방안을 마련하는 일이다.

그동안 보안업계는 유지관리 서비스 대가 현실화가 필요하다고 주장해왔다.

일반 소프트웨어와 달리 보안 솔루션, 장비 등은 한번 제품을 설치하는 것으로 끝나는 것이 아니라 주기적인 보안 업데이트가 필요하다.

이를 위해 직원들이 쉴 틈 없이 고객사를 드나들고 있지만 유지관리에 필요한 비용을 제대로 지불하고 있는 곳은 거의 없는 실정이다.

악성코드나 취약점을 악용한 공격기법이 날로 지능화 되고 있는 시점에서 관련 사안에 대한 업데이트가 지속적으로 이뤄져야 하는데도 불구하고, 그에 합당한 대가를 받지 못해 온 것이다.

간담회에 참석한 문재웅 KISIA 감사(제이컴정보 대표)는 이를 테면 서버의 경우 주기적으로 3년~5년 내에 교체를 해줘야 하고 기업들 역시 그에 맞는 비용을 지불하고 있지만 방화벽, 침입탐지시스템(IDS) 등을 포함한 보안제품에 대해서는 업데이트나 유지보수를 위한 예산을 쓰기를 꺼려하고 있다고 전했다.