과기정통부 “홀대나 차별 아냐…공청회 거쳐 의견수렴해 재검토하겠다”
과학기술정보통신부(장관 최기영, 이하 과기정통부)가 2021년 시행을 앞두고 법제처에 제출한 ‘전자서명법 시행령 전부개정안’의 평가기관 전문인력 요건 부분에 “회계사의 경우 6년의 개인정보보호 유관경력을 보유한 것으로 본다”는 조항을 넣어 정보보호인들의 공분을 사고 있다.
과기정통부는 지난해 10월 조직개편시 인공지능정책관을 신설하면서 기존 정보보호정책관을 폐지하고 네트워크와 정보보호 정책 업무부서를 묶어서 정보보호네트워크정책관으로 통폐합한 바 있다.
당시 정보보호 산업인들과 현업 정보보호 담당자들은 4차산업혁명의 근간인 정보보호의 발전을 저해하는 조직개편이라며 성토의 목소리를 높였지만 개편 결과는 바뀌지 않았다. 정보보호정책실로 격상해도 모자랄 판에 오히려 전담조직마저 사라진 것이다. 정보보호인들의 허탈감은 상당한 수준이었다.
보안인들 ‘공분’ 불러일으킨 평가기관 전문인력 요건
이런 상황에, 이번 ‘전자서명법 시행령 전부개정안’중 전자서명사업자 평가기관 전문인력 요건에 납득할 수 없는 내용이 포함돼 있다. 바로 “변호사법에 따른 변호사와 회계사법에 따른 회계사의 경우에는 6년의 개인정보보호 유관경력을 보유한 것으로 본다”는 내용이다.(위 이미지 참조)
한편 경력인정 요건을 좀더 살펴보면, 공인회계사에게는 6년의 개인정보보호 경력을 인정하면서도, 개인정보보호 관련 박사학위 취득자는 2년, 석사는 1년, 개인정보영향평가 전문인력과 개인정보관리사는 1년으로 경력을 인정하고 있다.
이에 대해, 현업 정보보호 실무자 대부분은 “어처구니 없다”는 반응이다. 개인정보보호 관련 경력이 없는 공인회계사에게 6년 경력을 인정해 주는 것은 묵묵히 개인정보보호 업무에 종사해 온 전문인력들에게 큰 배신감과 상처를 안겨주는 처사라고 목소리를 높이고 있다.
공인회계사는 감사, 감정, 증명, 계산, 정리, 입안 또는 법인설립 등에 관한 회계와 세무대리 업무를 주로 담당하며 개인정보보호와 무관한 직무를 수행하고 있음에도 6년 경력을 인정한다는 것은 이해할 수 없으며 이해관계자들의 입법 로비가 있지 않고는 이런 법안이 나올 수 없다며 강하게 반발하고 있는 상황이다.
국내 대형 이커머스 기업의 모 정보보안팀장은 “개인정보보호와 무관한 전문 자격을 취득한 것으로 개인정보보호 유관 경력이라고 인정하는 것은 기존 개인정보실무 업무를 사명감 갖고 수행하고 있는 정보보호 인력의 사기를 꺾는 것”이라며 반드시 삭제돼야 할 내용이라고 강조했다.
현업에서 오랜 기간 정보보호 책임자로 일해 온 박나룡 보안전략연구소 소장은 “ISMS 인증심사원 규정에도 변호사와 공인회계사에 정보보호 경력을 인정해주는 조항이 있다. 이번에도 또 같은 내용이 포함됐다. 이를 바로 잡지 않으면 앞으로 정보보호 관련 규정에 계속해서 반복적으로 잘못된 규정이 들어가게 될 것”이라며 “ISMS는 심사원 시험이라도 봐서 걸러낼 수 있지만 이번 같은 규정은 납득할 수 없다. 잘못 된 것은 고쳐야 한다. 이런 관행이 4차산업혁명의 혁신을 가로막는 대표적인 사례다. 국민참여입법센터(클릭)를 통해 이런 불합리한 부분에 보안인들이 적극적으로 의견을 내야 바뀔 수 있다”고 강하게 비판했다.
김승주 고려대 교수는 “과기정통부 개편하면서 정보보호가 홀대받는다고 원성이 자자했는데 이런 일이 반복되면 정보보호 인들의 불만은 더욱 더 가중될 것으로 보인다. 향후 정부는 보다 더 세심한 관심을 기울일 필요가 있다”고 밝혔다.
과기정통부 “공청회서 의견 수렴해 재검토하겠다”
한편 개정안 관련 과기정통부 관계자는 “평가기관은 5인 이상 전문인력을 상시 고용해야 한다. 평가기관 전문인력 요건은 이런 정도의 자격이 있어야 한다는 최소한의 규제다. 공인회계사가 포함된 것은 ISMS 인증심사원 관리규정을 참고한 것이다. 회계사들이 감사업무를 맡고 있기 때문에 포함된 것”이라며 “정보보호 인력들을 홀대하거나 차별하는 것으로 받아들이지 않길 바란다. 11일(금) 공청회를 갖는 이유도 이런 의견들을 듣기 위해서다. 평가기관 인력요건에 대해 다시 검토하겠다”고 밝혔다.
이번 사안은 공인전자서명 제도를 폐지해 전자서명시장에 기술·서비스 경쟁을 촉진하고, 국민들에게 다양하고 편리한 전자서명수단을 제공하기 위해 ‘전자서명법이 전부개정’되는 것과는 별개 문제다.
과학기술정보통신부는 왜 이번 평가기관 인력요건 규정에 대해 정보보호인들이 분개하는지 살펴야 한다. 현업의 어려운 정보보안 환경에서 묵묵히 경력을 쌓아도 경력 인정받으려면 각종 증빙 서류를 제출해야 하고 시험도 봐야 한다. 그런데 변호사와 공인회계사는 자격증 획득 만으로도 바로 개인정보보호 6년 경력을 인정받는다. 과연 납득할 수 있는 올바른 규정일까.
잘못된 관행과 규정은 버려야 한다. 4차산업혁명과 도래하는 데이터 경제 시대에 개인정보보호 전문가는 국가와 기업의 핵심 경쟁력이다. 실제 현업 보안실무자들이 자긍심을 갖고 일 할 수 있는 환경을 과기정통부가 앞장서 만들어 줘야 한다.
★정보보안 대표 미디어 데일리시큐!★