과기정통부, 공청회 통해 해당 항목 재검토 의사 밝혀
[보안뉴스 원병철 기자] 2020년 5월 어렵게 국회 본회의를 통과한 전자서명법 전부개정안이 이번에는 시행령 논란으로 부침을 겪고 있다. 특히, 이번 전자서명법 시행령 개정안은 전부개정안인 만큼 각계각층의 이해가 상충해 이견이 나올 수 있지만, 실제 관련 업무를 하고 있는 실무진들에게 피해를 줄 수 있는 듯한 몇몇 조항들은 논란을 키우고 있다는 지적이다.
[이미지=utoimage]
이번 전자서명법 개정안 시행령 중 특히 문제가 되고 있는 부분은 ‘제6조(평가기관의 선정기준 및 절차 등) 2항의 별표1에 따른 5인 이상의 전문인력을 상시 고용하고 있을 것’이라는 항목이다. 전자서명법 전부개정안에 따르면 ‘전자서명인증사업자는 운영기준을 준수하였는지 여부에 대해 평가기관의 평가 및 인정기관의 확인을 거쳐 해당 전자서명인증업무가 운영기준을 준수한다는 증명서를 발급받을 수 있도록 했다(안 제5조, 임의인증)’는 조항이 있다. 즉, 이 항목에 나와 있는 ‘평가기관’이 되기 위해서는 반드시 5인 이상의 전문인력을 상시로 고용하고 있어야 한다는 설명이다.
문제는 해당 ‘전문인력’의 조건이다. 시행령 별표1 ‘평가기관 전문인력 요건(제5조 관련)’에 따르면 전문인력은 ‘4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유’해야 한다. 여기서 말하는 정보보호 경력은 공공·기업·교육/연구기관 등에서 수행한 정보보호업무 경력 또는 법률자문 경력이며, 개인정보보호 경력 또한 공공·기업·교육/연구기관 등에서의 정보보호 수행 경력 또는 법률자문 경력을 의미한다. 정보기술 경력 역시 이와 동일하다.
또한, 정보보호 관련 박사 학위는 2년의 경력을 인정받고, 석사 학위와 정보보안기사, 정보시스템감사사(CISA)와 정보시스템보호전문가(CISSP)는 각각 1년씩을 인정받는다. 개인정보보호와 관련해서도 박사학위는 2년, 석사학위와 개인정보 영향평가 전문인력, 개인정보관리사(CPPG)는 1년의 경력을 인정받는다. 정보기술 경력은 박사학위와 정보관리기술사, 컴퓨터시스템응용기술사, 정보시스템감리사는 2년의 경력을, 석사학위와 정보시스템감리원, 정보처리기사와 전자계산기조직응용기사는 1년의 경력을 인정받는다.
그런데 ‘마’ 항목에서 보면, ‘변호사법에 따른 변호사와 회계사법에 따른 회계사의 경우 6년의 개인정보보호 유관경력을 보유한 것으로 본다’는 항목이 있다. 정보보호실무 관련자들에게 크게 논란이 된 부분이다.
한국공인회계사회에 따르면 ‘공인회계사는 기업회계의 감시자로서 기업의 건전한 경영을 유도하고 이해관계자를 보호하며, 세무대리인으로서 정부의 조세정책에 협력하고 납세자의 권익을 신장시키고, 경영자문가로서 기업의 가치를 증진시켜 지속가능한 발전을 돕는 전문가’로 정의를 내렸다. 즉, 말 그대로 ‘회계’와 관련된 전문가로 정보보호 혹은 개인정보보호와 관련성이 적다고 볼 수 있다.
물론 세부적으로 들어가면 ‘내부감사’나 ‘내부통제 및 절차’, ‘전산감사업무’ 등 산업기술보호나 IT와 관련한 업무가 있기는 하다. 아울러 정보통신망법 시행령 별표2의 ‘정보보호 기술인력의 자격 기준(제36조의4 관련)’에도 ‘변호사나 공인회계사로서 2년 이상의 정보보호 유관 경력이나 3년 이상의 정보통신 유관경력이 있는 자’가 포함되어 있기는 하다.
하지만 같은 공인회계사라 해도 분명 전문분야가 각각 다르고 그동안 주력해왔던 분야가 다른 만큼 일방적으로 6년의 경력을 인정하는 건 맞지 않다는 게 정보보호 종사자들의 의견이다. 이는 변호사도 마찬가지다. IT나 정보보호, 개인정보보호 관련 전문가가 아닌 ‘모든’ 변호사에게 경력 6년을 인정하는 것은 형평성에 어긋난다는 거다. 정보통신망법 시행령 별표2 역시 변호사나 공인회계사라도 ‘2년 이상의 정보보호 유관경력’ 혹은 ‘3년 이상의 정보통신 유관경력’이라고 조항이 붙어있는 것도 그 이유다.
한 정보보호 실무자는 “정보통신 관련 최고 자격증 중 하나인 기술사는 경력 2년을 인정하면서, 정보보호와 직접적인 관련이 없는 공인회계사에게 6년 경력을 인정하는 것은 현장에서 묵묵히 책임을 다하는 정보보호인들을 무시하는 처사”라고 비판했다.
이와 관련 과기정통부는 11일 시행령 개정안 공청회를 통해 “해당 항목은 다시 검토하겠다”고 밝혔다. 과기정통부 정보보호기획과 최동원 과장은 “우선 평가기관 선정요건으로 5명 이상의 전문인력이 필요한 것이며, 변호사나 회계사가 무조건 포함인 것은 아니”라면서, “회계사는 IT 감사 관련 업무를 수행하는 등 업무 성격이 유사한 부분이 있어 포함됐는데, 입법예고 후 여러 이슈가 제기됐기 때문에 해당 내용은 다시 검토하겠다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]
저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
September 11, 2020 at 02:24PM
https://ift.tt/2GQGFQV
보안뉴스 - 보안뉴스
https://ift.tt/2XSRXKD
No comments:
Post a Comment