미래부∙KISA,정보통신업체에 통보“보안인증 수수료 2000만원씩 내세요”준조세 비판여론 확산

미래창조과학부가 쇼핑몰, 게임, 오픈마켓, 각종 정보통신서비스를 제공하는 IT업계의 해킹 가능성에 대비한 보안 및 정보보호를 명목으로 3년마다 보안 인증을 받도록 의무화, 인증 대상기업에 1000만~4000만원가량의 수수료를 걷는 것은 물론 거부 시 3000만원가량의 과태료를 부과키로 하자 IT산업 경쟁력 강화에 앞장서야 할 미래부가 어떻게 이런 준조세를 남발할 수 있냐는 비판여론이 거세게 일고 있다.

특히 정부는 3년마다 보안인증 수수료를 내도록 하고 인증 후에도 매년 유지관리비를 부과하는 것은 물론, 인증을 받지 않을 경우 3000만원의 과태료를 부과키로 하자, 국내 IT산업계는 정부가 민간기업 보안에 너무 과도하게 개입하고 있다며 강하게 반발하고 나섰다.

미래부 산하 한국인터넷진흥원(KISA)은 1월부터‘2017년 정보보호 관리체계(ISMS)인증 의무대상자 안내’라는 제목의 공문을 쇼핑몰업체 및 게임업체, 정보서비스제공업체 등 일일 평균 100만명 이상 사용자가 접속하는 업체나 매출 100억원 이상 규모의 웹 및 모바일서비스업체에 일제히 발송한 것으로 밝혀졌다.

KISA는 공문을 통해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제 76조(과태료)를 제시한 후, 정보통신서비스 제공자는 ISMS인증을 의무적으로 취득∙유지해야 한다고 공지했다. KISA는 ISMS인증 의무대상자에 해당하지 않는 경우 3월 31일까지 의무대상자 ‘제외검토’를 신청해야 하며, 이를 거부할 경우 3000만원의 과태료가 부과된다는 내용을 담은 보안 인증 대상자 안내공문을 일제히 발송한 것으로 확인됐다.미래부는 해킹으로 인한 개인정보 유출 등 소비자 피해가 끊이지 않고, 해킹 피해를 입은 숙주 PC가 다른 기업이나 망을 공격하는 사례가 속출함에 따라 관련 ISMS 인증의무화를 추진키로 했다고 밝힌 바 있다.

문제는 미래부가 KISA를 통해 제시한 ISMS인증 의무화 대상기업 기준이 매출 100억원이상, 일일 평균 100만 이용자가 접속하는 정보통신망 사업자로 규정, 쇼핑몰 및 게임업체, 오픈마켓, 배달서비스, O2O, 각종 커뮤니티서비스 등 온라인 및 모바일서비스 등 국내 웬만한 정보통신서비스업체가 대부분 대상기업이라는 점이다.

특히 미래부와 KISA가 최근 IT기업을 대상으로 ISMS의무화 정책을 본격 시행하면서 정작 가장 많은 소비자피해가 발생하는 은행 등 금융회사는 보안인증 의무화 대상에서 제외해 형평성 논란과 함께 반쪽짜리 정책이라는 지적이 일고 있다.

이 때문에 일정 규모가 있는 정보통신서비스를 제공하는 수천개 회사가 3년마다 인증수수료 2000만원과 매년 유지관리비를 내야 하는 상황이며, 수수료 2000만원기준, 연간 1000개 업체만 보안인증을 받는다고 가정해도 정부가 보안인증을 빌미로 매년 100억원의 인증 수수료를 챙길 것으로 추정된다.

규제 완화를 통해 국내 정보통신서비스 업체들의 글로벌 경쟁력을 키워줘야 할 미래부가 또 다른 규제법안을 만들어 IT산업의 핵심주도 업종인 정보통신서비스 분야에 준조세를 걷는 어처구니없는 정책을 펴고 있다는 지적이 제기되고 있다.

한국인터넷진흥원 이재성 선임연구원은 “방대한 개인정보를 갖고 있거나, 많은 금액이 오가는 경우 해킹 시 피해가 크게 우려되는 상황”이라며 “정보통신망을 매개로 하는 웹과 모바일서비스 업체 가운데 초고속 인터넷망과 서버를 관리하는 회사 가운데 일정 규모가 있는 기업만 대상으로 한다”고 밝혔다.

