처음 정보보안에 취업을 꿈꾸는 경우 어떤 회사를 목표로 해야할지 모를 수 있습니다. 또한, 업계에 있으면서도 정보보안을 대표하는 기업이 어디인지, 해당 회사가 무슨 일을 하는지 모르는 경우도 많습니다.
이번 포스팅에서는 정보보안을 대표하는 "정보보호 전문서비스 기업" 에 대해 알아보겠습니다.
정보보호 전문 서비스 기업의 법적근거
정보보호 전문서비스 기업이란 주요정보통신기반시설의 취약점 분석·평가 및 보호대책 수립 업무를 안전하고 신뢰성 있게 수행할 능력을 갖췄다고 과학기술정보통신부장관이 인정하는 기업을 말합니다. 정보보호 전문서비스 기업의 법적근거는 "정보보호산업의 진흥에 관한 법률 (약칭: 정보보호산업법)"을 찾아보면 확인하실 수 있는데요. 제23조를 보면 과기부 장관이 지정하고 주요정보통신기반시설의 취약점 분석평가와 보호대책을 수립하고 그 밖의 대통령령으로 정하는 업무를 수행할 수 있다고 명시하고 있습니다.
| 제23조(정보보호 전문서비스 기업의 지정ㆍ관리) ① 과학기술정보통신부장관은 다음 각 호의 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 정보보호 전문서비스 기업으로 지정할 수 있다. <개정 2017. 7. 26.> 1. 「정보통신기반 보호법」 제8조에 따라 지정된 주요정보통신기반시설(이하 이 조에서 “주요정보통신기반시설”이라 한다)의 취약점 분석ㆍ평가 업무 2. 주요정보통신기반시설 보호대책의 수립 업무 3. 그 밖에 정보보호서비스와 관련하여 대통령령으로 정하는 업무 ② 정보보호 전문서비스 기업으로 지정받을 수 있는 자는 법인으로 한다. ... 이하 생략 ... |
또한, 하위 정보보호산업법 시행규칙에는 정보보호 전문서비스 기업의 조건이 상세하게 정의되어 있는데 자세히 살펴보면 아무나 정보보호 전문서비스 기업이 될 수 없다는 것을 알 수 있을 겁니다.
| 제8조(정보보호 전문서비스 기업의 지정기준) 법 제23조제1항에 따른 정보보호 전문서비스 기업(이하 “정보보호 전문서비스 기업”이라 한다)의 지정기준은 다음 각 호와 같다. <개정 2017. 7. 26.> .... 제9조(정보보호 전문서비스 기업의 지정 공고) 과학기술정보통신부장관은 정보보호 전문서비스 기업을 지정할 때에는 미리 신청 접수기간과 신청 요령 등을 정하여 20일 이상 관보에 공고하여야 한다. <개정 2017. 7. 26.> .... 제10조(정보보호 전문서비스 기업의 지정 신청) ① 정보보호 전문서비스 기업으로 지정을 받으려는 자(이하 이 조에서 “신청인”이라 한다)는 제9조에 따른 공고가 있는 때에 별지 제9호서식의 정보보호 전문서비스 기업 지정 신청서에 다음 각 호의 서류를 첨부하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원(이하 “한국인터넷진흥원”이라 한다)에 제출하여야 한다. <개정 2017. 7. 26.> ... 제11조(정보보호 전문서비스 기업의 지정 심사) ① 한국인터넷진흥원은 제10조제1항에 따른 지정 신청을 받으면 제8조에 따른 지정 기준을 충족하고 있는지를 검토(이하 “지정심사”라 한다)하여야 한다. 이 경우 제8조제4호에 따른 업무 수행능력을 심사할 때에는 법 제23조제1항 각 호의 업무에 대한 신청인의 전문능력을 중점적으로 심사하여야 한다. ... 제12조(정보보호 전문서비스 기업의 지정 등) ① 과학기술정보통신부장관은 한국인터넷진흥원이 제11조제1항에 따라 지정심사를 한 결과 지정 신청이 제8조에 따른 지정 기준을 충족하면 정보보호 전문서비스 기업으로 지정하고 신청인에게 별지 제10호서식의 정보보호 전문서비스 기업 지정서를 발급하여야 한다. <개정 2017. 7. 26.> ... 제13조(정보보호 전문서비스 기업의 사후관리 등) ① 한국인터넷진흥원은 제12조제1항에 따라 지정된 정보보호 전문서비스 기업이 지정 이후에도 제8조에 따른 지정 기준을 충족하고 있는지를 법 제23조제3항에 따라 지정일부터 매 1년마다 현장조사 등 사후관리를 통하여 확인하여야 한다. .... 제14조(정보보호 전문서비스 기업의 양도ㆍ합병) ① 정보보호 전문서비스 기업은 법 제23조제4항에 따라 업무를 양도할 때에는 별지 제11호서식의 업무 양도ㆍ양수신고서에 다음 각 호의 서류를 첨부하여 과학기술정보통신부장관에게 미리 신고하여야 한다. <개정 2017. 7. 26.> ... 제15조(행정처분의 기준) 법 제23조제6항에 따른 지정취소 및 업무정지에 관한 행정처분의 기준은 별표 2와 같다. |
즉, 정보보호 전문서비스 기업에 소속된 것으로만 봐도 법적으로 인정받는 기업에 속하게 되는거라고 볼 수 있습니다.
