6개 기관만으로 부족, 서류미비로 탈락한 곳에 다시 기회 제공
행안부는 23일 개인정보 영향평가기관으로 롯데정보통신, 인포섹, 씨에이에스, 안철수연구소, 이글루시큐리티, 한국정보기술단 등 6개 기업을 지정 공고했다. 당초 27개 업체들이 신청을 했으나 인력 부족, 신용도 미달, 제출 서류 미비 등으로 대부분 탈락했다.
내년도 행안부 예산으로 진행되는 전자정부 지원 사업 가운데 약 800개가 영향평가 대상인 것으로 파악되고, 이로 인한 시장만 240억 원 규모가 될 것으로 예상된다. 6개 기관만으로 영향평가 수요를 충당하기에는 역부족이라는 지적이다.
특히, 이번에 지정된 업체들 가운데는 개인정보 영향평가 실적과 경험이 하나도 없는 곳들도 있어 벌써부터 영향평가가 순탄하게 진행될 수 있을지 우려의 목소리가 높다. 반대로 2005년과 2007년부터 개인정보 영향평가를 주력으로 해오던 업체들이 탈락한 점을 미루어 볼 때 이번 평가에서는 개인정보 영향평가 자체의 역량이나 전문성 보다는 회사 규모, 자본력, 신용도 등에 더 큰 비중을 뒀던 것으로 분석된다.
행안부는 평가 과정에서 서류를 보완하는 절차를 주면 업체들 간 형평성 문제가 제기될 수 있어 이 부분을 생략했던 것으로 알려진다. 이로 인해 개인정보 영향평가기관을 지정하자마자 바로 재신청 공고를 띄울 수밖에 없게 됐고 결국 해당업계에 혼란만 더 야기하게 됐다.
이와 관련 탈락한 업체들은 "평가 과정이 철저히 비공개로 진행된 데다가 탈락 이유 등이 업체들에게 제대로 통보되지 않은 상황이기 때문에 다시 신청을 한다고 결과가 달라지겠느냐?, 특히 회사 규모나 신용도는 하루아침에 달라지는 부분이 아닌데 중소 전문 업체들이 지정받을 수 있는지도 모르겠다"는 차가운 반응이다.
이번에 영향평가기관으로 지정된 업체들은 어느 정도 규모가 있고 자금력이 있는 기업들이 대부분으로 이들 중 일부 업체들의 경우 개인정보 영향평가 수행경험이 없는 나머지, 영향평가를 수행해본 중소업체로부터 인력 빼가기를 이미 시작한 것으로 알려진다. 이처럼 시작부터가 잡음이 많은 개인정보 영향평가제도가 과연 조기에 안착할 수 있을지? 정부의 방침대로 고품질의 신뢰도 높은 서비스가 제공될 수 있을지?는 시간을 두고 지켜볼 일이다.
한편, 개인정보영향평가는 기존에 구축된 5만 건 이상의 민감한 고유식별정보를 포함한 시스템 또는 50만 건 이상의 민감한 개인정보를 연계하는 시스템, 100만 명 이상의 개인정보를 수집한 파일을 보유한 전 공공기관의 경우 5년에 한번은 반드시 수행해야 된다. 또 신규로 구축되는 시스템이나 민감한 개인정보 연계 시스템이 있을 경우 그때마다 영향평가를 받도록 의무화 하고 있다.
아울러 개인정보 영향평가기관의 기본 요건은 ▲최근 5년간 영향평가 업무 또는 이와 유사한 업무, 여타 정보보호컨설팅 업무 등을 통해 업무 수행의 대가로 받은 금액이 2억 원 이상인 법인 ▲전문 인력을 10명 이상 상시 고용하고 있는 법인 ▲신원 확인/ 출입 통제를 위한 설비를 갖춘 사무실 및 기록/ 자료의 안전한 관리를 위한 설비를 갖춘 법인을 지정하도록 되어 있다.
김정은 기자
jekim92@itdaily.kr