이 선임연구원은 “인증수수료는 인증범위에 따라 3000만~4000만원까지 늘어날 수 있다”면서 “인증과정에 많은 인력이 투입되기 때문에 인증수수료는 기업의 네트워크망 규모에 따라 달라질 수 있다”고 설명했다.

하지만 쇼핑몰 및 게임업체, 오픈마켓 등 대규모 고객을 확보, 연간 수천억원 및 조단위 매출을 올리는 기업의 경우 보안체계 수준이 KISA 등 정부 산하기관을 훨씬 뛰어넘는 글로벌 스탠더드급 보안체계를 갖추고 있어 정부의 강제적인 보안인증 제도가 사실상 형식적인 세금 걷기에 그칠 가능성이 높다는 분위기다.

이에 대해 KISA는 이를 통해 수익사업을 한다는 피치원의 사실확인 요청에 대해 ISMS 인증 의무화 정책으로 인한 수수료 및 매년 유지관리비용, 과태료 등은 모두 국고로 귀속되기 때문에 사실과 다르다고 해명했다.

보안업계는 “개별 민간기업이 해킹 피해로 인한 고객 및 소비자피해는 이를 법적으로 청구하거나 피해보상을 해주는 절차가 있다”면서 “민간기업 해킹 가능성까지 정부가 일일이 규제, 돈 받고 인증하고 과태료를 부과하는 것은 세계적 추세에 비춰볼 때 전형적인 악폐규제”라고 진단한다.

권석철 큐브피아 대표는 “정보통신망 사업자를 대상으로 한 보안인증을 강화하는 것은 당연히 바람직하지만 이를 유료화하는 것은 적절치 않을 수 있다”면서 “문제는 정부가 이런 해킹대비 보안인증을 해줄 경우, 해킹사고가 발생해 개인정보 유출이나 경제적 피해발생 시 책임소재를 둘러싼 논란이 일 소지가 크다”고 분석했다.

특히 매출 100억원을 갓 넘긴 스타트업 및 중소 벤처기업형 정보통신서비스 업체들은 보안인증에 1000만~4000만원 상당의 수수료를 내야 한다는 점에 강하게 반발하고 나섰다.

스타트업계는 “정부가 꼭 필요하다면 무상으로 보안인증을 해줘야 하는 것 아니냐”면서 “보안이나 해킹에 대한 대비는 민간기업 스스로 하는 것이고 이에 대한 책임과 피해보상 역시 개별기업이 지는 거지, 이래놓고 보안사고가 터지면 소비자 피해보상을 정부가 해줄 거냐”면서 강하게 반발했다.

모 스타트업 CEO는 “최근 회사가 의무대상으로 지정돼 1000만원을 내고 보안 심사를 받으라고 하고, 안 받으면 벌금이 3000만원이라는 전화안내를 받은 바 있다”면서 “당시 신종 보이스피싱인 줄로만 알았는데 최근 정식 공문을 받고 정말 황당했다”고 털어놨다.

보안 전문가는 “정말 국내에서 보안이 필요한 분야는 금융권이며 아직도 수많은 금융사기 피해자들이 제대로 보상을 받지 못하고 있다”면서 “정부는 결국 액티브X 등을 없애는 등의 전체 통신망 보안에 나서야 하고 보안사고 발생 시 해당기업에 책임을 묻는 쪽으로 정책을 펼쳐야 한다”고 지적했다.

보안업계및 벤처산업계는 결국 실효성보다는정부의 보안인증 의무화를 빌미로 KISA와 유착관계에 있는 인증테스트관련 업체나 관계자에 새로운 먹거리를 제공하는 결과만 초래할 것이란 분석이 우세하다.

인증에 정통한 한 전문가는 정부가 보안인증 의무화를 유료화한다면 정부가 보안사고 발생시 책임까지 진다는 입장발표를 해야하며, 결국 해당업체는 해킹사고발생시 “정부 인증을 받았다는 점을 내세워 피해보상에 소극적일 수밖에 없고 결국 피해보상 면죄부만 주고 소비자만 피해를 입는 결과를 초래할 것”이라고 우려했다.