정보보호 전문서비스 기업 리스트
그렇다면 정보보호 전문서비스 기업으로 지정된 업체는 어떤 곳이 있는지도 살펴보겠습니다. KISA 홈페이지에서 해당 지정제도를 소개하고, 지정기업인 28개社 공개하고 있는데 아래 URL에서 지정기업 리스트.pdf 파일을 다운 받으면 확인하실 수 있습니다.
https://www.kisa.or.kr/1040210#fnPostAttachDownload
KISA 한국인터넷진흥원
www.kisa.or.kr
리스트 파일을 다운 받으면 28개 회사에 대해 확인(`23년 1월 기준)하실 수 있는데 해당 회사들이 법적근거에 해당하는 정보보호 전문서비스 기업 임을 인지하면 되겠습니다.
추가로 해설서도 참고하시어 읽어보시면 좋은데요. 해설서는 아래에서 다운 받을 수 있습니다.
https://www.kisa.or.kr/2060303/form?postSeq=3&page=1
KISA 한국인터넷진흥원
www.kisa.or.kr
해설서에는 법적근거에 대한 세부적인 해설과 더불어 자격 조건 및 지정관리에 관한 사항이 상세하게 설명되어 있는데 세부사항들은 담당 업무가 아닌 이상 구체적으로 확인하실 필요는 없고, 목적과 용어의 정의 정도만 읽어보시길 권해드립니다.
정보보호 전문서비스 기업의 활동
앞에서 정보보호 전문서비스 기업의 법적근거와 리스트를 살펴보았습니다. 그렇다면 실제 해당 기업은 무슨 일을 전문으로 하는걸까요?
한번 더 돌아본다면 법적근거에서 "주요정보통신기반시설의 취약점 분석평가 및 보호대책 수립" 업무를 할 수 있다고 나오는데 이것을 사업공고로 연결해보겠습니다. 구글에 "주요정보통신기반시설 취약점 분석평사 사업공고" 라고 검색해서 내용을 읽어보겠습니다.
검색된 사업공고 중에 투찰제한 항목을 볼 수 있는데, 업종사항제한으로 정보보호 전문서비스 기업이 명시되어 있는 것을 알 수 있습니다. 즉, 아무런 보안업체가 주요정보통신기반시설의 취약점 분석평가를 담당할 수 없다는 것을 의미합니다. 이거만 보아도 정보보호 전문서비스 기업이 일반적인 기업이 아님을 알 수 있습니다.
만약 정보보안을 컨설팅하는 회사가 정보보호 전문서비스 기업에 해당되지 않는다면 그만큼 매출로 이어지지 않을 가능성도 있을겁니다. 어찌됐든 해당 사업공고처럼 정보보호 전문서비스 기업들이 어떤 사업으로 돈을 벌고 어떤 일을 주로 하는지 느끼실 수 있을겁니다.
구글 검색 통해서 다양한 사업공고를 직접 살펴보시길 바랍니다.
취업과 이직을 준비하는 이들이 생각해봐야할 것
처음 보안 업계에 신입으로 준비할 때 또는 연구 업무나 정보보호 담당자 업무로 경력을 시작하여 이직을 준비할 때, 어느 기업으로 지원을 해야하는지 고민할 때가 많이 있습니다. 이때 정보보호 전문서비스 기업들의 채용공고를 한번 살펴보는건 어떨까요?
법적근거나 주요 사업들만 보더라도 정보보호 전문서비스 기업에서 실무적으로 배우는게 많을 것이라고 생각합니다. 해당 기업들은 사업을 유지하고 자격을 유지하기 위해 전문인력을 관리하고 업체만의 컨설팅 방법론을 통해 전문성을 확보하기 때문입니다. 물론 인력 장사라는 오명으로 업계 처우가 낮은 면이 있긴하지만, 그만큼 전문성도 확보할 수 있는 면이 크기 때문에 경력 초기에는 정보보호 전문서비스 기업에서 일을 시작하는 것도 나쁘지 않다고 생각합니다.
저 역시 정보보호 전문서비스 기업에서 경력을 쌓았고 다양한 사업을 경험하면서 실무 능력을 많이 키울 수 있었습니다. 괜히 법적으로 지정된 업체들이 아니니, 정보보안을 제대로 배우고 싶다면 정보보호 전문서비스 기업을 한번 생각해보시길 바라겠습니다.
'정보보안 > 정보보안 실무' 카테고리의 다른 글
| 정보보안 신입으로 취업 준비하기 (2) | 2023.10.30 |
|---|---|
| 주요정보통신기반시설 취약점 분석·평가 (54) | 2023.10.18 |
